한드림넷 SG2024 스위치의 관리자 계정별 CLI 명령어 제한 및 Privilege Level 설정방법에 대해 알아보겠습니다.
네트워크 장비를 관리할 때 가장 중요한 것 중 하나가 보안입니다. 모든 관리자에게 최고 권한을 줄 수는 없기에, 역할에 따라 명령어 사용 범위를 제한하는 RBAC(Role-Based Access Control) 설정이 필수적입니다.
Privilege Level의 기본 개념
한드림넷 스위치의 권한 레벨은 다음과 같은 규칙을 따릅니다.
- 레벨 범위: 1부터 15까지 설정 가능합니다.
- 최고 권한: Level 15가 슈퍼 관리자(Super Admin)이며, 모든 명령어를 사용할 수 있습니다.
- 기본값: 별도로 권한을 명시하지 않은 계정은 기본적으로 Level 15를 할당받습니다.
- 상속 구조: 하위 레벨의 권한은 상위 레벨에 자동으로 포함됩니다. (예: Level 1에서 허용된 명령어는 Level 2, 3… 15에서 모두 사용 가능)
한드림넷 스위치 단계별 설정 방법
# Level 1: 기본적인 조회(show) 및 모드 전환(enable) 허용
SG2024(config)# privilege exec level 1 show
SG2024(config)# privilege exec level 1 enable
# Level 2: 설정 모드(config) 진입 권한 추가
SG2024(config)# privilege exec level 2 config
# Level 3: 설정 모드 내에서 ip 관련 명령어만 허용
SG2024(config)# privilege config level 3 ip
# Level 4: 설정 모드의 모든 명령어 허용 (all 키워드 사용)
SG2024(config)# privilege config level 4 all
관리자 계정 생성 및 권한 부여
SG2024(config)# username level1 privilege 1 password 1234
SG2024(config)# username level2 privilege 2 password 1234
SG2024(config)# username level3 privilege 3 password 1234
SG2024(config)# username level4 privilege 4 password 1234
username <아이디> privilege 1 password <비밀번호>
계정 설정 확인
명령어별 권한 확인
SG2024# show privilege
mode type level command
==========================================================
exec command 1 show
exec command 1 enable
exec command 2 config
config all 4 -
config command 3 ip
사용자별 권한 레벨 확인
SG2024# show privilege users
AAA default privilege : 15
username level
==========================
root 15
level1 1
level2 2
level3 3
level4 4
한드림넷 스위치에서 권한 분리를 적용하면, 운영자의 실수로 인한 설정을 방지하고 보안 사고 발생 시 영향을 최소화할 수 있습니다.
특히 “하위 레벨은 상속된다”는 점과 “명령어를 명시하지 않으면 해당 모드 전체 권한이 부여될 수 있다”는 점을 유의하여 설계할 수 있습니다.