Cisco 스위치 VTY 라인 기본 설정 이해하기
들어가며
Cisco 스위치를 운영하다 보면 Console 포트뿐만 아니라 원격 접속을 통한 관리가 필수적이다. 실제 운영 환경에서는 장비가 통신실, 전산실, 공장, IDC 등에 설치되어 있기 때문에 매번 현장을 방문하여 Console 케이블을 연결하는 것은 현실적으로 어렵다. 따라서 대부분의 네트워크 관리자는 SSH 또는 Telnet을 이용하여 원격으로 장비를 관리하게 된다.
Cisco 장비에서 이러한 원격 접속을 담당하는 기능이 바로 VTY(Virtual Terminal) Line이다. VTY는 네트워크를 통해 장비에 접속할 수 있도록 제공되는 가상 터미널 인터페이스로, Cisco 스위치 및 라우터의 원격 관리에 핵심적인 역할을 수행한다.
하지만 VTY 설정에 대한 이해가 부족하면 원격 접속이 되지 않거나 보안 취약점이 발생할 수 있다. 특히 초기 구축 단계에서 VTY 설정을 잘못 적용하면 장비 접근 자체가 불가능해지는 경우도 있다.
이번 글에서는 Cisco 스위치의 VTY 라인이 무엇인지, 기본 설정 방법은 무엇인지, 그리고 실무에서 반드시 알아야 할 보안 설정까지 자세히 알아보겠다.
VTY 라인이란 무엇인가?
VTY는 Virtual Teletype의 약자로, 네트워크를 통한 원격 접속을 지원하는 가상 터미널이다.
쉽게 말하면 다음과 같다.
Console Port
↓
장비 앞에서 직접 접속
VTY Line
↓
네트워크를 통한 원격 접속Console은 물리적으로 장비 앞에 있어야 하지만 VTY는 네트워크만 연결되어 있다면 어디서든 접속할 수 있다.
예를 들어 다음과 같은 접속이 모두 VTY를 사용한다.
- SSH 접속
- Telnet 접속
- 일부 자동화 도구의 CLI 접속
즉, 관리자가 PC에서 SSH 프로그램을 이용해 Cisco 스위치에 접속할 때 사용되는 것이 바로 VTY 라인이다.
VTY 라인 번호 이해하기
Cisco 스위치에서 VTY 설정을 확인하면 다음과 같은 명령을 자주 보게 된다.
line vty 0 4또는
line vty 0 15여기서 숫자는 동시 접속 가능한 가상 터미널 번호를 의미한다.
예시
VTY 0
VTY 1
VTY 2
VTY 3
VTY 4다음과 같이 설정하면
line vty 0 4최대 5개의 원격 세션을 허용한다.
반면
line vty 0 15는 최대 16개의 동시 접속을 지원한다.
최근 Cisco Catalyst 시리즈에서는 대부분 0~15 구간을 사용한다.
VTY 기본 설정 방법
원격 접속을 사용하려면 먼저 VTY 설정이 필요하다.
기본 설정 예시는 다음과 같다.
Switch(config)# line vty 0 15
Switch(config-line)# password Cisco123
Switch(config-line)# login설정 내용
- password : 접속 비밀번호 설정
- login : 비밀번호 인증 활성화
이후 Telnet 접속 시 비밀번호 입력을 요구하게 된다.
login 명령어의 역할
많은 초급 관리자들이 다음과 같이 설정한다.
line vty 0 15
password Cisco123하지만 login 명령을 입력하지 않으면 인증이 동작하지 않는다.
잘못된 예시
Switch(config)# line vty 0 15
Switch(config-line)# password Cisco123올바른 예시
Switch(config)# line vty 0 15
Switch(config-line)# password Cisco123
Switch(config-line)# loginlogin 명령은 "설정된 비밀번호를 실제로 사용하겠다"는 의미를 가진다.
login local 이해하기
최근 환경에서는 password 방식보다 login local 사용을 권장한다.
먼저 계정을 생성한다.
Switch(config)# username admin privilege 15 secret P@ssw0rd!그 다음 VTY에 적용한다.
Switch(config)# line vty 0 15
Switch(config-line)# login local동작 방식
SSH 접속
↓
Username 입력
↓
Password 입력
↓
인증 성공장점
- 사용자별 계정 관리
- 암호 암호화 저장
- 권한 분리 가능
- 보안성 향상
실무에서는 대부분 login local 방식을 사용한다.
