Cisco ルータ基本設定 part.2 ( CCNA対応 )
Ciscoルーターの基本設定
Cisco製のルータは購入直後や初期化時には何も設定がされていないため、ルータのホスト名を割り当てたりパスワードの設定を行ったりと、いくつかの初期設定が必要となります。
ホストの設定
ルータは複数するときに名前がわかると識別する際に便利です。
Global configモードで可能
(config)#hostname <host名>
設定の削除
// no <取り消したいコマンド>
// ただし、そのコマンドを実行したモードで実行する必要がある
no hostname
パスワードの設定
ルータを遠隔操作する際にはセキュリティを強化しなければいけません。そのため、ログイン認証のためのパスワードを設定する必要があります。
またユーザEXECから特権EXECに移行する際にもパスワードを設けることができ、セキュリティのために一般的です。
コンソールパスワード
Line-configモードで設定します。また設定したら認証を有効化することを忘れないように注意してください。
// Line config モードに移行する
(config)# line console 0
// パスワードを設定する (大文字区別)
(config-line)# password <パスワード>
// 認証を有効化する
(config-line)# login
(config-line)# exit
(config)#
enableパスワード ( EXEC間 )
Global configモードで設定
(config)#enable password <パスワード>
これだけ
終わりでぇーす!
VTYパスワード
vtyパスワードがないとリモートログインできない!!
VTYパスワードの設定はコンソールの時と同様に設定できる。しかしLine configモードに移行するときにline vtyを実行する必要がある
// この範囲のライン番号のVTYポートをまとめて設定できる。
// 開始ライン番号のみ指定した場合、その単一のポートのみ指定可能 (indexは0から)
(config)# line vty <開始ライン番号> [<終了ライン番号>]
VTYポートとは
VTYポートは仮想端末ポートと呼ばれるConsoleポートとは異なる実際に差込口がルータにはない機器の内部に用意されている仮想的なポート。TELNETやSSHでEthernetポートなどの物理的なポートを通って機器内部のVTYポートを経由して接続される。
Router(config)#line vty 0 4
Router(config-line)#password ccna
Router(config-line)#login
Router(config-line)#exit
パスワードの確認
#show running-configで可能
show running-configの便利機能
結果の続きを表示するには以下の2通りの方法があります。
①Enterキーで1行ずつ続きを表示する
②Spaceキーで1画面(デフォルトで24行)ずつ続きを表示する
上記に加え、各showコマンドではコマンドの後ろに │ (パイプ)を用いることで、出力結果を特定の位置から開始するといったことや、条件に一致した内容のみを表示するといったことができます
begin // 指定した内容に一致した行から表示を開始
exclude // 指定した内容に一致した行を行事しない
include // 指定した内容に一致した行のみを表示する
section // 指定した内容に一致したセクションのみを表示
example:
Router# show running-config | section line
line con 0
password pipiapi
login
ローカル認証の設定
コンソールパスワードやVTYパスワードを設定した場合、ログインの際にはパスワードを問われるだけですが、パスワードだけでなく、ユーザ名も必要なローカル認証の設定をすることもできます。
// privilege(特権レベル)には0~15まで指定でき、それ以下のレベルのコマンドのみ実行できる
// デフォルトは1
(config)#username <ユーザ名> [privilege <特権レベル>] password <パスワード>
(config) line console 0
(config-line) login local
- 特権レベル15に設定するとログイン時に特権EXECとしてログインされる
- ローカル認証はGlobal configで設定する
パスワードの暗号化
これまでに設定したパスワードはすべてconfigで確認できるようになっています。しかしセキュリティを考慮するとルータを設定する人に見られてしまうことは好ましくありません。
enableパスワードの暗号化
暗号化されていないパスワードと両方設定したときにはsecretが優先されます。
(config)#enable secret <password>
その他のパスワードの暗号化
コンソール・VTYパスワードの場合、専用の暗号化コマンドはありません。
(config)#service password-encryption
- このコマンドによって設定済みのパスワード、また、今後設定するパスワードも暗号化されて保存されます。
- enable secretよりも暗号化の強度が弱い
// 暗号化が無効になる。しかし、すでに暗号化されて保存されているものは元に戻らない
(config)#no service password-encryption
自動ログアウトの設定
セキュリティを高める一つの方法として自動ログアウトがある。
// consolやVTYでの自動ログアウトするまでの時間を設定
// 秒は省略可能で0がデフォルト
// 分を0に設定すると自動ログアウトが無効になるが、セキュリティ上よろしくない
(config-line)#exec-timeout <分> [<秒>]
SSHの設定
TELNETの場合VTYのみで使用できるが、SSHでアクセスする場合、少し追加の設定が必要。
- hostnameコマンドによるホスト名を設定する (RSA暗号鍵が生成に必要)
-
(config)"ip domain-name <ドメイン名>でドメイン名を設定する (RSA暗号鍵が生成に必要) -
(config)#crypto key generate rsaでRSA暗号鍵を生成 (sample key length is 1024)
- ユーザアカウントを生成する (usernameコマンド)
- ローカル認証を設定する (SSH接続ではVTYパスワードを用いた方法ではログインすることができないため、ローカル認証を用いる必要があります。)
-
(config-line)#transport input <telnet | ssh | all | none>でSSHの接続許可を設定する (allはtelnetとssh両方の指定で、telnet、sshはそれ以外は使用できなくなる) -
(config)#ip ssh version <1 | 2>でSSHのバージョンを設定 (version 2推奨)
設定の例
Rrouter#configure teminal
Rrouter(config)#hostname RouterA
RrouterA(config)#ip domain-name cisc.jp
RrouterA(config)#crypto key generate rsa
RrouterA(config)#username user01 password pass01
RrouterA(config)#line vty 0 4
RrouterA(config-line)#login local
RrouterA(config-line)#transport input ssh
RrouterA(config-line)#exit
RrouterA(config)#ip ssh version 2
::: nessage
特権EXECモードへ移行するにはイネーブルパスワードの設定が必須となります。 SSH接続では、イネーブルパスワードを設定していなかった場合、特権EXECモードへの移行ができなくなるため、同時にイネーブルパスワードの設定も行うようにしてください。
:::
IPアドレスの設定
ルータにはIPアドレスの設定が必要不可欠です
- 設定対象のインテーフェイス (差し込み口)のinterface configモードに移行する (
(config)#interface <タイプ> <ポート番号>)
-
(config-if)#ip address <IPアドレス> <サブネットマスク>でIPアドレスを設定する (ネットワークアドレスやブロードキャストアドレスは設定できない) -
(config-if)#no shutdownでインターフェースを有効化する (ルータのinerfaceはケーブルを接続しただけだと有効にならない)
Discussion