Skip to Content
05. SecurityAAA Local Command Authorization

AAA 로컬 명령 인가

Cisco IOS는 외부 TACACS+ 서버 없이 명령 인가를 가능하게 합니다. Cisco 라우터와 스위치는 권한 레벨(privilege level) 로 동작합니다. 기본적으로 16개의 권한 레벨이 있으며, 의식하지 않더라도 이미 다음 세 가지에 익숙할 것입니다.

  • 레벨 0: 몇 개의 명령만 사용 가능합니다. 가장 많이 사용되는 명령은 아마도 enable일 것입니다.
  • 레벨 1: 기본 exec 사용자 레벨입니다. 일부 show 명령을 사용할 수 있지만 아무것도 구성할 수 없습니다.
  • 레벨 15: 가장 높은 권한 레벨로, “enable 모드” 또는 “privileged 모드”라고도 합니다.

상위 권한 레벨은 하위 권한 레벨의 모든 명령을 지원합니다. 예를 들어 권한 레벨 8은 레벨 07의 모든 명령을 포함합니다. 권한 레벨 15는 레벨 014의 모든 명령을 가집니다.

다양한 사용자 그룹과 함께 작업한다면 다양한 권한 레벨을 사용하는 것이 좋습니다. 시니어 네트워크 엔지니어에게만 권한 레벨 15를 부여하고, 주니어 네트워크 엔지니어에게는 모든 명령에 접근하지 못하도록 더 낮은 권한 레벨을 부여하고 싶을 것입니다.

권한 레벨에 명령 할당하기

특정 권한 레벨에 명령을 할당하려면 다음과 같은 옵션이 있습니다.

  • 일부 권한 레벨 15 명령을 레벨 1에 할당해 라우터에 로그인할 수 있는 모든 사용자가 사용할 수 있게 합니다.
  • 일부 명령을 레벨 1에서 더 높은 레벨로 옮겨 레벨 1 사용자가 일부 명령을 사용하지 못하게 합니다.
  • 새 권한 레벨을 만들고 일부 레벨 15 명령을 할당합니다.

다양한 권한 레벨에 명령을 할당하려면 IOS에 두 가지 모드가 있다는 것을 이해해야 합니다.

  • Exec 모드
  • Configuration 모드

Exec 모드는 다음과 같습니다.

Router#

그리고 Configuration 모드는 다음과 같습니다.

Router(config)#

각 “모드”에는 인터페이스 구성 같은 “서브 모드”도 있습니다.

Router(config-if)#

명령에는 이해해야 할 특정 구조가 있습니다. 기본적으로 명령은 다음과 같습니다.

command sub-command [arguments] [arguments-values] [options]

예를 들어 IP 주소를 구성하는 것을 생각해 봅시다.

Rack1SW1(config-if)# ip address 192.168.1.1 255.255.255.0

다음과 같이 분해할 수 있습니다.

  • ip = 명령
  • address = 서브 명령
  • 192.168.1.1 255.255.255.0 = 인수
  • secondary = 옵션 (예제에는 표시되지 않음)

권한 레벨에 명령을 할당할 때, 전체 “ip” 명령을 선택할 수도 있고 “ip address” 서브 명령만 선택할 수도 있습니다. 누군가에게 전체 “ip” 명령을 부여하면 “ip unreachables”나 “ip arp” 같은 것도 구성할 수 있습니다.

명령을 옮기고 새 권한 레벨을 만드는 몇 가지 예제를 살펴봅시다.

1. 구성

먼저, 우리의 권한 레벨이 무엇인지 확인해 봅시다. 다음과 같이 할 수 있습니다.

Router> show privilege
Current privilege level is 1

show privilege 명령을 사용해 권한 레벨을 확인합니다. 기본적으로 로그인하면 레벨 1에 있습니다. 이제 enable 모드로 가봅시다.

Router> enable
Router# show privilege
Current privilege level is 15

보시는 것처럼 enable의 권한 레벨은 15입니다.

간단한 예제부터 시작하겠습니다. 권한 레벨 1 사용자에게 show running-configuration 명령을 사용할 권한을 부여하겠습니다. 방법은 다음과 같습니다.

Router(config)# privilege exec level 1 show running-config

이제 모든 레벨 1 사용자가 show running-config 명령을 사용할 수 있습니다. 매우 현명한 생각은 아니지만 작동합니다.

Router> show running-config
Building configuration...
Current configuration : 53 bytes
!
boot-start-marker
boot-end-marker
!

레벨 1 사용자에게서 명령을 빼앗을 수도 있습니다. 그들이 show ip arp를 사용하지 못하게 한다고 가정해 봅시다. 다음과 같이 합니다.

Router(config)# privilege exec level 15 show ip arp

레벨 1 사용자는 더 이상 show ip arp를 사용할 수 없음을 발견할 것입니다.

Router> show ip arp
                  ^
% Invalid input detected at '^' marker.

이제 특정 권한 레벨에 명령을 추가하거나 제거하는 방법을 보았습니다. 몇 가지 명령에만 접근할 수 있는 새 권한 레벨을 가진 사용자를 만들면 어떨까요? 다음과 같은 작업을 할 수 있는 새 사용자 계정을 만들겠습니다.

  • 인터페이스의 shutdown 또는 no shutdown
  • debug ip routing 명령 사용
  • 모든 디버깅 비활성화
  • show running-configuration 명령 사용

이를 위해 새 권한 레벨을 가진 새 사용자 이름을 만들겠습니다. 방법은 다음과 같습니다.

Router(config)# username JUNIOR privilege 8 password CISCO
JUNIOR 사용자 생성

먼저 JUNIOR라는 새 사용자 계정을 만듭니다. 이 사용자에게 권한 레벨 8을 할당합니다. 이제 몇 가지 명령을 추가합니다.

Router(config)# privilege exec level 8 configure terminal
Router(config)# privilege exec level 8 debug ip routing
Router(config)# privilege exec level 8 undebug all
Router(config)# privilege exec level 8 show running-config

위 명령은 exec 모드용입니다. configuration 모드에 대한 명령도 추가해야 합니다.

본 강의는 NetworkLessons.com의 미리보기 버전입니다. 전체 내용은 멤버십 가입 후 확인 가능합니다.

이전/다음 강의

포럼 답글

system

매우 좋습니다.

system

매우 잘 작성되었습니다. 감사합니다!

system

안녕 Rene,

각 권한 레벨에서 사용 가능한 모든 명령을 보여주는 show 명령이나 개요가 있나요?

예를 들어:

Show commands privilege level 7
???

ReneMolenaar

안녕 Bülent,

흠, 그런 게 있는지 모르겠습니다. 제가 보통 하는 일은 라우터에서 빠르게 sh run | incl privilege를 실행하는 것입니다. 그러면 다른 권한 레벨로 옮겨진 모든 명령을 보여줍니다.

Rene

system

감사합니다 Rene.

26개의 추가 답글이 있습니다. 커뮤니티 포럼을 방문해 질문하거나 토론에 참여하세요.

출처: networklessons.com - AAA Local Command Authorization

태그: IOS, Security

AAA Configuration on Cisco SwitchStandard access-list example on Cisco Router