📖
ssh接続

2025/11/19に公開
 【研修資料】SSHによるセキュアなリモート管理：仕組みと設定本記事は、Ciscoルータを使用したネットワーク研修「SSH接続編」の講義・ハンズオン用資料です。

TelnetとSSHの違い、公開鍵暗号の仕組み、そして実機での設定手順を解説します。

 1. リモート接続とSSHの概要これまでは、ルータを設定するために「コンソールケーブル」を使って物理的に接続していました。しかし、実際の現場では、ルータは遠く離れたサーバルームやデータセンターに設置されています。設定変更のたびに現地に行くのは非効率です。
そこで、ネットワーク経由で遠隔操作する「リモート接続」を使用します。代表的なプロトコルは以下の2つです。

 Telnet (Teletype Network)昔からある標準的なプロトコルです。

問題点: 通信内容（パスワードや設定情報）をすべて「平文（クリアテキスト）」で送信します。もし悪意のある第三者に通信をパケットキャプチャ（盗聴）されると、パスワードがそのまま見えてしまいます。現在はセキュリティの観点からほとんど使用されません。

 SSH (Secure Shell)現在の標準的なリモート接続プロトコルです。

特徴: 通信内容をすべて暗号化します。万が一盗聴されても、中身は解読できないため、安全にリモート操作が可能です。
今回は、このSSHの設定を行います。

 2. SSHの仕組み：公開鍵暗号方式SSHが安全な通信路を確立できるのは、「公開鍵暗号方式」という技術を使用しているからです。

 共通鍵暗号と公開鍵暗号の違い共通鍵暗号（従来の方法）:

「暗号化」と「復号（元に戻す）」に同じ鍵を使います。家の鍵のようなものです。

問題点は、相手に鍵を渡す際、その鍵自体を盗まれてしまうと誰でも開けられてしまうことです。
公開鍵暗号（SSHの方法）:

「公開鍵（みんなに配る鍵）」と「秘密鍵（自分だけが持つ鍵）」のペアを使います。

この2つの鍵には、**「公開鍵で暗号化したものは、対になる秘密鍵でしか元に戻せない」**という特徴があります。

 SSH接続の流れ（安全な通信ができるまで）SSHでは、このペアを使って以下のように安全な通信を開始します。
接続要求:

PC（クライアント）がルータ（サーバー）に接続します。
公開鍵の送付（身分証明）:

ルータは、あらかじめ作っておいた自身の「公開鍵」をPCに送ります。

（※初回接続時にPC側で「指紋（フィンガープリント）が異なります」等の警告が出るのは、この受け取った公開鍵が本当に接続したいルータのものか、人間が確認するためです）
共通鍵の生成と暗号化:

PCは、その後の通信で使う「共通鍵（その場限りの使い捨て鍵）」を生成します。

そして、その共通鍵をルータの公開鍵を使って暗号化し、ルータへ送ります。

★重要：このデータは、対になる秘密鍵を持つルータしか元に戻せません。盗聴されても安全です。
復号:

ルータは、自分だけが持っている「秘密鍵」を使って、送られてきたデータを元に戻し（復号）、共通鍵を取り出します。
暗号化通信:

これで、お互いだけが知っている「共通鍵」が共有できました。以降の通信（ログインIDやパスワード送信など）は、この共通鍵を使ってすべて暗号化して行われます。
この仕組みを実現するために、ルータの設定では「暗号鍵（RSA鍵）の生成」という手順が必須となります。

 3. 「line vty」とは？設定に入る前に、今回初めて登場する line vty について解説します。

 Q. line vty とは？**A. 「ネットワーク越しに入ってくる人のための、仮想的な入り口」**です。

Consoleポート: ルータに物理的に付いている入り口です。ケーブルを挿せば入れます。

VTY (Virtual Teletype): ネットワーク上に存在する「仮想的なドア」です。LANケーブルを通ってやってきた管理者は、このVTYのドアを通ってルータ内部に入ります。

 Q. 0 4 とは？A. 「0番から4番まで、合計5つのドアを用意する」という意味です。

ルータは同時に複数の人がリモート接続できるように、複数の仮想ポートを持っています。line vty 0 4 と指定することで、「0, 1, 2, 3, 4」の5セッション分の設定を一括で行います。

 Q. 何を設定するのか？A. この「仮想ドア」を通るためのルールを決めます。
「誰を通すか？（認証方式）」
「どの方法で入らせるか？（SSHのみ許可するのか、Telnetも許すのか）」

 4. SSHの設定手順 (ハンズオン)ここからは実機での操作になります。

 ステップ1: ホスト名とドメイン名の設定SSHの暗号鍵を生成するには、「FQDN（完全修飾ドメイン名）」が必要です。そのため、ホスト名とドメイン名の設定が必須条件となります。
Router> enable
Router# configure terminal

