Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
ネットワーキング デバイス上の CLI セッショ ンに関するパスワード、特権レベル、および ログイン ユーザ名によるセキュリティ設定
ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定
発行日;2012/02/01 | 英語版ドキュメント(2011/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定

機能情報の確認

この章の構成

ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定の制約事項

ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定に関する情報

ネットワーキング デバイスに関するセキュリティ スキームを設定する利点

Cisco IOS CLI モード

ユーザ EXEC モード

特権 EXEC モード

グローバル コンフィギュレーション モード

インターフェイス コンフィギュレーション モード

サブインターフェイス コンフィギュレーション モード

Cisco IOS CLI セッション

ローカル CLI セッション

リモート CLI セッション

端末回線はローカルおよびリモートの CLI セッションに使用される

Cisco IOS EXEC モードへのアクセスの保護

ユーザ EXEC モードに対するアクセスの保護

特権 EXEC モードに対するアクセスの保護

Cisco IOS のパスワード暗号化レベル

Cisco IOS CLI セッション のユーザ名

Cisco IOS の特権レベル

Cisco IOS のパスワード設定

ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティの設定方法

ユーザ EXEC モードに対するアクセスの保護

リモート CLI セッションのパスワードの設定と確認

ローカル CLI セッションのパスワードの設定と確認

特権 EXEC モードに対するアクセスの保護

イネーブル パスワードの設定と確認

クリア テキスト パスワードのパスワード暗号化の設定

イネーブル シークレット パスワードの設定と確認

CLI セッションおよび CLI コマンドに対するアクセスを管理するためのパスワード、特権レベル、およびユーザ名の設定

窓口のテクニカル サポート スタッフ用のネットワーキング デバイスの設定

窓口のテクニカル サポート スタッフの設定の確認

窓口のテクニカル サポート スタッフのユーザ名を必須にするネットワーキング デバイスの設定および確認

ローカル CLI セッションの忘失パスワードおよび誤設定パスワードの復元

ネットワーキング デバイスがリモート CLI セッションを許可するように設定されている

ネットワーキング デバイスがリモート CLI セッションを許可するように設定されておらず、ローカル CLI セッション パスワードがスタートアップ コンフィギュレーション ファイルに保存されていない

ネットワーキング デバイスがリモート CLI セッションを許可するように設定されておらず、ローカル CLI セッション パスワードがスタートアップ コンフィギュレーション ファイルに保存されている

リモート CLI セッションの忘失パスワードおよび誤設定パスワードの復元

ネットワーキング デバイスがローカル CLI セッションを許可するように設定されている

ネットワーキング デバイスがローカル CLI セッションを許可するように設定されておらず、リモート CLI セッション パスワードがスタートアップ コンフィギュレーション ファイルに保存されていない

ネットワーキング デバイスがローカル CLI セッションを許可するように設定されておらず、リモート CLI セッション パスワードがスタートアップ コンフィギュレーション ファイルに保存されている

特権 EXEC モードの忘失パスワードまたは誤設定したパスワードの復元

誤設定した特権 EXEC モード パスワードをスタートアップ コンフィギュレーション ファイルに保存していない

誤設定した特権 EXEC モード パスワードがスタートアップ コンフィギュレーション ファイルに保存されているか、特権 EXEC モードパスワードを紛失した

ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定の設定例

管理者以外のユーザがリモート CLI セッションをクリアできるようにネットワーク デバイスを設定および確認する方法:例

管理者以外のユーザが実行コンフィギュレーションを自動的に表示できるようにネットワーキング デバイスを設定および確認する方法:例

管理者以外のユーザがインターフェイスをシャットダウンおよびイネーブルにできるようにネットワーク デバイスを設定および確認する方法:例

関連情報

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定の機能情報

ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定

Cisco IOS ベースのネットワーキング デバイスには、デバイスで実行されているオペレーティング システムだけを使用して、基本的なセキュリティを実装できる機能が複数あります。たとえば、次の機能が含まれます。

ネットワーキング デバイスのステータスを変更できるコマンドと、デバイスの監視に使用されるコマンドに対するアクセスを制御する CLI セッションの複数の認可レベル

CLI セッションにパスワードを割り当てる機能

ユーザがユーザ名を使用してネットワーキング デバイスにログインする操作を必須にする機能

CLI セッション用に新しい承認レベルを作成するコマンドの特権レベルを変更する機能

このモジュールは、使用しているネットワーキング デバイスについて、基本レベルのセキュリティを実装する手順です。基本レベルのセキュリティを実装するために使用できる、最もシンプルなオプションを中心に説明します。セキュリティ オプションを設定せずにネットワークにネットワーキング デバイスをインストールした場合、またはこれからネットワーキング デバイスをインストールする予定で、基本的なセキュリティを実装する方法を理解する必要がある場合、このドキュメントが役立ちます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定の機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

この章の構成

「ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定の制約事項」

「ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定に関する情報」

「ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティの設定方法」

「ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定の設定例」

「関連情報」

「その他の参考資料」

「ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定の機能情報」

ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定の制約事項

任意のローカルまたはリモートの Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)セキュリティ機能を使用するようにネットワーキング デバイスを設定しないでください。ここでは、ネットワーキング デバイスのローカルで設定できる非 AAA セキュリティ機能についてだけ説明します。

ネットワーキング デバイスのローカルで実行できる AAA セキュリティ機能を設定する方法、または TACACS+ または RADIUS サーバを使用してリモート AAA セキュリティを設定する方法については、『 Cisco IOS Security Configuration Guide 』を参照してください。

ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定に関する情報

パスワード、CLI 特権レベル、およびユーザ名を使用してルータのセキュリティを設定するには、次の概念を理解する必要があります。

「ネットワーキング デバイスに関するセキュリティ スキームを設定する利点」

「Cisco IOS CLI モード」

「Cisco IOS CLI セッション」

「Cisco IOS EXEC モードへのアクセスの保護」

「Cisco IOS のパスワード暗号化レベル」

「Cisco IOS CLI セッション のユーザ名」

「Cisco IOS の特権レベル」

「Cisco IOS のパスワード設定」

ネットワーキング デバイスに関するセキュリティ スキームを設定する利点

ネットワークの優れたセキュリティ スキームの基礎は、ネットワーキング デバイスのユーザ インターフェイスを不正アクセスから保護することです。ネットワーキング デバイス上のユーザ インターフェイスに対するアクセスを保護することで、ネットワークの安定を妨げ、ネットワーク セキュリティを危険にさらすような設定の変更を不正ユーザが行うことを回避できます。

このドキュメントで説明する Cisco IOS 機能をさまざまな方法で組み合わせて、実際の各ネットワーキング デバイスに固有のセキュリティ スキームを作成できます。次に、いくつかの設定例を示します。

コマンドを実行可能なレベルを非管理特権レベルまで下げることで、非管理ユーザに対して、ネットワーキング デバイスで使用できる管理コマンドの一部の実行を許可できます。この処理は、次のシナリオに役立ちます。

ISP で、窓口のテクニカル サポート スタッフが、新規顧客の新規インターフェイスをイネーブルにするタスク、または接続がトラフィックのパスを停止した顧客の接続をリセットするタスクなどを実行できるようにする場合。その実行方法の例については、「管理者以外のユーザがインターフェイスをシャットダウンおよびイネーブルにできるようにネットワーク デバイスを設定および確認する方法:例」を参照してください。

窓口のテクニカル サポート スタッフが、ターミナル サーバから不正に接続解除されたコンソール ポート セッションをクリアする機能を実行できるようにする場合。その実行方法の例については、「管理者以外のユーザがリモート CLI セッションをクリアできるようにネットワーク デバイスを設定および確認する方法:例」を参照してください。

窓口のテクニカル サポート スタッフに、ネットワーキング デバイス設定の表示を許可し(ただし変更は許可しない)、ネットワーキングの問題を解決しやすくする場合。その実行方法の例については、「管理者以外のユーザが実行コンフィギュレーションを自動的に表示できるようにネットワーキング デバイスを設定および確認する方法:例」を参照してください。

