このページで解説している内容は、以下の YouTube 動画の解説で見ることができます。
ネットワーク構成
ネットワークの構成は、下図のとおりです。
演習ファイルのダウンロード
ネットワークの構成を Packet Tracer で一から設定していくのは大変かと思います。「ダウンロード」から演習で使用するファイルのダウンロードができます。ファイルは、McAfeeインターネットセキュリティでウイルスチェックをしておりますが、ダウンロードは自己責任でお願いいたします。
SSHの設定
SSH(セキュアシェル)は、ネットワークデバイスへ、セキュアなターミナルエミュレーション接続を確立するために使用されるプロトコルです。SSHを使用してルータを管理することができます。
Telnetでは、暗号化を行うことができません。つまり、ネットワーク上に流れるトラフィックをスニファを使用することで傍受されてしまう恐れがあります。
SSHは、Telnetと同様にTCP/IPベースのプロトコルで、セキュアな接続ができることから、Telnetに取って代りつつあります。
ここでは、ルータにSSH接続を行う方法を解説していきます。
IPアドレスを割り当てる
PCとルータが通信できるようにルータのg0/0インターフェイスにIPアドレスを割り当てる必要があります。
ここでは、ドメイン名は、適当に「ccna.com」にしています。
Router(config)#hostname RA
RA(config)#ip domain-name ccna.com
RA(config)#interface g0/0
RA(config-if)#ip address 192.168.1.1 255.255.255.0
RA(config-if)#no shutdown
RA(config-if)#exit
ローカル認証に使用するユーザアカウントを作成する
ここでは、ユーザ名「admin」、パスワード「ccnaccnp」でユーザアカウントを作成しておきます。
RA(config)#username admin password ccnaccnp
以下のように、Telnet(0~4)回線に対して、ローカルログイン、接続の方法をSSHに指定します。
「login local」コマンドで、作成したユーザアカウントでローカル認証を行うようにします。
補足になりますが、Packet Tracer では設定することができませんが、Ciscoルータへの接続を Telnet と SSH の両方を指定することもできます。その場合は、「transport input telnet ssh」と指定します。
RA(config)#line vty 0 4
RA(config-line)#login local
RA(config-line)#transport input ssh
RA(config-line)#exit
●RAのコンフィグ
上で紹介した設定は、グローバル設定モードで以下のコンフィグを流し込むことでも設定できます。
hostname RA
ip domain-name ccna.com
interface g0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
username admin password ccnaccnp
line vty 0 4
login local
transport input ssh
exit
ルータのRSA暗号キーペアを生成する
RA(config)#crypto key generate rsa
デフォルトのモジュラスビットの数値は、512です。ここでは、1024で生成します。
RA(config)#crypto key generate rsa
The name for the keys will be: RA.ccna.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
RA(config)#
SSHのバージョンを設定する
SSHには、バージョン1と2があります。バージョン2の方がよりセキュアとなります。ここでは、バージョン2を設定していきます。
RA(config)#ip ssh version 2
sshを確認するコマンド
show ip ssh
SSHが有効で、どのバージョンが使用されているかを確認するには、「show ip ssh」コマンドを使用します。
RA#show ip ssh
●「show ip ssh」の出力
RA#show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
SSHでの接続
PC0からRAへSSH接続を行います。
C:\>ssh -l admin 192.168.1.1
Password:
RA>
show ssh
「show ssh」コマンドを使用して、ルータへのSSH接続を確認します。
RA#show ssh
Connection Version Mode Encryption Hmac State Username
133 1.99 IN aes128-cbc hmac-sha1 Session Started admin
133 1.99 OUT aes128-cbc hmac-sha1 Session Started admin
%No SSHv1 server connections running.
Telnetと同様な操作で、SSHのセッションをコントロールできます。例えば、「Ctrl」+「Shift」+「6」を押して、「x」を押して、セッションを切り替える操作などは同じです。
演習ファイル(完了)のダウンロード
ネットワークの構成を Packet Tracer で一から設定していくのは大変かと思います。「ダウンロード」から演習を完了させたファイルのダウンロードができます。ファイルは、McAfee インターネットセキュリティでウイルスチェックをしておりますが、ダウンロードは自己責任でお願いいたします。