SSH/Telnetの機能説明
SSH/Telnetの機能、およびSSH/Telnetで装置に接続するための設定について説明します。
SSHの最大セッション数は、マネージメントポート専用が1、それ以外が8です。
NP7000、NP4000、NP2100、NP2000、およびNP2500では、Telnetの最大セッション数は、マネージメントポート専用が1、それ以外が8です。
NP5000およびNP3000では、Telnetの最大セッション数は8です。
SSHの機能説明
SSHは、暗号や認証を利用して装置(SSHサーバー)とホスト(SSHクライアント)が安全に通信するためのプロトコルです。SSHでは、パスワードなどを含め、すべての通信が暗号化されます。
SSHで装置に接続するには、SSHサーバー、SSHサーバー認証、およびSSHユーザー認証を設定します。
SSHサーバーの設定
SSHサーバーの設定について、以下に説明します。
装置にSSHで接続するには、SSHサーバーを有効化します。SSHサーバーは、デフォルト設定では無効です。SSHサーバーを有効化するには、ip ssh serverコマンドを使用します。
SSHプロトコルのウェルノウンTCPポートは22です。SSHプロトコル用のサービスポートを変更するには、ip ssh service-portコマンドを使用します。
SSHセッションタイムアウト時間(SSHクライアントの応答を待つ時間)を変更します。
SSHセッションタイムアウト時間のデフォルト設定は120秒です。SSHセッションタイムアウト時間を変更するには、ip ssh timeoutコマンドを使用します。
SSH認証の再試行回数を変更します。
SSH認証の再試行回数のデフォルト設定は3回です。SSH認証再試行回数を変更するには、ip ssh authentication-retriesコマンドを使用します。
SSHサーバー認証の設定
SSHサーバー認証では、公開鍵認証が使用できます。SSHサーバーで公開鍵認証を使用する場合、RSA鍵対またはDSA鍵対を作成します。鍵対は、公開鍵と秘密鍵のペアです。
NPシリーズではRSA鍵対およびDSA鍵対のどちらも「SSHプロトコルversion2」のみ使用できます。
RSA鍵対を作成する場合はrsaパラメーター、DSA鍵対を作成する場合はdsaパラメーターを指定し、crypto key generateコマンドを使用します。
作成したRSA公開鍵を確認する場合はrsaパラメーター、DSA公開鍵を確認する場合はdsaパラメーターを指定し、show crypto key mypubkeyコマンドを使用します。
作成した鍵対を装置から削除するには、RSA鍵対を削除する場合はrsaパラメーター、DSA鍵対を削除する場合はdsaパラメーターを指定し、crypto key zeroizeコマンドを使用します。
SSHユーザー認証の設定
SSHユーザー認証方式には、パスワード認証方式、公開鍵認証方式、およびホストベース認証方式の3種類があります。それぞれのSSHユーザー認証方式について、以下に説明します。
SSHユーザー認証のデフォルト設定は、パスワードによる認証です。他の認証を設定している状態でパスワードによる認証に変更するには、ssh user authentication-methodコマンドを使用してpasswordパラメーターを設定します。
パスワード認証方式の場合、SSHクライアントでログインする際にユーザー名とパスワードを入力します。入力したユーザー名およびパスワードが装置に登録されているデータと合致した場合、ログインが許可されます。
SSHユーザー認証で公開鍵認証方式を使用する場合、SSHクライアントで公開鍵対を生成し、SSHサーバーにクライアントの公開鍵を保存しておきます。SSHサーバーでは、ssh user authentication-methodコマンドを使用し、publickeyパラメーターとクライアントの公開鍵を設定します。
SSHユーザー認証でホストベース認証方式を使用するには、SSHクライアントでホスト鍵を生成し、SSHサーバーにホスト鍵を保存しておきます。SSHサーバーでは、ssh user authentication-methodコマンドを使用し、hostbasedパラメーターとホスト鍵およびホスト名を設定します。
SSH端末ラインのライン設定モードへの遷移とログイン設定
SSH端末のライン設定モードに遷移するには、line sshコマンドを使用します。SSH端末から装置にログインするには以下のいずれかのコマンドを使用し、かつログイン時のパスワードを指定する必要があります。デフォルト設定はloginコマンドです。
- login localコマンド
ユーザーアカウントのユーザー名とパスワードを使用してログインします。
- loginコマンド
ユーザーアカウントのユーザー名と、ライン設定モードのパスワードを使用してログインします。
ユーザーアカウントのパスワードは、usernameコマンドで設定します。ライン設定モードのパスワードは、passwordコマンドで設定します。
SSHではno loginコマンドは使用できません。
パスワードとして「ap_recovery」は使用できません。
Telnetの機能説明
ホストから装置にTelnetで接続する場合の設定方法を説明します。
Telnetサーバーの設定
Telnetサーバーの設定について、以下に説明します。
装置にTelnetで接続するには、Telnetサーバーを有効化します。Telnetサーバーは、デフォルト設定で有効です。Telnetサーバーが無効な状態から有効化するには、ip telnet serverコマンドを使用します。
TelnetプロトコルのウェルノウンTCPポートは23です。Telnetプロトコル用のサービスポートを変更するには、ip telnet service-portコマンドを使用します。
Telnetクライアントの設定
Telnetクライアントから装置にTelnetで接続する場合、Telnet接続で使用するインターフェースを指定します。
Telnet接続で使用するインターフェースは、デフォルト設定では接続先に最も近いインターフェースのIPアドレスです。Telnet接続で使用するインターフェースを指定するには、ip telnet source-interfaceコマンドを使用します。指定したインターフェースのIPアドレスがTelnetパケットの送信元アドレスとして使用されます。
Telnet接続の実行
装置をTelnetクライアントとして別の装置のTelnetサーバーへ接続するには、telnetコマンドを使用します。
Telnet接続の実行
Telnet端末ラインのライン設定モードへの遷移とログイン設定
Telnet端末のライン設定モードに遷移するには、line telnetコマンドを使用します。また、Telnet端末から装置にログインするには、以下のいずれかのコマンドを使用します。デフォルト設定はloginコマンドです。
- login localコマンド
ユーザーアカウントのユーザー名とパスワードを使用してログインします。
- loginコマンド
ライン設定モードのパスワードを使用してログインします。
- no loginコマンド
ユーザーに関係なくログインします。
ユーザーアカウントのパスワードは、usernameコマンドで設定します。ライン設定モードのパスワードは、passwordコマンドで設定します。
パスワードとして「ap_recovery」は使用できません。
SSH/Telnet接続の制限
SSH/Telnet接続による装置へのアクセスを許可する端末を制限できます。アクセスを許可する端末のIPアドレスを定義したアクセスリストをip access-listコマンドまたはipv6 access-listコマンドで作成し、アクセスリストをaccess-classコマンドで指定します。
本設定で指定する標準IPアクセスリストでは、装置のハードウェアリソースを使用しません。