Cisco IOS CLI モード

シスコ デバイスを設定しやすくするために、Cisco IOS コマンドライン インターフェイスは複数のコマンド モードに分かれています。各コマンド モードには、ルータおよびネットワーク操作の設定、保守、および監視に使用できる固有のコマンド セットがあります。使用できるコマンドは、現在のモードによって常に異なります。システム プロンプト(ルータ プロンプト)に疑問符( ? )を入力すると、各コマンド モードで使用できるコマンドのリストを取得できます。

特定のコマンドを使用すると、あるコマンド モードから別のコマンド モードに移動できます。ユーザがモードにアクセスする標準の順序は、ユーザ EXEC モード、特権 EXEC モード、グローバル コンフィギュレーション モード、特定のコンフィギュレーション モード、コンフィギュレーション サブモード、およびコンフィギュレーション サブモードです。


) Cisco IOS ソフトウェア ベースのネットワーキング デバイスのデフォルト設定で使用できるのは、ユーザ EXEC モード(ローカルおよびリモートの CLI セッションの場合)と特権 EXEC モードへのアクセスを保護するパスワードを設定する操作だけです。ここでは、ユーザ名、パスワード、および privilege コマンドを組み合わせて他のモードへのアクセスおよびコマンドを保護することで、追加レベルのセキュリティを提供する方法について説明します。


ほとんどの EXEC モード コマンドはワンタイム コマンドです。たとえば、現在の設定ステータスを表示する show または more コマンドや、カウンタやインターフェイスをクリアする clear コマンドです。EXEC モード コマンドは、ルータのリブート後には保存されません。

特権 EXEC モードから、 グローバル コンフィギュレーション モード を開始できます。このモードでは、全般的なシステム特性を設定するコマンドを入力できます。また、特定のコンフィギュレーション モードを開始するためにグローバル コンフィギュレーション モードを使用できます。グローバル コンフィギュレーション モードを含め、コンフィギュレーション モードを使用すると、実行中の設定を変更できます。後で設定を保存する場合、これらのコマンドはルータのリブート後も保存されます。

グローバル コンフィギュレーション モードから、多様なプロトコル固有または機能固有のコンフィギュレーション モードを開始できます。CLI 階層では、グローバル コンフィギュレーション モードを介して特定のコンフィギュレーション モードだけを開始する必要があります。たとえば、 インターフェイス コンフィギュレーション モード は共通して使用されるコンフィギュレーション モードです。

コンフィギュレーション モードから、コンフィギュレーション サブモードを開始できます。コンフィギュレーション サブモードは、特定のコンフィギュレーション モードの範囲内の特定の機能の設定に使用されます。たとえば、この章では、インターフェイス コンフィギュレーション モードのサブモードである サブインターフェイス コンフィギュレーション モード について説明します。

ROM モニタ モード は、ルータが適切にブートできない場合に使用される別のモードです。使用しているシステム(ルータ、スイッチ、またはアクセス サーバ)が、ブート時にロードできる有効なシステム イメージを検索できない場合、ROM モニタ モードが開始されます。ROM モニタ(ROMMON)モードには、起動時にブート シーケンスを中断することでアクセスすることもできます。ROMMON には使用できるセキュリティ機能がないため、このドキュメントでは説明していません。

ここでは、次のコマンド モードの詳細について説明します。

ユーザ EXEC モード

特権 EXEC モード

グローバル コンフィギュレーション モード

インターフェイス コンフィギュレーション モード

サブインターフェイス コンフィギュレーション モード

ユーザ EXEC モード

ルータでセッションを開始するときは、通常、EXEC モードの 2 つあるアクセス レベルの 1 つである ユーザ EXEC モード から始めます。セキュリティのために、ユーザ EXEC モードで使用できる EXEC コマンドは制限されています。このレベルのアクセスは、ルータ ステータスの確認など、ルータの設定を変更しないタスクのために予約されています。

デバイスの設定で、ユーザのログインが必須の場合、そのログイン プロセスはユーザ名とパスワードが必須になります。接続試行が拒否される前に、パスワードを 3 回試すことができます。

ユーザ EXEC モードは、デフォルトで特権レベル 1 に設定されています。特権 EXEC モードは、デフォルトで特権レベル 15 に設定されています。詳細については、「特権 EXEC モード」を参照してください。ユーザ EXEC モードでネットワーキング デバイスにログインしている場合、システムは特権レベル 1 で実行されます。デフォルトで、特権レベル 1 の EXEC コマンドは、特権レベル 15 で使用できるコマンドのサブセットです。特権 EXEC モードでネットワーキング デバイスにログインしている場合、システムは特権レベル 15 で実行されます。 privilege コマンドを使用すると、1 ~ 15 の任意の特権レベルにコマンドを移動できます。特権レベルおよび privilege コマンドの詳細については、「Cisco IOS の特権レベル」を参照してください。

一般的に、ユーザ EXEC コマンドを使用すると、リモート デバイスへの接続、一時的な端末回線設定の変更、基本的なテストの実行、およびシステム情報リストの表示を実行できます。

使用できるユーザ EXEC コマンド リストを表示するには、次のコマンドを使用します。

 

コマンド
目的

Router(config)# ?

ユーザ EXEC モード コマンド リストを表示します

ユーザ EXEC モード プロンプトは、デバイスのホスト名と、それに続く山カッコ(>)で構成されます。次に例を示します。

Router>
 

setup EXEC コマンドで初期設定時に変更していなければ、通常はデフォルトのホスト名は Router です。また、 hostname グローバル コンフィギュレーション コマンドを使用してホスト名を変更します。


) Cisco IOS ドキュメントの例では、「Router」というデフォルト名を使用していると想定しています。(アクセス サーバなど)デバイスによって異なるデフォルト名を使用できます。ルーティング デバイス(ルータ、アクセス サーバ、またはスイッチ)に hostname コマンドで名前を付けた場合、その名前はデフォルト名の代わりにプロンプトとして表示されます。


ユーザ EXEC モードで使用できるコマンド リストを表示するには、次の例のように、疑問符( ? )を入力します。

Router> ?
Exec commands:
<1-99> Session number to resume
connect Open a terminal connection
disconnect Disconnect an existing telnet session
enable Turn on privileged commands
exit Exit from Exec mode
help Description of the interactive help system
lat Open a lat connection
lock Lock the terminal
login Log in as a particular user
logout Exit from Exec mode and log out
menu Start a menu-based user interface
mbranch Trace multicast route for branch of tree
mrbranch Trace reverse multicast route to branch of tree
mtrace Trace multicast route to group
name-connection Name an existing telnet connection
pad Open a X.29 PAD connection
ping Send echo messages
resume Resume an active telnet connection
show Show running system information
systat Display information about terminal lines
telnet Open a telnet connection
terminal Set terminal line parameters
tn3270 Open a tn3270 connection
trace Trace route to destination
where List active telnet connections
x3 Set X.3 parameters on PAD
 
 

コマンド リストは、使用しているソフトウェア フィーチャー セットまたはルータ プロファイルによって異なります。


) コマンド入力には、大文字、小文字、またはその混合を使用できます。パスワードのみ、大文字と小文字が区別されます。ただし、Cisco IOS マニュアルの表記法では、常に小文字でコマンドを表記します。


特権 EXEC モード

すべてのコマンドにアクセスするには、EXEC モードの第 2 レベルである 特権 EXEC モード を開始する必要があります。通常、特権 EXEC モードを開始するには、パスワードを入力する必要があります。特権 EXEC モードは ユーザ EXEC モード コマンドのスーパーセットなので、特権 EXEC モードではすべての EXEC コマンドを入力できます。

多くの特権 EXEC モード コマンドは操作パラメータを設定するため、不正使用を防ぐために、特権 EXEC レベル アクセスをパスワードで保護する必要があります。このようなユーザ EXEC モードのコマンドは、特権 EXEC コマンド セットに含まれます。また、特権 EXEC モードでは、 configure コマンドを介してコンフィギュレーション モードにアクセスできます。また、 debug などの高度なテスト コマンドも含まれます。