! 1. ホスト名の設定
Router(config)# hostname RT1

! 2. ドメイン名の設定 (演習用なのでcisco.com等でOK)
RT1(config)# ip domain-name cisco.com

### ステップ2: 特権モードパスワード（Enable Secret）の設定
リモート接続を行う場合、セキュリティの観点から特権モードへの移行パスワード（Enable Secret）が設定されていないと、ログインできない場合があります。必ず設定します。
! パスワードは "cisco" とします
RT1(config)# enable secret cisco

###ステップ3: 暗号鍵 (RSA鍵) の生成
ルータ自身の「秘密鍵」と「公開鍵」のペアを生成します。このコマンドを実行することで、ルータでSSH機能が有効化されます。
RT1(config)# crypto key generate rsa

! 鍵の長さを聞かれます。推奨される 1024 以上を入力します
The name for the keys will be: RT1.cisco.com
Choose the size of the key modulus in the range of 360 to 4096 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 1024
確認: % Generating 1024 bit RSA keys, keys will be non-exportable... と表示されれば成功です。

### ステップ4: ユーザーの作成
「誰がログインできるか」のアカウントを作成します。
! ユーザー名: admin, パスワード: cisco123
RT1(config)# username admin secret cisco123

### ステップ5: VTYライン（仮想ドア）の設定
最後に、VTYポートに対して「SSH接続のみ許可」「ローカルユーザーで認証」という設定を適用します。
! 0番から4番までの5つの仮想ポート設定モードに入る
RT1(config)# line vty 0 4

! 「login local」: ルータに作成したusername/passwordを使って認証する
RT1(config-line)# login local

! 「transport input ssh」: SSHの通信だけを受け入れる (Telnetは拒否)
RT1(config-line)# transport input ssh

RT1(config-line)# end

### ステップ6: 鍵生成の確認
生成された暗号鍵ペアがルータ内に正しく存在するか確認します。 セキュリティ上、秘密鍵を見ることはできませんが、対になる「公開鍵」を表示することで鍵ペアの存在を確認できます。
RT1# show crypto key mypubkey rsa

% Key pair was generated at: ...
Key name: RT1.cisco.com
 Key type: RSA KEYS
 Storage Device: private-config
 Usage: General Purpose Key
 Key is not exportable.
 Key Data:
  30819F30 0D06092A ... (省略) ...
解説: Key Data の下に文字列が表示されていれば、公開鍵（および対になる秘密鍵）は正常に作成・保存されています。

5. 接続確認 (TeraTerm)
PCからTeraTermを使って接続確認を行います。

TeraTermを起動:

「新しい接続」画面を開きます。

ホスト: ルータのIPアドレスを入力します。

サービス: 「SSH」を選択します。（TCPポートは自動的に22になります）

「OK」をクリックします。

セキュリティ警告:

初回接続時のみ、「セキュリティ警告」が表示されます。

これは、ステップ3で生成したルータの「公開鍵」の指紋が表示されている画面です。「このルータを信頼して通信しますか？」という確認ですので、「続行」をクリックします。

認証:

SSH認証画面が表示されます。ステップ4で作成したユーザー情報を入力します。

ユーザー名: admin

パスフレーズ: cisco123

「OK」をクリックします。

ログイン完了:

RT1> というプロンプトが表示されれば、SSHによるリモート接続は成功です！

enable と入力し、ステップ2で設定したパスワード（cisco）を入力して特権モードに入れることも確認しましょう。

(参考) トラブルシューティング
SSHバージョン: セキュリティ強化のため、SSH version 2 の使用が推奨されます。以下のコマンドで強制できます。 RT1(config)# ip ssh version 2

設定のやり直し: ホスト名やドメイン名を変更した場合、鍵を作り直す必要があります。 RT1(config)# crypto key zeroize rsa (鍵の削除) その後、再度 crypto key generate rsa を実行します。
ssh接続

【研修資料】SSHによるセキュアなリモート管理：仕組みと設定

1. リモート接続とSSHの概要

Telnet (Teletype Network)

SSH (Secure Shell)

2. SSHの仕組み：公開鍵暗号方式

共通鍵暗号と公開鍵暗号の違い

SSH接続の流れ（安全な通信ができるまで）

3. 「line vty」とは？

Q. `line vty` とは？

Q. `0 4` とは？

Q. 何を設定するのか？

4. SSHの設定手順 (ハンズオン)

ステップ1: ホスト名とドメイン名の設定

Discussion
