CiscoのSSH設定まとめ

前回BIG-IPでのSSH接続について触れたので、
今回はCisco機器でのSSH設定についてまとめてみたい。


Cisco機器でのSSH設定


まずはリモート接続するにあたって、ユーザ名とパスワードを設定する。
パスワードはMD5での暗号化を使用するようにsecretにした方が良い。

※CiscoのType7での暗号化はアルゴリズムが解読されており、
 ネット上に復号化ツールがでまわっているのであまり使わない方が良い。

 username [username] secret [password]


忘れずにenableのパスワードも設定する。
こちらも基本secretを使用していく。

 enable secret [password]



次にホスト名とドメイン名を指定する。
ドメイン名を設定しなければ鍵生成ができないので注意すること。
鍵生成にホスト名も必要だったかは定かではないが・・・。

 hostname [hostname]


 ip domain name [domain]

※IOSのバージョンにより「ip domain-name」とハイフンが入る場合がある。


次にSSHのバージョンを指定する。

 ip ssh version [1 or 2]


SSHのバージョンに関しては下記のようになっている。

 ・設定なし(Default):バージョン1、2両方使用可能
 ・ip ssh version 1:バージョン1のみ使用可能(バージョン2では接続不可)
 ・ip ssh version 2:バージョン2のみ使用可能(バージョン1では接続不可)


そして、リモート接続の設定をする。
login localで上述の「username」と「password」が使用される。
transport inputでsshのみを指定すれば、telnetでは接続できなくなる。

 line vty 0 4
login local
transport input ssh
exit



最後にSSH接続用の鍵生成をする。

 crypto key generate rsa
[key size]: 2048


このコマンドは対話型になっており、最後に鍵長の設定を聞いてくる。
SSHバージョン2を使用するのであれば、1024 or 2048を指定すると良いだろう。


SSH設定の確認には下記コマンドを使用する。

 show ip ssh


出力内容はCisco公式サイトに分かりやすいものが掲載されていた。

・バージョン 1 接続あり、およびバージョン 2 接続なし
Router#show ip ssh
SSH Enabled - version 1.5
Authentication timeout: 60 secs; Authentication retries: 2

・バージョン 2 接続あり、およびバージョン 1 接続なし
Router#show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3

・バージョン 1 およびバージョン 2 接続あり
Router#show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3

引用:Cisco IOS が稼働するルータとスイッチでの Secure Shell の設定


SSH鍵の生成内容を確認したければ下記コマンドを使用する。

 show crypto key mypubkey rsa


鍵の内容はさっぱりわからないが、ホスト名とドメイン名を使用して
鍵の名前が付けられていることが確認できる。


まとめるとこんな感じ。

 conf t

username admin secret password01
enable secret password02

hostname Router01
ip domain name cisco.com

ip ssh version 2 #セキュリティの為Version2のみにする

access-list 1 permit 192.168.1.0 0.0.0.255 #192.168.1.0/24からのみSSH許可

line vty 0 4
login local
ip access-class 1 in #ACLの適用
transport input ssh
exit

exit


簡単な投入Configの完成である。


Cisco機器からSSH接続


ついでなので、Cisco機器からのSSH接続コマンドを下記に記載する。

 ssh -l [username] [IP address]


これでEnterを押すとパスワードを聞かれる。

 ssh -l admin 192.168.1.1
password:


以上、Cisco機器のSSHに関するまとめ。



実用SSH 第2版―セキュアシェル徹底活用ガイド


人気記事