特権 EXEC モードは、デフォルトで特権レベル 15 に設定されています。ユーザ EXEC モードは、デフォルトで特権レベル 1 に設定されています。詳細については、「ユーザ EXEC モード」を参照してください。特権 EXEC モードでネットワーキング デバイスにログインしている場合、システムは特権レベル 15 で実行されます。ユーザ EXEC モードでネットワーキング デバイスにログインしている場合、システムは特権レベル 1 で実行されます。デフォルトで、特権レベル 15 の EXEC コマンドは、特権レベル 1 で使用できるコマンドのスーパーセットです。 privilege コマンドを使用すると、1 ~ 15 の任意の特権レベルにコマンドを移動できます。特権レベルおよび privilege コマンドの詳細については、「Cisco IOS の特権レベル」を参照してください。

特権 EXEC モード プロンプトは、デバイスのホスト名と、それに続くポンド記号(#)で構成されます。次に例を示します。

Router#
 

特権 EXEC モードにアクセスするには、次のコマンドを使用します。

 

コマンド
目的

Router> enable

Password

Router# exit

Router>

特権 EXEC モードをイネーブルにします。

特権 EXEC モードのパスワードを選択すると、enable コマンドの発行後にパスワードの入力が求められます。

特権 EXEC モードを終了するには、exit コマンドを使用します。


) 特権 EXEC モードは、モードの開始に enable コマンドを使用するため、「イネーブル モード」とも呼ばれます。


システムにパスワードを設定すると、特権 EXEC モードへのアクセスが許可される前に、パスワードの入力が求められます。パスワードは画面に表示されません。また、大文字と小文字が区別されます。イネーブル パスワードを設定した場合、特権 EXEC モードには、ローカル CLI セッション(コンソール ポートに接続する端末)でのみアクセスできます。

Telnet 接続などのリモート接続を使用してルータで特権 EXEC モードにアクセスを試行し、特権 EXEC モード用のパスワードを設定していない場合、 % No password set エラー メッセージが表示されます。リモート接続の詳細については、「リモート CLI セッション」を参照してください システム管理者は、 enable secret または enable password グローバル コンフィギュレーション コマンドを使用して、特権 EXEC モードへのアクセスを制限するパスワードを設定します。特権 EXEC モードのパスワードを設定する方法については、「特権 EXEC モードに対するアクセスの保護」を参照してください。

ユーザ EXEC モードに戻すには、次のコマンドを使用します。

 

コマンド
目的

Router# disable

特権 EXEC モードを終了し、ユーザ EXEC モードに戻します。

次に、特権 EXEC モードにアクセスするプロセスの例を示します。

Router> enable
Password:<letmein>
Router#
 

入力時にパスワードは表示されませんが、ここでは説明のために表示しています。特権 EXEC モードで使用できるコマンド リストを表示するには、プロンプトで ? コマンドを発行します。特権 EXEC モードからはグローバル コンフィギュレーション モードにアクセスできます。詳細については次の項を参照してください。


) 特権 EXEC コマンド セットには、ユーザ EXEC モードで使用できるすべてのコマンドが含まれるため、一部のコマンドは両方のコマンドで入力できます。Cisco IOS ドキュメントでは、ユーザ EXEC モードと特権 EXEC モードで入力できるコマンドは、EXEC モード コマンドと呼ばれます。ユーザまたは特権とドキュメントに特記されていない場合、どちらのモードでもそのコマンドを入力できることを示します。


グローバル コンフィギュレーション モード

「グローバル」という用語は、システム全体に影響がある特性または機能を示すために使用されます。グローバル コンフィギュレーション モードは、グローバルにシステムを設定する場合、または特定のコンフィギュレーション モードを開始して、インターフェイスまたはプロトコルなどの特定の要素を設定する場合に使用されます。 configure terminal 特権 EXEC コマンドを使用して、グローバル コンフィギュレーション モードを開始します。

グローバル コンフィギュレーション モードにアクセスするには、特権 EXEC モードで次のコマンドを使用します。

 

コマンド
目的

Router# configure terminal

特権 EXEC モードから、グローバル コンフィギュレーション モードを開始します。

次に、特権 EXEC モードからグローバル コンフィギュレーション モードを開始するプロセスの例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
 

システム プロンプトは、グローバル コンフィギュレーション モードの使用中であることを示す内容に変わります。グローバル コンフィギュレーション モードのプロンプトは、デバイスのホスト名と、それに続く (config) およびポンド記号( # )で構成されます。特権 EXEC モードで使用できるコマンド リストを表示するには、プロンプトで ? コマンドを発行します。

グローバル コンフィギュレーション モードでコマンドを入力すると、直ちに実行コンフィギュレーション ファイルが更新されます。つまり、有効なコマンドを入力して Enter キーまたは Return キーを押すたびに、設定の変更は有効になります。ただし、これらの変更は、 copy running-config startup-config EXEC モード コマンドを発行するまで、スタートアップ コンフィギュレーション ファイルに保存されません。この動作の詳細については、このドキュメントで後述します。

上記の例のように、コントロール(Ctrl)キーと「z」キーを同時に押すと、システム ダイアログでコンフィギュレーション セッションを終了するプロンプトが表示されます。このキー操作で、 ^Z が画面に出力されます。実際にコンフィギュレーション セッションを終了するには、Ctrl+Z キーの組み合わせ、 end コマンド、または Ctrl+ キーの組み合わせを使用できます。 end コマンドは、現在のコンフィギュレーション セッションを終了することをシステムに対して示す場合に推奨される方法です。


注意 有効なコマンドを入力してから、コマンドラインの最後で Ctrl+Z を使用すると、そのコマンドは実行コンフィギュレーション ファイルに追加されます。つまり、Ctrl+Z 操作は、終了前に Enter(復帰)キーを押す操作と同等です。そのため、end コマンドを使用してコンフィギュレーション セッションを終了する方が安全です。または、Ctrl+ キーの組み合わせを使用して、復帰信号を送信せずにコンフィギュレーション セッションを終了できます。

また、 exit コマンドを使用して、グローバル コンフィギュレーション モードから EXEC モードに戻ることもできますが、使用できるのはグローバル コンフィギュレーション モードだけです。Ctrl+Z キーを押すか end コマンドを入力すると、使用中のコンフィギュレーション モードまたはコンフィギュレーション サブモードに関係なく、常に EXEC モードに戻ります。

グローバル コンフィギュレーション コマンド モードを終了し、特権 EXEC モードに戻るには、次のコマンドのいずれかを使用します。

 

コマンド
目的

Router(config)# end

または

Router(config)# ^Z

現在のコンフィギュレーション セッションを終了して、特権 EXEC モードに戻ります。

Router(config)# exit

現在のコマンド モードを終了して、以前のモードに戻ります。たとえば、グローバル コンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

グローバル コンフィギュレーション モードから、プロトコル固有、プラットフォーム固有、および機能固有のコンフィギュレーション モードを開始できます。

次の項で説明するインターフェイス コンフィギュレーション モードは、グローバル コンフィギュレーション モードから開始できるコンフィギュレーション モードの一例です。

インターフェイス コンフィギュレーション モード

グローバル コンフィギュレーション モードから開始する特定のコンフィギュレーション モードの例として、インターフェイス コンフィギュレーション モードがあります。

多くの機能は、インターフェイス別にイネーブルにされます。インターフェイス コンフィギュレーション コマンドを使用して、イーサネット、FDDI、シリアル ポートなどのインターフェイスの操作を変更します。インターフェイス コンフィギュレーション コマンドは常に、インターフェイス タイプを定義する interface グローバル コンフィギュレーション コマンドの後に指定します。

帯域幅やクロック レートなど、一般的なインターフェイス パラメータに影響があるインターフェイス コンフィギュレーション コマンドの詳細については、リリース 12.2 の『 Cisco IOS Interface Configuration Guide 』を参照してください。プロトコル固有のコマンドについては、該当する Cisco IOS ソフトウェア コマンド インターフェイスを参照してください。

インターフェイス コンフィギュレーション コマンドにアクセスし、コマンド リストを表示するには、次のコマンドを使用します。

 

コマンド
目的

Router(config)# interface type number

設定するインターフェイスを指定します。インターフェイス コンフィギュレーション モードを開始します。

次に、シリアル インターフェイス 0 についてユーザがインターフェイス コンフィギュレーション モードを開始する例を示します。新しいプロンプトの hostname (config-if)# は、インターフェイス コンフィギュレーション モードを示します。

