SSH/Telnetの構成例と設定例
SSH/Telnetで装置に接続する場合の構成例と設定例を示します。
SSH接続をパスワード認証方式で行う場合
AAAが無効な装置において、パスワード認証方式でSSH接続する場合の構成例と設定例を示します。なお、SSHサーバー(sw1)では「鍵長2048ビットのRSA鍵対」と「DSA鍵対」を生成します。
SSH接続をパスワード認証方式で行う場合の構成例
- SSH接続で使用するVLAN 100を作成し、ポート1/0/1をアクセスポートとして[VLAN
100]を割り当てます。また、VLAN 100のIPアドレスを[192.168.1.100/24]に設定します。
sw1# configure terminal sw1(config)# vlan 100 sw1(config-vlan)# exit sw1(config)# interface port 1/0/1 sw1(config-if-port)# switchport mode access sw1(config-if-port)# switchport access vlan 100 sw1(config-if-port)# exit sw1(config)# interface vlan 100 sw1(config-if-vlan)# ip address 192.168.1.100/24 sw1(config-if-vlan)# exit sw1(config)#
- SSHクライアントのユーザーアカウントとして、ユーザー名を[sshuser]に、パスワードを[pwsshuser]に設定します。また、設定したユーザーアカウントを使用するために、SSHライン設定モードでローカル認証[local]を設定します。
sw1(config)# username sshuser password pwsshuser sw1(config)# line ssh sw1(config-line)# login local sw1(config-line)# exit sw1(config)#
- SSHサーバーを有効にします。また、ユーザー名[sshuser]のSSH認証方式をパスワード認証方式に設定します。なお、usernameコマンドでユーザーアカウントを設定すると、そのユーザーアカウントに対応したssh
user authentication-method設定がデフォルト設定で自動的に作成されます。
sw1(config)# ip ssh server sw1(config)# ssh user sshuser authentication-method password sw1(config)# end sw1#
- SSHサーバーのRSA鍵対を鍵長[2048]ビットで生成します。
sw1# crypto key generate rsa modulus 2048 Generating RSA key...Done. sw1#
- SSHサーバーのDSA鍵対を生成します。
sw1# crypto key generate dsa Generating DSA key...Done. sw1#
SSH接続を公開鍵認証方式で行う場合
AAAが無効な装置において、公開鍵認証方式でSSH接続する場合の構成例と設定例を示します。なお、SSHサーバー(sw1)では「鍵長2048ビットのRSA鍵対」と「DSA鍵対」を生成します。
SSH接続を公開鍵認証方式で行う場合の構成例
- SSH接続で使用するVLAN 100を作成し、ポート1/0/1をアクセスポートとして[VLAN
100]を割り当てます。また、VLAN 100のIPアドレスを[192.168.1.100/24]に設定します。
sw1# configure terminal sw1(config)# vlan 100 sw1(config-vlan)# exit sw1(config)# interface port 1/0/1 sw1(config-if-port)# switchport mode access sw1(config-if-port)# switchport access vlan 100 sw1(config-if-port)# exit sw1(config)# interface vlan 100 sw1(config-if-vlan)# ip address 192.168.1.100/24 sw1(config-if-vlan)# exit sw1(config)#
- SSHクライアントのユーザーアカウントとして、ユーザー名を[sshuser]に、パスワードを[pwsshuser]に設定します。また、設定したユーザーアカウントを使用するために、SSHライン設定モードでローカル認証[local]を設定します。
sw1(config)# username sshuser password pwsshuser sw1(config)# line ssh sw1(config-line)# login local sw1(config-line)# exit sw1(config)#
- SSHサーバーを有効にします。
sw1(config)# ip ssh server sw1(config)# end sw1#
- SSHサーバーのRSA鍵対を鍵長[2048]ビットで生成します。
sw1# crypto key generate rsa modulus 2048 Generating RSA key...Done. sw1#
- SSHサーバーのDSA鍵対を生成します。
sw1# crypto key generate dsa Generating DSA key...Done. sw1#
- SSHクライアントの公開鍵をSSHサーバー(sw1)にコピーします。なお、この例ではTFTPサーバー[192.168.1.200]にSSHクライアントの公開鍵[id_rsa.pub]が保存されている前提で、TFTPサーバーからコピーしています。また、コピー後のファイル名は[sshuser.pub]としています。
sw1# copy tftp: flash: Address of remote host []? 192.168.1.200 Source filename []? id_rsa.pub Destination filename []? sshuser.pub Accessing tftp://192.168.1.200/id_rsa.pub... Transmission start... Transmission finished, file length 234 bytes. Please wait, programming flash.............. Done.
- ユーザー名[sshuser]のSSH認証方式を公開鍵認証方式に設定します。SSHクライアントの公開鍵のファイルパスは[c:/sshuser.pub]に設定します。
sw1# configure terminal sw1(config)# ssh user sshuser authentication-method publickey c:/sshuser.pub sw1(config)# end sw1#
Telnet接続を共通パスワードで行う場合
AAAが無効な装置において、共通パスワードを使用して、装置にTelnet接続する場合の構成例と設定例を示します。
Telnet接続を共通パスワードで行う場合の構成例
- Telnet接続で使用するVLAN 100を作成し、ポート1/0/1をアクセスポートとして[VLAN
100]を割り当てます。また、VLAN 100のIPアドレスを[192.168.1.100/24]に設定します。
sw1# configure terminal sw1(config)# vlan 100 sw1(config-vlan)# exit sw1(config)# interface port 1/0/1 sw1(config-if-port)# switchport mode access sw1(config-if-port)# switchport access vlan 100 sw1(config-if-port)# exit sw1(config)# interface vlan 100 sw1(config-if-vlan)# ip address 192.168.1.100/24 sw1(config-if-vlan)# exit sw1(config)#
- Telnetサーバーを有効にして、Telnetライン設定モードでTelnetのパスワードを[pwteluser]に設定します。また、enableパスワードを[pwenable]に設定します。
sw1(config)# ip telnet server sw1(config)# line telnet sw1(config-line)# password pwteluser sw1(config-line)# exit sw1(config)# enable password pwenable sw1(config)# end sw1#
SSH/Telnet接続でアクセスを許可する端末を制限する場合
SSH/Telnet接続で、10.1.1.1/24の端末にのみアクセスを許可する場合の構成例と設定例を示します。
SSH/Telnetでアクセスを許可する端末を制限する場合の構成例
補 足
以下の操作は、アクセスを許可する端末を制限するための手順です。SSHサーバーとTelnetサーバーの設定は、別途行ってください。
- アクセスリスト[permit-filter]を作成し、[10.1.1.1 0.0.0.0]の許可を定義します。
sw1# configure terminal sw1(config)# ip access-list permit-filter sw1(config-ip-acl)# permit 10.1.1.1 0.0.0.0 sw1(config-ip-acl)# exit sw1(config)#
- SSH/Telnet接続を制限するアクセスリスト[permit-filter]を適用します。
sw1(config)# line ssh sw1(config-line)# access-class permit-filter sw1(config-line)# exit sw1(config)# line telnet sw1(config-line)# access-class permit-filter sw1(config-line)# end sw1#
