今回はCiscoルータにSSH接続する方法について記載してみようと思います。
SSHとは?
SSHとは、Telnetと同様でIPネットワークに接続されたルータやスイッチ等を端末から遠隔で操作するための通信プロトコルのことです。
ただし、Telnetと大きく違う点は、その通信を暗号化や認証の技術を用いて行うという点です。
そのため、前回記載した「Telnet接続する方法」よりも難易度が上がります。
検証環境
検証環境はSSH接続用PC1台とCiscoルータ1台を用意しました。
Ciscoルータの初期設定
Router#show running-config
Building configuration...
Current configuration : 553 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
shutdown
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
ip flow-export version 9
!
!
!
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end
Ciscoルータの設定
まずは、SSH接続用PCと接続するためのインタフェースを作成していきます。
FE0/0に「192.168.1.1/24」を設定し、「no shutdown」で開放します。
Router(config)#interface fastEthernet 0/0
Router(config-if)#
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
Router(config-if)#
Router(config-if)#exit
Router(config)#
Cisco機器にSSH接続を行う設定は下記の通りです。
- 特権EXECパスワードの設定
- usernameとpassswordの設定
- ホスト名とドメインの設定
- RSA暗号鍵の設定
- SSHのバージョンの設定
- VTYの設定
最初に「1.特権EXECパスワードの設定」を行います。
この設定はTelnet接続と同様に必要になります。特権EXECパスワードと分かりやすいように「enable」と設定したいと思います。
Router(config)#
Router(config)#enable password enable
Router(config)#
次に「2.usernameとpassswordの設定」をしていきます。
SSHクライアントはここで設定するusernameとpasswordを使ってSSH接続をします。今回はusernameを「sshuser」、passwordを「sshpass」にしたいと思います。
Router(config)#
Router(config)#username sshuser password sshpass
Router(config)#
続いて「3.ホスト名とドメインの設定」をしていきます。
ホスト名とドメイン名はSSH暗号鍵の生成のために必要な設定となります。今回は仮でホスト名を「SSHrouter」、ドメイン名を「ssh.com」にしておこうと思います。
Router(config)#hostname SSHrouter
SSHrouter(config)#
SSHrouter(config)#ip domain-name ssh.com
SSHrouter(config)#
ちなみに、デフォルトのホスト名では「% Please define a hostname other than Router.」というメッセージが出てきてSSHのRSA暗号鍵設定が入らないので必ず設定する必要があります。
続いて「4.RSA暗号鍵の設定」を行います。
この設定はRSA暗号鍵を生成するために必要な設定となります。暗号化に使用するビット数は多い方が強固らしいので一番多い2048bitsを設定しておきます。
SSHrouter(config)#crypto key generate rsa
The name for the keys will be: SSHrouter.ssh.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]
SSHrouter(config)#
続いて「5.SSHのバージョンの設定」を行います。
デフォルトではバージョン1ですが、バージョン2の方がセキュリティが高いので変更しておきます。
SSHrouter(config)#
SSHrouter(config)#ip ssh version 2
SSHrouter(config)#
最後に「6.VTYの設定」を行います。
実際には設定していなくても動きますが、せっかくなのでSSH接続のみ(Telnet接続不可)の設定を入れていきます。
SSHrouter(config)#line vty 0 4
SSHrouter(config-line)#transport input ssh
SSHrouter(config-line)#exit
SSHrouter(config)#
以上で、SSH接続用の設定は完了です。
動作確認
では、SSH接続用PCからCiscoルータに接続してみたいと思います。
ターミナルエミュレータによって画面は異なりますが、TypeをSSH接続にし、Ciscoルータに設定したIPアドレスとユーザ名を入力します。
あとは設定したパスワードを入力することでログインすることができます。
Password:
SSHrouter>
SSHrouter>enable
Password:
SSHrouter#
SSHの接続を確認する場合は「show ssh」コマンドを使用します。
SSHrouter#show ssh
Connection Version Mode Encryption Hmac State Username
195 1.99 IN aes128-cbc hmac-sha1 Session Started sshuser
195 1.99 OUT aes128-cbc hmac-sha1 Session Started sshuser
%No SSHv1 server connections running.
SSHrouter#
Ciscoルータの設定済みコンフィグ
SSHrouter#show running-config
Building configuration...
Current configuration : 693 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname SSHrouter
!
!
!
enable password enable
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
username sshuser password 0 sshpass
!
!
!
!
!
!
!
!
ip ssh version 2
ip domain-name ssh.com
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
ip flow-export version 9
!
!
!
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
transport input ssh
!
!
!
end
最後に
今回はCiscoルータにSSH接続する際の設定について記載しました。
Telnet接続をした場合は、操作内容をパケットキャプチャなどで盗聴できてしまうため、SSH接続をして暗号化することをオススメします。
勉強教材
コメント