cisco ssh 設定

SNMP サーバがあるとハードウェアの状態や通信量などを確認しやすいです。ro (Read-Only) で十分です。特に特別な要件が無い限り、rw (Read/Write) は不要ですし設定が書き換えられる危険もあるので設定しないほうがよいです。

次にsshのバージョンを指定します。

SNMP サーバからルータへ一定間隔で MIB 等の情報を取得することを考えます。ルータ・スイッチ側では snmp-server コマンドを設定しますが、この情報がどの端末からも見えてしまうのは困るので、ACLで 10.1.0.0/16 の範囲に限定します。

vtyの設定を見てみると、次のように変更が適用されていました。transport input [all/none/telnet]はリモートアクセスプロトコルを制限するもの。allの場合すべて許可し、noneの場合すべて拒否し、telnetの場合はtelnetのみ許可します。今回はallなのでtelnetを許可しています。

それでは外部から実際にアクセスしてみましょう。
Tera Termからユーザ名とパスワードでssh接続。実際に特権モードへも移行できました。

ちなみに、前述したとおりpasswordコマンドで生成された平文をservice password-encryptionで暗号化したものは簡単にクラックできます。試しにクラックサイト*2に暗号文を入力してみます。そして送信すると…確かに平文testpassが特定されていますね。
ここまで非推奨のpasswordコマンドでの設定を行ってみましたが、secretコマンドで行いたい場合基本passwordの部分をsecretで実行すれば良いです。次の3.3.4からは実際に推奨のsecretコマンドでのパスワード設定の方法を記述します。

そして SSH コンソールの設定。0 から 4 の同時 5 接続を可能にする設定。

また、exec-timeout 0 0 を設定しておけば時間によりログアウトされることが無くなるため、便利です。

SSH接続のログイン時に使用するユーザー名とパスワードを設定を設定します。

必要なら RSTP の設計をした上で設定しましょう。初期設定ではリンクアップが遅くなるなど邪魔なので無効化。STP は Global での無効化はできないので、全てのVLAN で無効にします。

設定後は実際にTearTerm等でtelnetで接続して、設定したパスワードでログイン可能な事を確認します。「IPアドレスとデフォルトゲートウェイの設定」で説明した通りの設定の場合、パソコンをインターフェース1/0/12にツイストペアケーブルで接続し、TeraTerm等を使ってtelnetを開始すると、passwordで設定したパスワードを入力してログイン出来ます。

SSH 接続では、端末とネットワーク機器との間に流れるデータを暗号化することで Telnet よりも安全に利用することができます。そのため、Telnet 接続の設定よりも手順が増え、暗号化に必要な RSA 鍵を生成する設定作業が必要になります。また鍵を生成するために事前に必要な設定をいくつかおこないます。

C3560 の interface Vlan に設定した IP アドレスと同じネットワーク内の IP であれば何でも良いです。

Cisco IOS(CiscoのOS)では、電源を落とすと消える一時的な設定変更内容がrunning-configに存在しています。
電源再投入後も設定を引き継ぎたい場合、running-configの内容をstartup-configへコピーする必要があります。
従って、設定を保存したい場合次のコマンドを実行します。コピー先ファイル名が正しいか確認されるのでEnterを押下し[OK]が出力されれば設定保存完了です。

Web コンソールから GUI で設定を確認したり変更したりできますが、CLI で十分な場合は無効にしてしまいましょう。