第2編
管理運用

SSH/Telnetの構成例と設定例

SSH/Telnetで装置に接続する場合の構成例と設定例を示します。

SSH接続をパスワード認証方式で行う場合

AAAが無効な装置において、パスワード認証方式でSSH接続する場合の構成例と設定例を示します。なお、SSHサーバー(sw1)では「鍵長2048ビットのRSA鍵対」と「DSA鍵対」を生成します。

SSH接続をパスワード認証方式で行う場合の構成例

  • SSH接続で使用するVLAN 100を作成し、ポート1/0/1をアクセスポートとして[VLAN 100]を割り当てます。また、VLAN 100のIPアドレスを[192.168.1.100/24]に設定します。
    sw1# configure terminal
    sw1(config)# vlan 100
    sw1(config-vlan)# exit
    sw1(config)# interface port 1/0/1
    sw1(config-if-port)# switchport mode access
    sw1(config-if-port)# switchport access vlan 100
    sw1(config-if-port)# exit
    sw1(config)# interface vlan 100
    sw1(config-if-vlan)# ip address 192.168.1.100/24
    sw1(config-if-vlan)# exit
    sw1(config)#
  • SSHクライアントのユーザーアカウントとして、ユーザー名を[sshuser]に、パスワードを[pwsshuser]に設定します。また、設定したユーザーアカウントを使用するために、SSHライン設定モードでローカル認証[local]を設定します。
    sw1(config)# username sshuser password pwsshuser
    sw1(config)# line ssh
    sw1(config-line)# login local
    sw1(config-line)# exit
    sw1(config)#
  • SSHサーバーを有効にします。また、ユーザー名[sshuser]のSSH認証方式をパスワード認証方式に設定します。なお、usernameコマンドでユーザーアカウントを設定すると、そのユーザーアカウントに対応したssh user authentication-method設定がデフォルト設定で自動的に作成されます。
    sw1(config)# ip ssh server
    sw1(config)# ssh user sshuser authentication-method password
    sw1(config)# end
    sw1#
  • SSHサーバーのRSA鍵対を鍵長[2048]ビットで生成します。
    sw1# crypto key generate rsa modulus 2048
    
    Generating RSA key...Done.
    
    sw1#
  • SSHサーバーのDSA鍵対を生成します。
    sw1# crypto key generate dsa
    
    Generating DSA key...Done.
    
    sw1#

SSH接続を公開鍵認証方式で行う場合

AAAが無効な装置において、公開鍵認証方式でSSH接続する場合の構成例と設定例を示します。なお、SSHサーバー(sw1)では「鍵長2048ビットのRSA鍵対」と「DSA鍵対」を生成します。

SSH接続を公開鍵認証方式で行う場合の構成例

  • SSH接続で使用するVLAN 100を作成し、ポート1/0/1をアクセスポートとして[VLAN 100]を割り当てます。また、VLAN 100のIPアドレスを[192.168.1.100/24]に設定します。
    sw1# configure terminal
    sw1(config)# vlan 100
    sw1(config-vlan)# exit
    sw1(config)# interface port 1/0/1
    sw1(config-if-port)# switchport mode access
    sw1(config-if-port)# switchport access vlan 100
    sw1(config-if-port)# exit
    sw1(config)# interface vlan 100 
    sw1(config-if-vlan)# ip address 192.168.1.100/24
    sw1(config-if-vlan)# exit
    sw1(config)#
  • SSHクライアントのユーザーアカウントとして、ユーザー名を[sshuser]に、パスワードを[pwsshuser]に設定します。また、設定したユーザーアカウントを使用するために、SSHライン設定モードでローカル認証[local]を設定します。
    sw1(config)# username sshuser password pwsshuser
    sw1(config)# line ssh
    sw1(config-line)# login local
    sw1(config-line)# exit
    sw1(config)#
  • SSHサーバーを有効にします。
    sw1(config)# ip ssh server
    sw1(config)# end
    sw1#
  • SSHサーバーのRSA鍵対を鍵長[2048]ビットで生成します。
    sw1# crypto key generate rsa modulus 2048
    
    Generating RSA key...Done.
    
    sw1#
  • SSHサーバーのDSA鍵対を生成します。
    sw1# crypto key generate dsa
    
    Generating DSA key...Done.
    
    sw1#
  • SSHクライアントの公開鍵をSSHサーバー(sw1)にコピーします。なお、この例ではTFTPサーバー[192.168.1.200]にSSHクライアントの公開鍵[id_rsa.pub]が保存されている前提で、TFTPサーバーからコピーしています。また、コピー後のファイル名は[sshuser.pub]としています。
    sw1# copy tftp: flash:
    
    Address of remote host []? 192.168.1.200
    Source filename []? id_rsa.pub
    Destination filename []? sshuser.pub
    Accessing tftp://192.168.1.200/id_rsa.pub...
    Transmission start...
    Transmission finished, file length 234 bytes.
    Please wait, programming flash.............. Done.
  • ユーザー名[sshuser]のSSH認証方式を公開鍵認証方式に設定します。SSHクライアントの公開鍵のファイルパスは[c:/sshuser.pub]に設定します。
    sw1# configure terminal
    sw1(config)# ssh user sshuser authentication-method publickey c:/sshuser.pub
    sw1(config)# end
    sw1#

Telnet接続を共通パスワードで行う場合

AAAが無効な装置において、共通パスワードを使用して、装置にTelnet接続する場合の構成例と設定例を示します。

Telnet接続を共通パスワードで行う場合の構成例

  • Telnet接続で使用するVLAN 100を作成し、ポート1/0/1をアクセスポートとして[VLAN 100]を割り当てます。また、VLAN 100のIPアドレスを[192.168.1.100/24]に設定します。
    sw1# configure terminal
    sw1(config)# vlan 100
    sw1(config-vlan)# exit
    sw1(config)# interface port 1/0/1
    sw1(config-if-port)# switchport mode access
    sw1(config-if-port)# switchport access vlan 100
    sw1(config-if-port)# exit
    sw1(config)# interface vlan 100
    sw1(config-if-vlan)# ip address 192.168.1.100/24
    sw1(config-if-vlan)# exit
    sw1(config)#
  • Telnetサーバーを有効にして、Telnetライン設定モードでTelnetのパスワードを[pwteluser]に設定します。また、enableパスワードを[pwenable]に設定します。
    sw1(config)# ip telnet server
    sw1(config)# line telnet
    sw1(config-line)# password pwteluser
    sw1(config-line)# exit
    sw1(config)# enable password pwenable
    sw1(config)# end
    sw1#

SSH/Telnet接続でアクセスを許可する端末を制限する場合

SSH/Telnet接続で、10.1.1.1/24の端末にのみアクセスを許可する場合の構成例と設定例を示します。

SSH/Telnetでアクセスを許可する端末を制限する場合の構成例

補 足

以下の操作は、アクセスを許可する端末を制限するための手順です。SSHサーバーとTelnetサーバーの設定は、別途行ってください。

  • アクセスリスト[permit-filter]を作成し、[10.1.1.1 0.0.0.0]の許可を定義します。
    sw1# configure terminal
    sw1(config)# ip access-list permit-filter
    sw1(config-ip-acl)# permit 10.1.1.1 0.0.0.0
    sw1(config-ip-acl)# exit
    sw1(config)#
  • SSH/Telnet接続を制限するアクセスリスト[permit-filter]を適用します。
    sw1(config)# line ssh
    sw1(config-line)# access-class permit-filter
    sw1(config-line)# exit
    sw1(config)# line telnet
    sw1(config-line)# access-class permit-filter
    sw1(config-line)# end
    sw1#

ページトップへ