SSH/Telnetの機能説明

SSH/Telnetの機能、およびSSH/Telnetで装置に接続するための設定について説明します。

SSHの機能説明

SSHは、暗号や認証を利用して装置（SSHサーバー）とSSHクライアントが安全に通信するためのプロトコルです。SSHでは、パスワードなどを含め、すべての通信が暗号化されます。

SSHサーバーの設定

SSHサーバーの設定について、以下に説明します。

装置にSSHで接続するには、SSHサーバーを有効化します。デフォルト設定では無効です。SSHサーバーを有効化するには、ip ssh serverコマンドを使用します。

SSHプロトコルのTCPポート番号のデフォルト設定は22です。SSHプロトコルのTCPポート番号を変更するには、ip ssh service-portコマンドを使用します。

SSH接続のネゴシエーション時のクライアントからの応答待ち時間は、デフォルト設定では120秒です。応答待ち時間を変更するには、ip ssh timeoutコマンドを使用します。

SSH認証の再試行回数のデフォルト設定は3回です。SSH認証の再試行回数を変更するには、ip ssh authentication-retriesコマンドを使用します。

鍵交換方式（Key exchange algorithms）の有効／無効を設定できます。デフォルト設定ではすべて有効です。鍵交換方式の有効／無効を変更するには、ip ssh key-exchange enableコマンドを使用します。

暗号化方式（Cipher algorithms）の有効／無効を設定できます。デフォルト設定ではすべて有効です。暗号化方式の有効／無効を変更するには、ip ssh cipher enableコマンドを使用します。

メッセージ認証符号（Message Authentication Code）の有効／無効を設定できます。デフォルト設定ではすべて有効です。メッセージ認証符号の有効／無効を変更するには、ip ssh mac enableコマンドを使用します。

SSHサーバー認証の設定

SSHサーバー認証のために、あらかじめSSHサーバーのホストキー（RSA鍵対／DSA鍵対）を作成しておく必要があります。ApresiaNPシリーズでは、RSA鍵対／DSA鍵対のどちらも「SSHプロトコルversion2」でのみ使用できます。

SSHサーバーのRSA鍵対を作成する場合はcrypto key generate rsaコマンドを、DSA鍵対を作成する場合はcrypto key generate dsaコマンドを使用します。また、SSHサーバーのRSA鍵対を削除する場合はcrypto key zeroize rsaコマンドを、DSA鍵対を削除する場合はcrypto key zeroize dsaコマンドを使用します。

SSHユーザー認証の設定

SSHユーザー認証方式には、パスワード認証方式、公開鍵認証方式、およびホストベース認証方式があります。それぞれのSSHユーザー認証方式の設定について、以下に説明します。

SSHユーザー認証のデフォルト設定はパスワード認証方式です。ログインする際にユーザー名とパスワードを入力し、許可されたアカウントの場合にログインできます。他の認証方式に設定している状態からパスワード認証方式に変更するには、passwordパラメーターを指定してssh user authentication-methodコマンドを使用します。

SSHユーザー認証で公開鍵認証方式を使用する場合、SSHクライアントで公開鍵対を生成し、SSHサーバーにクライアントの公開鍵を保存しておきます。公開鍵認証方式に変更するには、publickeyパラメーターとクライアントの公開鍵を指定してssh user authentication-methodコマンドを使用します。

SSHユーザー認証でホストベース認証方式を使用するには、SSHクライアントでホスト鍵を生成し、SSHサーバーにホスト鍵を保存しておきます。ホストベース認証方式に変更するには、hostbasedパラメーターとクライアントのホスト鍵およびホスト名を指定してssh user authentication-methodコマンドを使用します。

AAA無効時のSSHのアクセス設定

AAAが無効（no aaa new-model）で認証方式がパスワード認証の場合、SSHアクセスはloginコマンドの設定によって以下の認証ルールが適用されます。いずれの場合も、usernameコマンドでユーザー名の設定が必要です。

loginコマンドがlocal指定で有効設定の場合（login local）

ローカルのユーザーアカウント（usernameコマンドで設定したユーザー名とパスワード）でログインします。

loginコマンドが有効設定の場合（login）

usernameコマンドで設定したユーザー名と、SSHライン設定モードのpasswordコマンドで設定したパスワードを入力すると、レベル1の特権レベルでログインします。

loginコマンドが無効設定の場合（no login）

認証時にパスワードが無視されます。usernameコマンドで設定したユーザー名と、パスワードとして任意の文字列を入力すると、レベル1の特権レベルでログインします。

Telnetの機能説明

ホストから装置にTelnetで接続する場合の設定方法を説明します。

Telnetサーバーの設定

Telnetサーバーの設定について、以下に説明します。

装置にTelnetで接続するには、Telnetサーバーを有効化します。Telnetサーバーは、デフォルト設定で有効です。Telnetサーバーが無効な状態から有効化するには、ip telnet serverコマンドを使用します。

TelnetプロトコルのウェルノウンTCPポートは23です。Telnetプロトコル用のサービスポートを変更するには、ip telnet service-portコマンドを使用します。

Telnetクライアントの設定

Telnetクライアントから装置にTelnetで接続する場合、Telnet接続で使用するインターフェースを指定します。

Telnet接続で使用するインターフェースは、デフォルト設定では接続先に最も近いインターフェースのIPアドレスです。Telnet接続で使用するインターフェースを指定するには、ip telnet source-interfaceコマンドを使用します。指定したインターフェースのIPアドレスがTelnetパケットの送信元アドレスとして使用されます。

Telnet接続の実行

装置をTelnetクライアントとして別の装置のTelnetサーバーへ接続するには、telnetコマンドを使用します。

Telnet接続の実行

AAA無効時のTelnetのアクセス設定

AAAが無効（no aaa new-model）の場合、Telnetアクセスはloginコマンドの設定によって以下の認証ルールが適用されます。

loginコマンドがlocal指定で有効設定の場合（login local）

ローカルのユーザーアカウント（usernameコマンドで設定したユーザー名とパスワード）でログインします。

loginコマンドが有効設定の場合（login）

Telnetライン設定モードのpasswordコマンドで設定したパスワードを入力すると、レベル1の特権レベルでログインします。

loginコマンドが無効設定の場合（no login）

ユーザー名とパスワードの入力なしで、レベル1の特権レベルでログインします。

SSH/Telnet接続の制限

SSH/Telnet接続による装置へのアクセスを許可する端末を制限できます。アクセスを許可する端末のIPアドレスを定義したアクセスリストをip access-listコマンドまたはipv6 access-listコマンドで作成し、アクセスリストをaccess-classコマンドで指定します。