|
◆ Ciscoルータ - SSHの設定
Ciscoルータへtelnet接続したい場合、Ciscoルータ側の設定は先に紹介した通り line vty の部分に
passwordコマンドとloginコマンドを入力すればいいだけです。が、CiscoルータへSSH接続したい
場合は、SSHサーバとして動作させるための色々な設定が必要となります。その手順は紹介します。
※ telnetとSSHの違いについては「 TCP/IPをはじめから - Telnet/SSHとは」をご参照ください。
@ ユーザ認証の設定
SSHにおけるユーザ認証の方法には、パスワード認証と公開鍵認証の2種類があります。一般的には
パスワード認証を使用します。SSHクライアント側は、ここで設定したユーザ名とパスワードを入力
することでCiscoルータへSSH接続してログインできるようになります。以下の設定例ではユーザ名に
"admin1" パスワードに "cisco1"としています。ユーザ名とパスワードは大文字小文字を区別します。
SSH接続でVTYポートにログインする際に、line vtyに設定されたパスワードではなく、上記で設定した
ユーザ名とパスワードを認証の際に使用するようにするために、line vtyにローカル認証の設定をします。
※ VTYポートを5つ以上作成したい場合、例えば16つのVTYポートを作成したい場合は "line vty 0 15" とコマンド入力します。
A ドメイン名の設定
SSH暗号鍵の生成のためにホスト名とドメイン名を設定します。ホスト名とドメイン名ともにローカル
の適当な内容で問題ないので、ここでは例えばホスト名を"R1"、ドメイン名を"cisco.com"にしています。
B RSA暗号鍵の設定
SSHで使用するRSA暗号鍵を生成するために crypto key generate rsa コマンドを入力します。
このコマンドの入力後、鍵長サイズの指定を求めてくるのでそこでは1024と指定するようにします。
C SSHのバージョンの設定
SSHのバージョンには1と2があります。バージョン2の方がよりセキュアなのでSSHクライアント側で
SSH version 2 がサポートしていれば ip ssh version 2 と設定してSSH version2を使用するように
しましょう。SSH versioin 1を使用するならip ssh version 1と設定します。今回はversion 2にします。
D SSH接続を許可する設定
デフォルトでCiscoルータへのSSH接続は許可されています。従って何も設定変更する必要はないです。
⇒ All protocols are allowed on virtual terminal lines (vtys). Default
is transport input all.
しかし例えば、Ciscoルータへの接続はSSHのみにしたい場合、line vtyの設定でtransport input ssh
と設定すれば実現できます。また、transport input telnet sshと設定すれば、Ciscoルータへはtelnet
接続とSSH接続のどちらでも可能となります。セキュリティ上、Ciscoルータへの管理アクセスはSSH
接続のみ許可したいという場合はtransport input sshと設定しましょう。
紹介したSSH設定によりSSH接続ができるようになりますが、SSH接続したルータで特権EXECモードへ
移行するためには「enable password」か「enable secret」でパスワードを設定しておく必要があります。
設定してない場合、enableで特権EXECモードへ移行しようとするとNo Password setとメッセージが表示
されて特権EXECモードへ移行できません。
◆ Ciscoルータ - SSHによるアクセス
クライアントPCからCiscoルータへSSH接続するためには、Tera Termの場合は以下の手順となります。
※ SSHクライアントであるPCのIPアドレスが192.168.0.100、SSHサーバとなるCiscoルータのIPアドレスが192.168.0.254。
◆ ルータで設定したユーザ名(username)とパスワード(password)を入力。
◆ 上記の手順により以下のSSH接続が成功して、ルータにログインできるようになります。
◆ show sshコマンドで、現在使用されているSSHバージョン、現在接続しているユーザ名などの情報が分かります。
ところで、CiscoルータからCiscoルータへtelnet接続する場合は「telnet "IPアドレス"」と入力しますが
CiscoルータからCiscoルータへSSH接続するためには、「ssh -l "ユーザ名" "IPアドレス"」と入力します。
例えば、Ciscoルータ (R1)にユーザ名"admin1"、パスワード"cisco1"と設定されている場合、以下の通り
ssh -l admin1 192.168.0.254と入力することで、CiscoルータからCiscoルータへとSSH接続が可能です。
※ CiscoルータからルータへのSSH接続はtelnetのようにレスポンス(エコーバック)がよくありません。
|