Router(config)# interface serial 0
Router(config-if)#
 

インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻るには、 exit コマンドを入力します。

コンフィギュレーション サブモードは、(グローバル コンフィギュレーション モード以外の)他のコンフィギュレーション モードから開始されたコンフィギュレーション モードです。コンフィギュレーション サブモードは、コンフィギュレーション モード内の特定要素を設定するためのモードです。たとえば、次の項で説明するサブインターフェイス コンフィギュレーション モードなどです。

サブインターフェイス コンフィギュレーション モード

インターフェイス コンフィギュレーション モードから、サブインターフェイス コンフィギュレーション モードを開始できます。サブインターフェイス コンフィギュレーション モードは、インターフェイス コンフィギュレーション モードのサブモードです。サブインターフェイス コンフィギュレーション モードでは、単一の物理インターフェイス上に複数の仮想インターフェイス(サブインターフェイスと呼ばれます)を設定できます。多様なプロトコルからは、サブインターフェイスが個別の物理インターフェイスのように見えます。

サブインターフェイスの詳細に設定方法については、Cisco IOS ソフトウェア ドキュメント セットで、そのプロトコルの該当するドキュメント モジュールを参照してください。

サブインターフェイス コンフィギュレーション モードにアクセスするには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# interface type number

設定する仮想インターフェイスを指定し、サブインターフェイス コンフィギュレーション モードを開始します。

次の例では、シリアル回線 2 用のサブインターフェイスを設定します。この回線は、フレームリレー カプセル化のために設定されています。サブインターフェイスは、シリアル インターフェイス 2 のサブインターフェイス 1 であることを示すために、「2.1」と指定されます。新しいプロンプトの hostname (config-subif)# は、サブインターフェイス コンフィギュレーション モードを示します。サブインターフェイスを設定して、1 つまたは複数のフレーム リレー PVC をサポートできます。

Router(config)# interface serial 2
Router(config-if)# encapsulation frame-relay
Router(config-if)# interface serial 2.1
Router(config-subif)#
 

サブインターフェイス コンフィギュレーション モードを終了し、インターフェイス コンフィギュレーション モードに戻るには、 exit コマンドを使用します。コンフィギュレーション セッションを終了し、特権 EXEC モードに戻るには、Ctrl+Z キーを押すか、 end コマンドを入力します。

ローカル CLI セッション

ローカル CLI セッションでは、ネットワーキング デバイスのコンソール ポートに対するダイレクト アクセスが必要です。ローカル CLI セッションは、ユーザ EXEC モードで開始されます。使用しているネットワーキング デバイスでサポートされるさまざまなモードの詳細については、「Cisco IOS CLI モード」を参照してください。ネットワーキング デバイスの設定とおよび管理に必要なすべてのタスクは、ローカル CLI セッションを使用して実行できます。ローカル CLI セッションを確立する最も一般的な方式は、PC 上のシリアル ポートを、ネットワーキング デバイスのコンソール ポートに接続し、PC で端末エミュレーション アプリケーションを起動する方法です。必要なケーブルとコネクタの種類と、PC の端末エミュレーション アプリケーションの設定は、設定対象のネットワーキング デバイスの種類によって変わります。ローカル CLI セッションでネットワーキング デバイスを設定する方法の詳細については、そのデバイスのマニュアルを参照してください。

リモート CLI セッション

リモート CLI セッションは、Telnet や Secure Shell(SSH; セキュア シェル)などのリモート ターミナル アクセス アプリケーションを使用して、PC などのホストと、ネットワーク上のルータなどのネットワーキング デバイスとの間に作成されます。ローカル CLI セッションは、ユーザ EXEC モードで開始されます。使用しているネットワーキング デバイスでサポートされるさまざまなモードの詳細については、「Cisco IOS CLI モード」を参照してください。ネットワーキング デバイスの設定とおよび管理に必要なすべてのほとんどは、リモート CLI セッションを使用して実行できます。ただし、コンソール ポートと直接やりとりするタスク(コンソール ポートで新しい OS イメージをアップロードすることで、破損したオペレーティング システム(OS)から回復するタスクなど)、および ROM モニタ モードの場合にネットワーキング デバイスとやりとりするタスクは除きます。

このドキュメントでは、リモート Telnet セッションのセキュリティを設定する方法について説明します。Telnet は、ネットワーキング デバイスでリモート CLI セッションにアクセスする際に最も一般的な方式です。


) ただし、SSH の方が Telnet よりも安全な方式です。SSH には、PC などのローカル管理デバイスと、管理しているネットワーキング デバイスとの間のセッション トラフィックを暗号化する機能があります。SSH を使用してセッション トラフィックを暗号化すると、ハッカーがトラフィックを傍受しても、トラフィックをデコードできなくなります。SSH の使用の詳細については、「Secure Shell Version 2 Support」フィーチャ モジュールを参照してください。


端末回線はローカルおよびリモートの CLI セッションに使用される

シスコ ネットワーキング デバイスでは、ライン(回線)という言葉を、ローカルおよびリモート CLI セッションを管理するソフトウェア コンポーネントを指すときに使用しています。 line console 0 グローバル コンフィギュレーション コマンドを使用してライン コンフィギュレーション モードを開始し、パスワードなど、コンソール ポートのオプションを設定します。

Router# configure terminal
Router(config)# line console 0
Router(config-line)# password password-string
 

リモート CLI セッションでは、Virtual Teletypewriter(VTY)ラインを指すときにラインを使用しています。 line vty line-number [ ending-line-number ] グローバル コンフィギュレーション コマンドを使用してライン コンフィギュレーション モードを開始し、パスワードなど、リモート CLI セッションのオプションを設定します。

Router# configure terminal
Router(config)# line vty 0 4
Router(config-line)# password password-string
 

Cisco IOS EXEC モードへのアクセスの保護

Cisco IOS には、次に対するアクセスを保存するパスワードを設定する機能があります。

「ユーザ EXEC モードに対するアクセスの保護」

「特権 EXEC モードに対するアクセスの保護」

ユーザ EXEC モードに対するアクセスの保護

ネットワーキング デバイスのセキュア環境を作成するための第 1 段階は、ローカルおよびリモートの CLI セッションにパスワードを設定して、ユーザ EXEC モードへのアクセスを保護することです。

ローカル CLI セッションでユーザ EXEC モードに対するアクセスを保護するには、コンソール ポートでパスワードを設定します。「ローカル CLI セッションのパスワードの設定と確認」を参照してください。

リモート CLI セッションでユーザ EXEC モードに対するアクセスを保護するには、Virtual Terminal Line(VTY; 仮想端末回線)でパスワードを設定します。リモート CLI セッション用のパスワードを設定する手順については、「リモート CLI セッションのパスワードの設定と確認」を参照してください。

特権 EXEC モードに対するアクセスの保護

ネットワーキング デバイスのセキュア環境を作成するための第 2 段階は、特権 EXEC モードに対するアクセスをパスワードで保護することです。特権 EXEC モードに対するアクセスを保護する方式は、ローカルおよびリモートの CLI セッションと同じです。

特権 EXEC モードに対するアクセスを保護するには、そのモード用のパスワードを設定します。特権 EXEC モードを開始するコマンドが enable なので、このパスワードもイネーブル パスワードと呼ばれることがあります。

 

コマンド
目的

enable

 

Router> enable

Password

Router#

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。パスワードはターミナル ウィンドウに表示されません。

プロンプト文字列の末尾にある「>」は、「#」に変わります。これは、現在のモードが特権 EXEC モードあることを示します。

Cisco IOS のパスワード暗号化レベル

ネットワーキング デバイスで設定したパスワードの一部は、プレーン テキストで設定に保存されます。つまり、コンフィギュレーション ファイルのコピーをディスクに保存すると、そのディスクにアクセスできる誰でも、コンフィギュレーション ファイルを読むとパスワードがわかります。次のパスワードの種類は、デフォルトでコンフィギュレーションにプレーン テキストで保存されます。

ローカル CLI セッションのコンソール パスワード

リモート CLI セッションの仮想端末回線パスワード

パスワードを設定する際にデフォルト方式を使用するユーザ名パスワード

enable password password コマンドを使用して設定する場合の特権 EXEC モードのパスワード

RIPv2 および EIGRP に使用される認証キー チェーンのパスワード

BGP ネイバーの認証に使用する BGP パスワード

OSPF ネイバーの認証に使用する OSPF 認証キー

ISIS ネイバーの認証に使用する ISIS パスワード

次に示すルータ コンフィギュレーション ファイルの抜粋は、クリア テキストで保存されるパスワードと認証キーの例です。

!
enable password O9Jb6D
!
username username1 password 0 kV9sIj3
!
key chain trees
key 1
key-string willow
!
interface Ethernet1/0.1
ip address 172.16.6.1 255.255.255.0
ip router isis
ip rip authentication key-chain trees
ip authentication key-chain eigrp 1 trees
ip ospf authentication-key j7876
no snmp trap link-status
isis password u7865k
!
line vty 0 4
password V9jA5M
!

