セキュリティと VPN : セキュア シェル(SSH)

CatOS が稼働する Catalyst スイッチでの SSH の設定

2008 年 4 月 23 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 1 月 19 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
ネットワーク ダイアグラム
スイッチの設定
SSH の無効化
Catalyst でのデバッグ
接続が良好な場合の debug コマンドの例
      Solaris から Catalyst への Triple Data Encryption Standard(3DES)Telnet パスワード
      PC から Catalyst への 3DES Telnet パスワード
      Solaris から Catalyst への 3DES Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)認証
設定が正しくない場合の debug コマンドの例
      Blowfish 暗号(未サポート)を試みるクライアントの Catalyst デバッグ
      Telnet パスワードが正しくない場合の Catalyst デバッグ
      AAA 認証が正しくない場合の Catalyst デバッグ
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Catalyst OS(CatOS)が稼働している Catalyst スイッチで Secure Shell(SSH)バージョン 1 を設定する手順について説明しています。 テストに使用したバージョンは cat6000-supk9.6-1-1c.bin です。

前提条件

要件

次の表に、各スイッチでの SSH のサポート状況を示します。 登録済みユーザは、これらのソフトウェア イメージを Software Center登録ユーザ専用)からダウンロードできます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

CatOS SSH
デバイス SSH サポート

Cat 4000/4500/2948G/2980G(CatOS)

6.1 時点の K9 イメージ

Cat 5000/5500(CatOS)

6.1 時点の K9 イメージ

Cat 6000/6500(CatOS)

6.1 時点の K9 イメージ

IOS SSH
デバイス SSH サポート

Cat 2950*

12.1(12c)EA1 以降

Cat 3550*

12.1(11)EA1 以降

Cat 4000/4500(統合 Cisco IOS ソフトウェア)*

12.1(13)EW 以降 **

Cat 6000/5500(統合 Cisco IOS ソフトウェア)*

12.1(11b)E 以降

Cat 8540/8510

12.1(12c)EY 以降、12.1(14)E1 以降

SSH なし
デバイス SSH サポート

Cat 1900

なし

Cat 2800

なし

Cat 2948G-L3

なし

Cat 2900XL

なし

Cat 3500XL

なし

Cat 4840G-L3

なし

Cat 4908G-L3

なし


* 設定については『Cisco IOS ルータでの Secure Shell の設定』を参照してください。

** 統合 Cisco IOS ソフトウェアが稼働する Catalyst 4000 の 12.1E トレインでは SSH はサポートされません。

3DES の申し込みについては、『Encryption Software Export Distribution Authorization Form』を参照してください。

このドキュメントでは、(Telnet パスワード TACACS+ を介して)SSH または RADIUS を実装する前に、認証が機能していることを前提としています。 SSH を実装するまでは、SSH with Kerberos はサポートされません。

使用するコンポーネント

このドキュメントでは、CatOS K9 イメージが稼働する Catalyst 2948G、Catalyst 2980G、Catalyst 4000/4500 シリーズ、Catalyst 5000/5500 シリーズ、および Catalyst 6000/6500 シリーズのみを対象としています。 詳細については、このドキュメントの「要件」のセクションを参照してください。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ネットワーク ダイアグラム

ssh_cat_switches.gif

ネットワーク ダイアグラム
※ 画像をクリックすると、大きく表示されます。

スイッチの設定


!--- RSA キーを生成して検証する。

sec-cat6000> (enable) set crypto key rsa 1024
Generating RSA keys..... [OK]
sec-cat6000> (enable) ssh_key_process: host/server key size: 1024/768 

!--- RSA キーを表示する。

sec-cat6000> (enable) show crypto key
RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360
577332853671704785709850606634768746869716963940352440620678575338701550888525
699691478330537840066956987610207810959498648179965330018010844785863472773067
697185256418386243001881008830561241137381692820078674376058275573133448529332
1996682019301329470978268059063378215479385405498193061651 

!--- スイッチに対して SSH を使用することを許可するホスト/サブネットを制限します。
!--- 注: これを行わないと、「WARNING!! IP permit list has no entries!」
!--- というメッセージがスイッチに表示されます。


sec-cat6000> set ip permit 172.18.124.0 255.255.255.0
172.18.124.0 with mask 255.255.255.0 added to IP permit list. 

!--- SSH をオンにします。

sec-cat6000> (enable) set ip permit enable ssh
SSH permit list enabled. 

!--- SSH 許可リストを確認します。

sec-cat6000> (enable) show ip permit
Telnet permit list disabled.
Ssh permit list enabled.
Snmp permit list disabled.
Permit List Mask Access-Type 
---------------- ---------------- -------------
172.18.124.0 255.255.255.0 telnet ssh snmp 

Denied IP Address Last Accessed Time Type
----------------- ------------------ ------

SSH の無効化

状況によっては、スイッチで SSH を無効にすることが必要になる場合があります。 スイッチで SSH が設定されているかどうかを確認し、設定されている場合は無効にします。

スイッチで SSH が設定されているかどうかを確認するには、show crypto key コマンドを発行します。 出力に RSA キーが表示される場合は、スイッチで SSH が設定され、有効になっています。次に例を示します。

sec-cat6000> (enable) show crypto key
RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360
577332853671704785709850606634768746869716963940352440620678575338701550888525
699691478330537840066956987610207810959498648179965330018010844785863472773067
697185256418386243001881008830561241137381692820078674376058275573133448529332
1996682019301329470978268059063378215479385405498193061651 

