CiscoルータのSSH設定

Cisco Systemc - SSH

ネットワーク機器をリモートで管理する時にtelnetとかSSHとか使ってますよね。

今更CLIかよとか思ったりすることもありますが、小回りが効くとか定型化されたコマンドを流し込むようにしてデータを採取するとかの利便性を考えればCLIに落ち着くのも確かです。

そんなtelnetとかSSHですが、telnetはネットワーク上を平文でやり取りしているためセキュリティに煩い昨今は使われなくなりつつあります。

社内LANだし問題無いだろうと思っていても、段々と拡張されるにつれて外部から接続する必要が出てくるかもしれません。それに万が一ネットワーク機器と全く関連が無いセキュリティ事故が起きた時に痛くも無い腹を探られるのは気持ちの良いものではありません。

そんなこんなで基本的にSSHを使うようしようという話です。

Cisco Systems社のIOSでSSHを使うようにするのは難しいことは何もありません。

hostname testrouer
ip domain-name example.com
crypto key generate rsa modulas 2048
ip ssh version 2

ホスト名はどのIOS機器でも設定しているでしょう。

ドメイン名はあまり設定していないかもしれませんが、これを機会に設定してしまいましょう。設定上のルールなのでなんでも良いのですが、後から変更すると面倒になりそうなのでちゃんと命名ルールを決めておいたほうが良いです。

SSHはバージョン1とバージョン2がありますが、バージョン1は脆弱性がありますのでバージョン2を指定します。

あとはキー長の設定ですが、少なくとも2048以上にしておきます。デフォルト値は512ですが、1024でも危ない時代になっていますので、2048を指定しています。

これだけでIOS機器がSSHサーバとして動作するようになります。

あとはVTY側でSSHを許可するだけです。

line vty 0 4
login local
transport input ssh

crypto key generate rsa コマンドは設定として表示されないのですが、生成されたRSAキー(秘密鍵と公開鍵)は設定を保存しないとNVRAMに書き込まれないので、wr memコマンドを忘れないようにしましょう。

Cisco Systems社ルータはSSHクライアントの機能を持っていますので、いわゆる踏み台となるルータでは何も設定する必要がありません。

SSHサーバにアクセスするにはsshコマンドを使います。

ssh -l hoge 10.1.1.1

ちょっと厄介なのは-lオプションでユーザ名を指定しないといけないところぐらいですね。

コメント

タイトルとURLをコピーしました