このようなコンフィギュレーション ファイルのクリア テキスト パスワードを暗号化するには、 service password-encryption コマンドを使用します。この例は、最低レベルのセキュリティと考えてください。 service password-encryption コマンドを実行してパスワードの暗号化すると、その暗号化アルゴリズムで作成されるテキスト ストリングは、一般に公開されているツールを使用して復号できるためです。 service password-encryption コマンドを使用した場合でも、コンフィギュレーション ファイルの電子コピーまたは紙媒体のコピーに対するアクセスを保護する必要があります。

service password-encryption コマンドでは、リモート デバイスに送信される際のパスワードが暗号化されません。ネットワークに対するアクセス権があるネットワーク トラフィック アナライザを使用するユーザは、デバイス間でパケットを送信するときに、パケットからこのようなパスワードをキャプチャできます。コンフィギュレーション ファイルのクリア テキスト パスワードを暗号化する方法の詳細については、「クリア テキスト パスワードのパスワード暗号化の設定」を参照してください。

クリア テキスト パスワードを使用する Cisco IOS 機能の多くは、より安全な MD5 アルゴリズムを使用するように設定することもできます。MD5 アルゴリズムを使用すると、復号化がはるかに困難なテキスト ストリングがコンフィギュレーション ファイルに作成されます。MD5 アルゴリズムは、パスワードをリモート デバイスに送信しません。これによって、トラフィック アナライザのユーザが、内部ネットワークのトラフィックをキャプチャしてパスワードを検出することを防ぎます。

ネットワーキング デバイスのコンフィギュレーション ファイルにパスワード文字列とともに保存されている数字によって、使用されているパスワード暗号化の種類を判断できます。以下のコンフィギュレーションの抜粋に含まれる数字 5 は、イネーブル シークレット パスワードが、MD5 アルゴリズムを使用して暗号化されたことを示します。

!

enable secret 5 $1$fGCS$rkYbR6.Z8xo4qCl3vghWQ0

!

以下の抜粋に含まれる数字 7 は、 service password-encryption コマンドによる安全度が低いアルゴリズムを使用してイネーブル パスワードが暗号化されたことを示します。

!

enable password 7 00081204

!

Cisco IOS CLI セッション のユーザ名

パスワードを設定することで、ユーザ EXEC モードと特権 EXEC モードに対するアクセスを保護した後に、ネットワーキング デバイスのセキュリティ レベルをさらに向上するには、ユーザ名を設定して、ネットワーキング デバイスに対する CLI セッションのアクセスを特定のユーザに制限します。

ネットワーキング デバイスの管理に使用するユーザ名は、次のような追加オプションを使用して変更できます。

特定の特権レベルで CLI セッションを自動的に開始します。「窓口のテクニカル サポート スタッフのユーザ名を必須にするネットワーキング デバイスの設定および確認」 を参照してください。

CLI コマンドを自動的に実行します。「管理者以外のユーザが実行コンフィギュレーションを自動的に表示できるようにネットワーキング デバイスを設定および確認する方法:例」 を参照してください。

username コマンドを設定する方法の詳細については、『 Cisco IOS Security Command Reference 』(http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.html)を参照してください。

Cisco IOS の特権レベル

Cisco IOS ベースのネットワーキング デバイスのデフォルト コンフィギュレーションでは、ユーザ EXEC モードには特権レベル 1、特権 EXEC モードには特権レベル 15 を使用しています。特権レベル 1 のユーザ EXEC モードで実行できるコマンドは、特権レベル 15 の特権 EXEC モードで実行できるコマンドのサブセットです。

privilege コマンドは、ある特権レベルから別のレベルにコマンドを移動するときに使用されます。たとえば、一部の ISP では、窓口のテクニカル サポート スタッフに対して、新しい顧客の接続をアクティブ化するインターフェイスをイネーブルまたはディセーブルにする機能、およびトラフィックの送信を終了した接続を再起動する機能を許可しています。このオプションの設定方法の例については、「管理者以外のユーザがインターフェイスをシャットダウンおよびイネーブルにできるようにネットワーク デバイスを設定および確認する方法:例」を参照してください。

privilege コマンドは、特権レベルをユーザ名に割り当てるためにも使用できます。そのため、ユーザがユーザ名を使用してログインすると、 privilege コマンドで指定された特権レベルでセッションが実行されます。たとえば、テクニカル サポート スタッフに対して、ネットワーキング デバイス設定の表示を許可することで、設定を変更することなく、ネットワークの問題を解決できるようにする場合、ユーザ名を作成し、特権レベル 15 を使用して設定し、 show running-config コマンドを自動的に実行するように設定します。ユーザがそのユーザ名でログインすると、実行コンフィギュレーションが自動的に表示されます。ユーザがコンフィギュレーションの最後の行を表示すると、ユーザのセッションは自動的にログアウトされます。このオプションの設定方法の例については、「管理者以外のユーザが実行コンフィギュレーションを自動的に表示できるようにネットワーキング デバイスを設定および確認する方法:例」を参照してください。

このようなコマンドの特権は、TACACS+ および RADIUS による AAA を使用するときにも実装できます。たとえば、TACACS+ には、ユーザ別またはグループ別にルータ コマンドの認可を制御する方法が 2 つあります。1 つ目の方法では、コマンドに特権レベルを割り当て、指定した特権レベルでユーザが認可されているかどうかについて、TACACS+ サーバを使用するルータで確認します。2 つ目の方法では、ユーザ別またはグループ別に、明示的に許可するコマンドを TACACS+ サーバに指定します。TACACS+ および RADIUS による AAA の実装の詳細については、『 How to Assign Privilege Levels with TACACS+ and RADIUS 』のテクニカル ノートを参照してください。

Cisco IOS のパスワード設定

Cisco IOS ソフトウェアでは、パスワードが意図したとおりに正確に入力されたことを確認する目的でパスワードの再入力を求めるプロンプトを採用していません。新しいパスワード、および既存のパスワードの変更は、パスワード コンフィギュレーション コマンド文字列の末尾で Enter キーを押した直後に有効になります。新しいパスワードを誤入力し、ネットワーキング デバイスのコンフィギュレーションをスタートアップ コンフィギュレーション ファイルに保存し、特権 EXEC モードを終了してから誤りに気づいた場合、デバイスを管理できなくなります。

次に、発生する可能性がある一般的な状況を示します。

コンソール ポートでローカル CLI セッションのパスワードを設定するときに誤入力しました。

リモート CLI セッションでネットワーキング デバイスに対するアクセスを適切に設定した場合、コンソール ポートで Telnet を送信し、パスワードをリセットできます。

リモート Telnet または SSH セッション用のパスワードを設定するときに誤入力しました。

ローカル CLI セッションでネットワーキング デバイスに対するアクセスを適切に設定した場合、端末に接続して、リモート CLI セッションのパスワードをリセットできます。

特権 EXEC モードでパスワード(イネーブル パスワードまたはイネーブル シークレット パスワード)を設定するときに誤入力しました。

忘失パスワードの復元手順を実行する必要があります。

ユーザ名パスワード設定するときに誤入力し、ネットワーキング デバイスからそのユーザ名を使用してログインするように求められました。

別のアカウンティング名に対するアクセス権を持っていない場合、忘失パスワードの復元手順を実行する必要があります。

忘失パスワードの復元手順を実行する必要がないようにするには、ネットワーキング デバイスに対して 2 つの CLI セッションを開き、特権 EXEC モードでその一方を開いたままで、他のセッションを使用してパスワードをリセットします。2 つの CLI セッションまたは 2 種類のデバイスを実行するときに、同じデバイス(PC または端末)を使用できます。この手順には、ローカルの CLI セッションとリモート CLI セッションを使用するか、2 つのリモート CLI セッションを使用できます。パスワードの設定に使用する CLI セッションを、パスワードが適切に変更されたことを確認するために利用することもできます。最初の設定で誤入力した場合、特権 EXEC モードで開いておいたもう一方の CLI セッションはパスワードを変更するときにも利用できます。