Telnet과 SSH 차이점
VTY 라인은 Telnet과 SSH 모두 사용할 수 있다.
하지만 두 프로토콜은 보안 수준이 크게 다르다.
Telnet
특징
- 평문 통신
- 암호화 미지원
- 패킷 분석 시 정보 노출
예시
telnet 192.168.1.10SSH
특징
- 암호화 통신
- 높은 보안성
- 기업 환경 필수
예시
ssh admin@192.168.1.10현재 대부분의 기업은 SSH만 사용한다.
VTY에서 SSH만 허용하기
실무에서 가장 많이 사용하는 설정이다.
먼저 도메인 이름 설정
Switch(config)# ip domain-name company.localRSA Key 생성
Switch(config)# crypto key generate rsaSSH 버전 설정
Switch(config)# ip ssh version 2VTY 설정
Switch(config)# line vty 0 15
Switch(config-line)# transport input ssh
Switch(config-line)# login local설정 후에는 SSH만 허용된다.
transport input 명령어 이해하기
VTY 설정에서 매우 중요한 명령이다.
현재 허용 프로토콜 확인
transport input ?주요 옵션
all
ssh
telnet
none예시
SSH만 허용
transport input sshSSH와 Telnet 허용
transport input ssh telnet원격 접속 차단
transport input none보안상 SSH만 허용하는 것을 권장한다.
VTY Idle Timeout 설정
원격 접속 후 세션을 종료하지 않고 자리를 비우는 경우가 많다.
이를 방지하기 위해 Timeout을 설정한다.
Switch(config)# line vty 0 15
Switch(config-line)# exec-timeout 10 0의미
10분 동안 입력이 없으면 자동 로그아웃실무 권장 값
5~15분VTY 접속 제한 ACL 설정
보안을 더욱 강화하려면 특정 IP만 접속하도록 제한할 수 있다.
ACL 생성
Switch(config)# access-list 10 permit 192.168.1.100VTY 적용
Switch(config)# line vty 0 15
Switch(config-line)# access-class 10 in결과
192.168.1.100 → 접속 가능
그 외 IP → 접속 차단관리 PC만 접속하도록 제한할 때 자주 사용된다.
실무 권장 VTY 설정 예제
실제 운영 환경에서 많이 사용하는 설정 예시이다.
username admin privilege 15 secret P@ssw0rd!
ip domain-name company.local
crypto key generate rsa
ip ssh version 2
line vty 0 15
login local
transport input ssh
exec-timeout 10 0추가로 ACL을 적용하면 더욱 안전한 환경을 구축할 수 있다.
VTY 설정 확인 명령어
현재 설정 확인
show running-config | section line vtySSH 상태 확인
show ip ssh현재 접속 세션 확인
show users현재 로그인 사용자 확인
show line운영 중 자주 사용하는 명령어들이다.
VTY 설정 시 자주 발생하는 문제
SSH 접속이 안 되는 경우
원인
- RSA Key 미생성
- Domain Name 미설정
- SSH 버전 미설정
로그인 실패
원인
- username 미생성
- login local 미설정
- 비밀번호 오류
Telnet 접속만 가능한 경우
원인
transport input telnet설정 확인 필요
원격 접속 자체가 안 되는 경우
원인
- 관리 IP 미설정
- VLAN Interface Down
- ACL 차단
마무리
Cisco 스위치의 VTY 라인은 원격 관리 기능의 핵심 요소이다. SSH 및 Telnet 접속이 모두 VTY를 통해 이루어지며, 적절한 설정이 이루어지지 않으면 원격 관리가 불가능하거나 보안 취약점이 발생할 수 있다.
특히 실무에서는 단순히 VTY 비밀번호만 설정하는 것이 아니라 login local 적용, SSH 전용 구성, Timeout 설정, ACL 기반 접근 제어 등을 함께 적용하는 것이 일반적이다.
네트워크 장비의 보안은 복잡한 기능보다 기본 설정에서 시작된다. VTY 라인을 올바르게 이해하고 구성하는 것만으로도 Cisco 스위치의 보안성과 운영 효율성을 크게 향상시킬 수 있다.