■SSHの設定
Cisco機器を管理する際、最初のセットアップはコンソールですがそれ以降はTelnetまたはSSHを使用したネットワークアクセスが主です。 TelnetかSSHかは管理者のポリシー次第だと思いますがセキュリティ的なことを考慮すればSSHの方が望ましいです。ここではCisco機器に SSHでログインするための設定を記載致します。
まずSSHをセットアップするための準備が必要です。最初にホスト名、ドメイン名を設定します。ホスト名はSSHの使用有無に関わらず設定されている方が ほとんどだと思いますが、ドメイン名はSSHを使用していなければ設定されていない方が結構いらっしゃると思います。SSHを使用する場合はドメイン名は必須の設定項目となりますので注意してください。
(config)# hostname ssh-test (config)# ip domain-name unix-power.net |
ローカルおよびリモート認証用にSSHサーバを有効にしRSAキーのペア ( 公開鍵/秘密鍵 ) を作成します。このときモジュラサイズを指定する必要がありますが最小1024ビットを奨励します。
(config)# crypto key generate rsa modulus 1024 The name for the keys will be: ssh-test.unix-power.net % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable... [OK] (elapsed time was 4 seconds) |
以下のコマンドでsshのバー ジョンを指定できます。これはオプション設定で設定しない場合はクライアント側でサポートされている最新バージョンを選択します。下記ではssh version2を指定しています。
(config)# ip ssh version 2 |
下記コマンドでsshのタイムアウトを指定で きます。デフォルトは120秒です。
(config)# ip ssh time-out 120 |
下記コマンドはクライアントを再認証できる回 数を設定しています。デフォルトは3です。
(config)# ip ssh authentication-retries 5 |
ネットワーク経由で機器にsshのみ許可し、その他は拒否する場合はline vtyに対して以下の設定を行います。
(config)# line vty 0 4 (config-line)# transport input ssh |
設定したsshに関するステータスは以下のコマンドで確認できます。
# show ip ssh SSH Enabled - version 2.0 Authentication timeout: 120 secs; Authentication retries: 5 Minimum expected Diffie Hellman key size : 1024 bits IOS Keys in SECSH format(ssh-rsa, base64 encoded): ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQChbjXoTnaaJsCaIUfsifaGuYSWGuOq/4Y7HJTLP4sb AUeGXc96z3rFjCHqnCWH+i7XIHSnoR4KmNPuaYeObpwx2L6hbpklz0ADdYtQvmxjvFTgHQvsYzud/WQ7 SMP0GwaFN3tF3ytZXPJW7e4KGwOliJ9hrPNnINEOSRLOHqZERw== |