実行コンフィギュレーションで行ったパスワードの変更は、そのパスワードが適切に変更されたことを確認できるまで、スタートアップ コンフィギュレーションに保存しないでください。パスワードの設定時に誤入力したことに気づき、上記のような第 2 の CLI セッションの手法を使用して問題を解決できなかった場合、スタートアップ コンフィギュレーションに保存されている以前のパスワードに戻すように、ネットワーキング デバイスの電源を再投入します。

ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティの設定方法

ここでは、次の各手順について説明します。

「ユーザ EXEC モードに対するアクセスの保護」

「特権 EXEC モードに対するアクセスの保護」

「CLI セッションおよび CLI コマンドに対するアクセスを管理するためのパスワード、特権レベル、およびユーザ名の設定」

「ローカル CLI セッションの忘失パスワードおよび誤設定パスワードの復元」

「リモート CLI セッションの忘失パスワードおよび誤設定パスワードの復元」

「特権 EXEC モードの忘失パスワードまたは誤設定したパスワードの復元」

ユーザ EXEC モードに対するアクセスの保護

ここでは、次の各手順について説明します。

「リモート CLI セッションのパスワードの設定と確認」

「ローカル CLI セッションのパスワードの設定と確認」

リモート CLI セッションのパスワードの設定と確認

このタスクによって、リモート CLI セッションのパスワードが割り当てられます。このタスクを完了した後に、リモート CLI セッションを起動すると、ネットワーキング デバイスからパスワードの入力が求められます。

Cisco IOS ベースのネットワーキング デバイスでは、リモート CLI セッション用のパスワードを設定する必要があります。リモート CLI セッションで、パスワードを設定していないデバイスとのリモート CLI セッションを開始しようとすると、パスワードが必須であり、未設定であることを示すメッセージが表示されます。リモート CLI セッションは、リモート ホストによって終了されます。

前提条件

以前にリモート CLI セッションのパスワードを設定していない場合、コンソール ポートに接続している端末、または端末エミュレーション アプリケーションを実行する PC を使用して、ローカル CLI セッションでこのタスクを実行する必要があります。

ネットワーキング デバイス上のコンソール ポートに使用される設定によって、端末、または端末エミュレーション アプリケーションを設定する必要があります。ほとんどのシスコ製ネットワーキング デバイスでは、9600 ボー、8 データ ビット、1 ストップ ビット、パリティなし、フロー コントロールを「none」のようにコンソール ポートを設定する必要があります。お使いのネットワーキング デバイスでこのような設定が機能しない場合は、その端末のマニュアルを参照してください。

このタスクの確認手順(手順 6)を実行するには、ネットワーキング デバイスに、動作状態のインターフェイスが必要です。インターフェイスは有効な IP アドレスを持っている必要があります。

制約事項

以前にリモート CLI セッションのパスワードを設定していない場合、コンソール ポートに接続している端末を使用して、ローカル CLI セッションでこのタスクを実行する必要があります。

手順の概要

1. enable

2. configure terminal

3. line vty line-number [ ending-line-number ]

4. password password

5. end

6. telnet ip-address

7. exit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

line vty line-number [ ending-line-number ]

 

Router(config)# line vty 0 4

ライン コンフィギュレーション モードを開始します。

ステップ 4

password password

 

Router(config-line)# password H7x3U8

引数 password は、ライン パスワードを指定する文字列です。次の規則が password 引数に適用されます。

最初の文字に数字は指定できません。

文字列には、80 文字以下の任意の英数字(スペースを含む)を指定できます。数字-スペース-任意の文字の形式ではパスワードを指定できません。

パスワードでは大文字と小文字が区別されます。

ステップ 5

end

 

Router(config-line)# end

現在のコンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

ステップ 6

telnet ip-address

 

Router# telnet 172.16.1.1

動作状態(インターフェイスがアップ、ライン プロトコルがアップ)のネットワーキング デバイスで、インターフェイスの IP アドレスを使用して、現在の CLI セッションからネットワーキング デバイスとのリモート CLI セッションを開始します。

プロンプトが表示されたら、手順 4 で設定したパスワードを入力します。

(注) この手順は、ネットワーキング デバイス自体からネットワーキング デバイスへのリモート Telnet セッションを開始するため、再帰的 Telnet セッションの開始とも呼ばれます。

ステップ 7

exit

ネットワーキング デバイスとのリモート CLI セッション(再帰的 Telnet セッション)を終了します。

トラブルシューティングのヒント

リモート CLI セッション パスワードを設定するとき誤入力した場合、このタスクを繰り返します。

ローカル CLI セッションのパスワードの設定と確認

このタスクを実行すると、コンソール ポートでのローカル CLI セッション用のパスワードが割り当てられます。このタスクを完了した後に、コンソール ポートでローカル CLI セッションを起動すると、ネットワーキング デバイスからパスワードの入力が求められます。

このタスクは、コンソール ポートを使用するローカル CLI セッションまたはリモート CLI セッションで実行できます。パスワードを適切に設定したことを確認するオプションの手順を実行する場合、コンソール ポートでローカル CLI セッションを使用して、このタスクを実行する必要があります。

前提条件

ローカル CLI セッション パスワードを確認するオプションの手順を実行する場合、ローカル CLI セッションを使用してこのタスクを実行する必要があります。端末、または端末エミュレーション プログラムを実行する PC が、ネットワーキング デバイスのコンソール ポートに接続されている必要があります。ネットワーキング デバイス上のコンソール ポートに使用される設定によって、端末を設定する必要があります。ほとんどのシスコ製ネットワーキング デバイスでは、9600 ボー、8 データ ビット、1 ストップ ビット、パリティなし、フロー コントロールを「none」のようにコンソール ポートを設定する必要があります。お使いのネットワーキング デバイスでこのような設定が機能しない場合は、その端末のマニュアルを参照してください。

手順の概要

1. enable

2. configure terminal

3. line console 0

4. password password

5. end

6. exit

7. Enter キーを押し、プロンプトが表示されたら、ステップ 4 のパスワードを入力します。

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

line console 0

 

Router(config)# line console 0

ライン コンフィギュレーション モードを開始し、設定しているラインとしてコンソール ポートを選択します。

ステップ 4

password password

 

Router(config-line)# password Ji8F5Z

引数 password は、ライン パスワードを指定する文字列です。次の規則が password 引数に適用されます。

最初の文字に数字は指定できません。

文字列には、80 文字以下の任意の英数字(スペースを含む)を指定できます。数字-スペース-任意の文字の形式ではパスワードを指定できません。

パスワードでは大文字と小文字が区別されます。

ステップ 5

end

 

Router(config-line)# end

現在のコンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

ステップ 6

exit

 

Router# exit

特権 EXEC モードを終了します。

ステップ 7

Enter キーを押します。

(任意)コンソール ポートでローカル CLI セッションを開始します。

プロンプトが表示されたら、ステップ 4 で設定したパスワードを入力して、適切に設定されたことを確認します。

(注) この手順を実行できるのは、このタスクの実行にローカル CLI セッションを使用している場合だけです。

トラブルシューティングのヒント

新しいパスワードが受け入れられない場合、次に実行する手順については、「ローカル CLI セッションの忘失パスワードおよび誤設定パスワードの復元」に進みます。

特権 EXEC モードに対するアクセスの保護

ここでは、次の各手順について説明します。

「イネーブル パスワードの設定と確認」(任意)

「クリア テキスト パスワードのパスワード暗号化の設定」(任意)

「イネーブル シークレット パスワードの設定と確認」(推奨)