暗号キーを削除するには、clear crypto key rsa コマンドを発行して、スイッチで SSH を無効にします。次に例を示します。

sec-cat6000> (enable) clear crypto key rsa 
Do you really want to clear RSA keys (y/n) [n]? y 
RSA keys has been cleared. 
sec-cat6000> (enable) 

Catalyst でのデバッグ

デバッグをオンにするには、set trace ssh 4 コマンドを発行します。

デバッグをオフにするには、set trace ssh 0 コマンドを発行します。

接続が良好な場合の debug コマンドの例

Solaris から Catalyst への Triple Data Encryption Standard(3DES)Telnet パスワード

Solaris

rtp-evergreen# ssh -c 3des -v 10.31.1.6
SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5.
Compiled with RSAREF.
rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: Allocated local port 1023.
rtp-evergreen: Connecting to 10.31.1.6 port 22.
rtp-evergreen: Connection established.
rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26
rtp-evergreen: Waiting for server public key.
rtp-evergreen: Received server public key (768 bits) and host key (1024 bits).
Host key not found from the list of known hosts.
Are you sure you want to continue connecting (yes/no)? yes
Host '10.31.1.6' added to the list of known hosts.
rtp-evergreen: Initializing random; seed file //.ssh/random_seed
rtp-evergreen: Encryption type: 3des
rtp-evergreen: Sent encrypted session key.
rtp-evergreen: Installing crc compensation attack detector.
rtp-evergreen: Received encrypted confirmation.
rtp-evergreen: Doing password authentication.
root@10.31.1.6's password: 
rtp-evergreen: Requesting pty.
rtp-evergreen: Failed to get local xauth data.
rtp-evergreen: Requesting X11 forwarding with authentication spoofing.
Warning: Remote host denied X11 forwarding, perhaps xauth program 
   could not be run on the server side. 
rtp-evergreen: Requesting shell.
rtp-evergreen: Entering interactive session.

Cisco Systems Console

sec-cat6000>

Catalyst

sec-cat6000> (enable) debug: _proc->tty = 0x8298a494, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: root
debug: Trying Local Login
Password authentication for root accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 34
Unknown packet type received after authentication: 34
debug: ssh received packet type: 12
debug: ssh88: starting exec shell
debug: Entering interactive session.

PC から Catalyst への 3DES Telnet パスワード

Catalyst

debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: des
debug: Received session key; encryption turned on.
debug: ssh login by user: 
debug: Trying Local Login
Password authentication for accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 37
Unknown packet type received after authentication: 37
debug: ssh received packet type: 12
debug: ssh89: starting exec shell
debug: Entering interactive session.

Solaris から Catalyst への 3DES Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)認証

Solaris

Solaris with aaa on:
rtp-evergreen# ssh -c 3des -l abcde123 -v 10.31.1.6
SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5.
Compiled with RSAREF.
rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: Allocated local port 1023.
rtp-evergreen: Connecting to 10.31.1.6 port 22.
rtp-evergreen: Connection established.
rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26
rtp-evergreen: Waiting for server public key.
rtp-evergreen: Received server public key (768 bits) and host key (1024 bits).
rtp-evergreen: Host '10.31.1.6' is known and matches the host key.
rtp-evergreen: Initializing random; seed file //.ssh/random_seed
rtp-evergreen: Encryption type: 3des
rtp-evergreen: Sent encrypted session key.
rtp-evergreen: Installing crc compensation attack detector.
rtp-evergreen: Received encrypted confirmation.
rtp-evergreen: Doing password authentication.
abcde123@10.31.1.6's password: 
rtp-evergreen: Requesting pty.
rtp-evergreen: Failed to get local xauth data.
rtp-evergreen: Requesting X11 forwarding with authentication spoofing.
Warning: Remote host denied X11 forwarding, perhaps xauth program
   could not be run on the server side.
rtp-evergreen: Requesting shell.
rtp-evergreen: Entering interactive session.

Cisco Systems Console

sec-cat6000>

Catalyst

sec-cat6000> (enable) debug: _proc->tty = 0x82a07714, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: abcde123
debug: Trying TACACS+ Login
Password authentication for abcde123 accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 34
Unknown packet type received after authentication: 34
debug: ssh received packet type: 12
debug: ssh88: starting exec shell
debug: Entering interactive session.

設定が正しくない場合の debug コマンドの例

Blowfish 暗号(未サポート)を試みるクライアントの Catalyst デバッグ

debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: blowfish
cipher_set_key: unknown cipher: 6
debug: Calling cleanup

Telnet パスワードが正しくない場合の Catalyst デバッグ

debug: _proc->tty = 0x82897414, socket_index = 4
debug: version: SSH-1.5-1.2.26
debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: 
debug: Trying Local Login
debug: Password authentication for failed.

AAA 認証が正しくない場合の Catalyst デバッグ

cat6000> (enable) debug: _proc->tty = 0x829abd94, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: junkuser
debug: Trying TACACS+ Login
debug: Password authentication for junkuser failed.
SSH connection closed by remote host.
debug: Calling cleanup

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13881