第2編
管理運用

SSH/Telnetの構成例と設定例

SSH/Telnetで装置に接続する場合の構成例と設定例を示します。

SSH接続をパスワード認証方式で行う場合

AAAが無効な装置において、ローカルに設定したユーザーアカウントによるユーザー認証で、装置にSSH接続する場合の構成例と設定例を示します。

SSH接続をパスワード認証方式で行う場合の構成例

  • SSH接続で使用するVLAN 100を作成し、ポート1/0/1をアクセスポートとして[VLAN 100]を割り当てます。また、VLAN 100のIPアドレスを[192.168.1.100/24]に設定します。
    sw1# configure terminal
sw1(config)# vlan 100
sw1(config-vlan)# exit
sw1(config)# interface port 1/0/1
sw1(config-if-port)# switchport mode access
sw1(config-if-port)# switchport access vlan 100
sw1(config-if-port)# exit
sw1(config)# interface vlan 100
sw1(config-if-vlan)# ip address 192.168.1.100/24
sw1(config-if-vlan)# exit
sw1(config)#
  • SSHクライアントのユーザーアカウントとして、ユーザー名を[sshuser]に、パスワードを[pwsshuser]に設定します。また、設定したユーザーアカウントを使用するために、SSH端末ラインにローカル認証[local]を設定します。
    sw1(config)# username sshuser password pwsshuser
sw1(config)# line ssh
sw1(config-line)# login local
sw1(config-line)# exit
sw1(config)#
  • SSHサーバーを有効にします。また、SSHクライアントのユーザー名を[sshuser]に、SSHユーザー認証方式を[パスワード認証]に設定します。
    sw1(config)# ip ssh server
sw1(config)# ssh user sshuser authentication-method password
sw1(config)# end
sw1#
  • RSA鍵対のビット数に[1,024]を設定し、RSA鍵対を生成します。
    sw1# crypto key generate rsa modulus 1024

The RSA key pairs already existed.
Do you really want to replace them? (y/n) [n]y
Choose the size of the key modulus in the range of 360 to 2048.The process may take
a few minutes.
Number of bits in the modulus [1024]: 1024
Generating RSA key...Done

sw1#

SSH接続を公開鍵認証方式で行う場合

AAAが無効な装置において、SSHクライアントで生成した公開鍵によるユーザー認証で、装置にSSH接続する場合の構成例と設定例を示します。

SSH接続を公開鍵認証方式で行う場合の構成例

  • SSH接続で使用するVLAN 100を作成し、ポート1/0/1をアクセスポートとして[VLAN 100]を割り当てます。また、VLAN 100のIPアドレスを[192.168.1.100/24]に設定します。
    sw1# configure terminal
sw1(config)# vlan 100
sw1(config-vlan)# exit
sw1(config)# interface port 1/0/1
sw1(config-if-port)# switchport mode access
sw1(config-if-port)# switchport access vlan 100
sw1(config-if-port)# exit
sw1(config)# interface vlan 100 
sw1(config-if-vlan)# ip address 192.168.1.100/24
sw1(config-if-vlan)# exit
sw1(config)#
  • SSHクライアントのユーザーアカウントとして、ユーザー名を[sshuser]に、パスワードを[pwsshuser]に設定します。また、設定したユーザーアカウントを使用するために、SSH端末ラインにローカル認証[local]を設定します。
    sw1(config)# username sshuser password pwsshuser
sw1(config)# line ssh
sw1(config-line)# login local
sw1(config-line)# exit
sw1(config)#
  • SSHサーバーを有効にします。
    sw1(config)# ip ssh server
sw1(config)# end
sw1#
  • RSA鍵対のビット数に[1,024]を設定し、RSA鍵対を生成します。
    sw1# crypto key generate rsa modulus 1024

The RSA key pairs already existed.
Do you really want to replace them? (y/n) [n]y
Choose the size of the key modulus in the range of 360 to 2048.The process may take
a few minutes.
Number of bits in the modulus [1024]: 1024
Generating RSA key...Done

sw1#
  • 生成されたRSA公開鍵を確認します。
    sw1# show crypto key mypubkey rsa

% Key pair was generated at: 09:48:40, 2015-11-29
Key Size: 1024 bits
Key Data:
AAAAB3Nz aC1yc2EA AAADAQAB AAAAQwCN 6IRFHCBf jsHvYjQG iCL0p2kz 2v38ULC8
kAKra/Ze mG7IW3eC 8STcrkr5 s7l9H/bh jG/oqkwj SlUJSGqR e/sj6Ws=

sw1#
  • SSHクライアントから公開鍵をコピーします。
    sw1# copy tftp: flash:

Address of remote host []? 192.168.1.200
Source filename []? id_rsa.pub
Destination filename []? sshuser.pub
Accessing tftp://192.168.1.200/id_rsa.pub...
Transmission start...
Transmission finished, file length 234 bytes.
Please wait, programming flash.............. Done.
  • SSHユーザー認証方式を[公開鍵よる認証]に設定します。また、SSHクライアントのユーザー名を[sshuser]に、SSHクライアントからコピーした公開鍵ファイルのURLを[c:/sshuser.pub]に設定します。
    sw1# configure terminal
sw1(config)# ssh user sshuser authentication-method publickey c:/sshuser.pub
sw1(config)# end
sw1#

Telnet接続を共通パスワードで行う場合

AAAが無効な装置において、共通パスワードを使用して、装置にTelnet接続する場合の構成例と設定例を示します。

Telnet接続を共通パスワードで行う場合の構成例

  • Telnet接続で使用するVLAN 100を作成し、ポート1/0/1をアクセスポートとして[VLAN 100]を割り当てます。また、VLAN 100のIPアドレスを[192.168.1.100/24]に設定します。
    sw1# configure terminal
sw1(config)# vlan 100
sw1(config-vlan)# exit
sw1(config)# interface port 1/0/1
sw1(config-if-port)# switchport mode access
sw1(config-if-port)# switchport access vlan 100
sw1(config-if-port)# exit
sw1(config)# interface vlan 100
sw1(config-if-vlan)# ip address 192.168.1.100/24
sw1(config-if-vlan)# exit
sw1(config)#
  • Telnetサーバーを有効化し、ラインモードTelnetのパスワードを[pwteluser]に、enableモードのパスワードを[pwenable]に設定します。
    sw1(config)# ip telnet server
sw1(config)# line telnet
sw1(config-line)# password pwteluser
sw1(config-line)# exit
sw1(config)# enable password pwenable
sw1(config)# end
sw1#

SSH/Telnet接続でアクセスを許可する端末を制限する場合

SSH/Telnet接続で、10.1.1.1/24の端末にのみアクセスを許可する場合の構成例と設定例を示します。

SSH/Telnetでアクセスを許可する端末を制限する場合の構成例

補 足

以下の操作は、アクセスを許可する端末を制限するための手順です。SSHサーバーとTelnetサーバーの設定は、別途行ってください。

  • アクセスリスト[permit-filter]を作成し、[10.1.1.1 0.0.0.0]の許可を定義します。
    sw1# configure terminal
sw1(config)# ip access-list permit-filter
sw1(config-ip-acl)# permit 10.1.1.1 0.0.0.0
sw1(config-ip-acl)# exit
sw1(config)#
  • SSH/Telnet接続を制限するアクセスリスト[permit-filter]を適用します。
    sw1(config)# line ssh
sw1(config-line)# access-class permit-filter
sw1(config-line)# exit
sw1(config)# line telnet
sw1(config-line)# access-class permit-filter
sw1(config-line)# end
sw1#

ページトップへ