イネーブル パスワードの設定と確認

シスコでは、特権 EXEC モードのパスワードを設定するために、 enable password コマンドを使用することは推奨しなくなりました。 enable password コマンドを使用して入力したパスワードは、ネットワーキング デバイスのコンフィギュレーション ファイルにプレーン テキストとして保存されます。ネットワーキング デバイスのコンフィギュレーション ファイルに含まれる enable password コマンドのパスワードを暗号化するには、 service password-encryption コマンドを使用します。ただし、 service password-encryption コマンドで使用される暗号化レベルは、インターネットで入手できるツールを使用して復号化できます。

シスコでは、 enable password コマンドを使用する代わりに、 enable secret コマンドを使用することを推奨します。設定したパスワードが、強力な暗号化方式で暗号化されるためです。パスワード暗号化問題の詳細については、「Cisco IOS のパスワード暗号化レベル」を参照してください。 enable secret コマンドの設定については、「イネーブル シークレット パスワードの設定と確認」を参照してください。

制約事項

ネットワーキング デバイスでパスワードの設定タスクを実行するには、 enable secret コマンドを使用しないでください。 enable secret コマンドを使用して特権 EXEC モードのパスワードを設定済みの場合、その設定パスワードは、 enable password コマンドを使用してこのタスクで設定したパスワードよりも優先されます。

enable secret コマンドと enable password コマンドに同じパスワードを使用できません。

手順の概要

1. enable

2. configure terminal

3. enable password password

4. end

5. exit

6. enable

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

enable password password

 

Router(config)# enable password t6D77CdKq

引数 password は、イネーブル パスワードを指定する文字列です。次の規則が password 引数に適用されます。

1 ~ 25 文字の大文字と小文字の英数字を含める必要があります。

先頭の文字に数字は指定できません。

先頭にスペースを指定できますが、無視されます。ただし、中間および末尾のスペースは認識されます。

パスワードを作成するときに、Ctrl+v キーの組み合わせを押してから疑問符(?)を入力すると、パスワードに疑問符を含めることができます。たとえば、abc?123 というパスワードを作成するには、次の手順を実行します。

abc と入力します。

Crtl-v キーを押します。

?123 と入力します。

ステップ 4

end

 

Router(config)# end

現在のコンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

ステップ 5

exit

 

Router# exit

特権 EXEC モードを終了します。

ステップ 6

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

手順 3 で設定したパスワードを入力します。

トラブルシューティングのヒント

新しいパスワードが受け入れられない場合、次に実行する手順については、「特権 EXEC モードの忘失パスワードまたは誤設定したパスワードの復元」に進みます。

この次の手順

「クリア テキスト パスワードのパスワード暗号化の設定」で説明した手順を使用して、ネットワーキング デバイスのコンフィギュレーション ファイルにクリア テキストで保存されているイネーブル パスワードを暗号化します。

クリア テキスト パスワードのパスワード暗号化の設定

Cisco IOS は、一部の機能について、ネットワーキング デバイスのコンフィギュレーション ファイルにクリア テキストでパスワードを保存します。たとえば、ローカルおよびリモートの CLI セッションのパスワード、およびルーティング プロトコルのネイバー認証のパスワードなどです。コンフィギュレーション ファイルのアーカイブ コピーにアクセスできれば、誰でもクリア テキストで保存されているパスワードを発見できるため、クリア テキスト パスワードはセキュリティ リスクです。 service password-encryption コマンドを使用して、ネットワーキング デバイスのコンフィギュレーションに含まれるクリア テキスト コマンドを暗号化できます。詳細については、「Cisco IOS のパスワード暗号化レベル」を参照してください。

ネットワーキング デバイスのコンフィギュレーション ファイルにクリア テキストとして保存されているパスワードについて、パスワード暗号化を設定するには、次の手順を実行します。

前提条件

このコマンドの結果を即時に確認するために、クリア テキスト パスワードを使用する機能が 1 つ以上、ネットワーキング デバイスに設定されている必要があります。

手順の概要

1. enable

2. configure terminal

3. service password-encryption

4. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

service password-encryption

 

Router(config)# service password-encryption

 

すべてのクリア テキスト パスワード(ユーザ名パスワード、認証キー パスワード、特権コマンド パスワード、コンソールおよび仮想端末ライン アクセス パスワード、および Border Gateway Protocol ネイバー パスワード)について、パスワード暗号化をイネーブルにします。

ステップ 4

end

 

Router(config)# end

現在のコンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

イネーブル シークレット パスワードの設定と確認

シスコでは、特権 EXEC モードのパスワードを設定する場合、 enable password コマンドではなく、 enable secret コマンドを使用することを推奨します。 enable secret コマンドによって作成されるパスワードは、より安全な MD5 アルゴリズムで暗号化されます。

制約事項

enable secret コマンドと enable password コマンドに同じパスワードを使用できません。

手順の概要

1. enable

2. configure terminal

3. enable secret password
または
enable secret 5 previously-encrypted-password

4. end

5. exit

6. enable

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

enable secret password

または

enable secret 5 previously-encrypted-password

 

Router(config)# enable secret t6D77CdKq

または

 

Router(config)# enable secret 5 $1$/x6H$RhnDI3yLC4GA01aJnHLQ4/

引数 password は、 イネーブル シークレット パスワードを指定する文字列です。次の規則が password 引数に適用されます。

1 ~ 25 文字の大文字と小文字の英数字を含める必要があります。

先頭の文字に数字は指定できません。

先頭にスペースを指定できますが、無視されます。ただし、中間および末尾のスペースは認識されます。

パスワードを作成するときに、Ctrl+v キーの組み合わせを押してから疑問符(?)を入力すると、パスワードに疑問符を含めることができます。たとえば、abc?123 というパスワードを作成するには、次の手順を実行します。

abc と入力します。

Crtl-v キーを押します。

?123 と入力します。

または

前に暗号化した文字列の前に数字 5 を入力することで、以前に暗号化した特権 EXEC モードのパスワードを設定します。この方式を使用するには、 enable secret コマンドによって以前に暗号化されたコンフィギュレーション ファイルから、パスワードの正確なコピーを入力する必要があります。

ステップ 4

end

 

Router(config)# end

現在のコンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

ステップ 5

exit

 

Router# exit

特権 EXEC モードを終了します。

ステップ 6

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

手順 3 で設定したパスワードを入力します。

トラブルシューティングのヒント

新しいパスワードが受け入れられない場合、次に実行する手順については、「特権 EXEC モードの忘失パスワードまたは誤設定したパスワードの復元」に進みます。

この次の手順

ローカルおよびリモートの CLI セッションのパスワードを設定し終わり、ユーザ名や特権レベルなど、追加のセキュリティ機能を設定する場合、「CLI セッションおよび CLI コマンドに対するアクセスを管理するためのパスワード、特権レベル、およびユーザ名の設定」に進みます。

CLI セッションおよび CLI コマンドに対するアクセスを管理するためのパスワード、特権レベル、およびユーザ名の設定

ここでは、特権 EXEC モードで使用できる全コマンドに対してはアクセス権が持たないユーザが、特権 EXEC モード コマンドのサブセットを使用できるように、ネットワーキング デバイスを設定するタスクについて説明します。

このようなタスクは、複数レベルのネットワーク サポート スタッフがいて、各レベルのスタッフに、異なるサブセットの特権 EXEC モード コマンドに対するアクセス権を付与したい会社に役立ちます。

このタスクでは、特権 EXEC モードで使用できる全コマンドに対してはアクセス権を持たないユーザは、窓口のテクニカル サポート スタッフと呼びます。

ここでは、次の各手順について説明します。

「窓口のテクニカル サポート スタッフ用のネットワーキング デバイスの設定」

「窓口のテクニカル サポート スタッフの設定の確認」

「窓口のテクニカル サポート スタッフのユーザ名を必須にするネットワーキング デバイスの設定および確認」

窓口のテクニカル サポート スタッフ用のネットワーキング デバイスの設定

このタスクでは、窓口のテクニカル サポート スタッフ ユーザ用にネットワーキング デバイスを設定する方法について説明します。通常、窓口のテクニカル サポート スタッフは、ネットワーキング デバイスの特権 EXEC モードで(特権レベル 15)使用できる全コマンドの実行は許可されていません。また、特権 EXEC モードに割り当てられているパスワード、またはネットワーキング デバイスに設定されている他の役割に対してアクセス権が付与されていないため、権限がないコマンドを実行できません。

privilege コマンドは、ある特権レベルのコマンドを別の特権レベルに移動するために使用されます。この操作で、ネットワーキング デバイスに追加レベルの管理が作成されます。このような操作は、さまざまなスキル レベルを持つ、さまざまなレベルのネットワーク サポート スタッフがいる会社の場合に必要です。

Cisco IOS デバイスのデフォルトの設定では、2 種類のユーザが CLI にアクセスできます。1 つ目のユーザは、ユーザ EXEC モードだけにアクセスできるユーザです。2 つ目のユーザは、特権 EXEC モードにアクセスできるユーザです。ユーザ EXEC モードにだけアクセスできるユーザは、ネットワーキング デバイスの設定を表示または変更できません。また、ネットワーキング デバイスの動作ステータスを変更できません。一方、特権 EXEC モードにアクセスできるユーザは、CLI に許可されているネットワーキング デバイスを変更できます。

このタスクでは、privilege コマンドを使用して、通常は特権レベル 15 で実行されている 2 つのコマンドが特権レベル 7 にリセットされます。その結果、窓口のテクニカル サポート スタッフはその 2 つのコマンドを実行できるようになります。特権レベルをリセットする 2 つのコマンドは、 clear counters コマンドと reload コマンドです。

clear counters コマンドは、受信パケット、送信パケット、エラーなどの統計情報について、インターフェイス上のカウンタ フィールドをリセットするために使用されます。窓口のテクニカル サポート ユーザが、ネットワーキング デバイス間で接続する場合、またはリモート ユーザがネットワークに接続する場合のインターフェイス関連の問題を解決する場合、インターフェイスの統計情報をゼロにリセットし、一定期間、インターフェイスを監視して、インターフェイスの統計情報カウンタの値が変化するかどうかを確認します。

reload コマンドは、ネットワーキング デバイスでリブート シーケンスを開始するために使用されます。窓口のテクニカル サポート スタッフによる一般的な reload コマンドの使用方法の 1 つは、メンテナンス ウィンドウでネットワーキング デバイスをリブートする場合です。この操作によって、高い権限レベルのユーザが、以前に、ネットワーキング デバイスのファイル システムにコピーした新しいオペレーティング システムがロードされます。

窓口のテクニカル サポート ユーザ ロールの特権レベルに割り当てられている enable secret パスワードを知る権限を持つユーザは、窓口のテクニカル サポート ユーザとしてそのネットワーキング デバイスにアクセスできます。追加レベルのセキュリティを追加するには、ネットワーキング デバイスでユーザ名を設定し、ユーザがユーザ名とパスワードを知っていることを必須にします。追加レベルのセキュリティとしてユーザ名を設定する方法については、「窓口のテクニカル サポート スタッフのユーザ名を必須にするネットワーキング デバイスの設定および確認」を参照してください。

privilege コマンドの強化

Cisco IOS リリース 12.0(22)S および 12.2(13)T よりも前は、特権レベルの各コマンドは、個別の privilege コマンドを使用して指定する必要がありました。Cisco IOS リリース 12.0(22)S および 12.2(13)T 以降のリリースでは、新しいキーワード all で指定する「ワイルドカード」オプションが導入され、1 つの privilege コマンドだけで、複数のコマンドへのアクセスを設定できるようになりました。新しい all キーワードを使用すると、入力した文字列で始まるすべてのコマンドについて特権レベルを指定できます。つまり、 all キーワードを使用すると、指定したコマンドのすべてのコマンドライン オプションとサブオプションに対してアクセス権を付与できます。

たとえば、 service-module t1 で始まるすべてのコマンド( service-module t1 linecode service-module t1 clock source など)を設定できる特権レベルを作成する場合、 privilege interface all level 2 service-module t1 コマンドを使用します。 service-module t1 コマンドを個別に指定する必要はありません。

all キーワードと併用して)privilege コマンドで指定したコマンドで、コンフィギュレーション サブモードをイネーブルにする場合、そのコマンドのサブモードの全コマンドも、指定した特権レベルに設定されます。

制約事項

privilege コマンドでの all という「ワイルドカード」のキーワード オプションは、Cisco IOS リリース 12.0(22)S および 12.2(13)T よりも前の Cisco IOS ソフトウェア バージョンではサポートされません。

ネットワーキング デバイスでは、 aaa new-model コマンドをイネーブルにしないでください。コンソール ポートでのローカル CLI セッションの場合、またはリモート CLI セッションの場合、 login local コマンドを設定しないでください。


) このタスクの手順では、わかりやすくするために、各手順に関係する引数とキーワードだけを構文に使用しています。これらのコマンドと併用できるその他の引数とキーワードの詳細については、お使いの Cisco IOS リリースの Cisco IOS コマンド リファレンス マニュアルを参照してください。



注意 コマンドの特権レベルをデフォルトにリセットする場合、privilege コマンドの no 形式を使用しないでください。コンフィギュレーションが適切なデフォルト状態に戻らない可能性があります。コマンドをデフォルトの特権レベルに戻すには、privilege コマンドに reset キーワードを使用します。たとえば、コンフィギュレーションから privilege exec level reload コマンドを削除し、reload コマンドをデフォルトの特権レベル 15 に戻すには、privilege exec reset reload コマンドを使用します

手順の概要

1. enable password

2. configure terminal

3. enable secret level level password

4. privilege exec level level command-string

5. privilege exec all level level command-string

6. end

手順の詳細


ステップ 1 enable password

特権 EXEC モードを開始します。プロンプトが表示されたら、パスワードを入力します。

Router> enable
 

ステップ 2 configure terminal

グローバル コンフィギュレーション モードを開始します。

Router# configure terminal
 

ステップ 3 enable secret level level password

特権レベル 7 の新しいイネーブル シークレット パスワードを設定します。

Router(config)# enable secret level 7 Zy72sKj
 

ステップ 4 privilege exec level level command-string

clear counters コマンドの特権レベルを、特権レベル 15 から特権レベル 7 に変更します。

Router(config)# privilege exec level 7 clear counters
 

ステップ 5 privilege exec all level level command-string

reload コマンドの特権レベルを、特権レベル 15 から特権レベル 7 に変更します。

Router(config)# privilege exec all level 7 reload
 

ステップ 6 end

グローバル コンフィギュレーション モードを終了します。

Router(config)# end


 

窓口のテクニカル サポート スタッフの設定の確認

ここでは、ネットワーキング デバイスが窓口のテクニカル サポート スタッフ用に適切に設定されていることを確認するタスクについて説明します。

前提条件

次のコマンドは、このタスクのために特権レベル 7 で実行するように変更済みです。

clear counters

reload

手順の概要

1. enable level password

2. show privilege

3. clear counters

4. clear ip route *

5. reload in time

6. reload cancel

7. disable

8. show privilege

手順の詳細


ステップ 1 enable level password

level 引数に指定した特権レベルで、ネットワーキング デバイスにログインします。

Router> enable 7 Zy72sKj
 

ステップ 2 show privilege

現在の CLI セッションの特権レベルを表示します。

Router# show privilege
Current privilege level is 7
 

ステップ 3 clear counters

clear counters コマンドで、インターフェイス カウンタをクリアします。このコマンドは、特権レベル 15 から特権レベル 7 に変更されました。

Router# clear counters
Clear "show interface" counters on all interfaces [confirm]
Router#
02:41:37: %CLEAR-5-COUNTERS: Clear counter on all interfaces by console
 

ステップ 4 clear ip route *

clear コマンドの ip route 引数文字列は、特権レベル 15 から特権レベル 7 に変更されていないため、使用できません。

Router# clear ip route *
^
% Invalid input detected at '^' marker.
 
Router#
 

ステップ 5 reload in time

reload コマンドによって、ネットワーキング デバイスはリブートされます。

Router# reload in 10
Reload scheduled in 10 minutes by console
Proceed with reload? [confirm]
Router#
 
 
***
*** --- SHUTDOWN in 0:10:00 ---
***
 
02:59:50: %SYS-5-SCHEDULED_RELOAD: Reload requested for 23:08:30 PST Sun Mar 20
 

ステップ 6 reload cancel

reload cancel によって、以前に reload in time コマンドで設定したリロードが終了します。

Router# reload cancel
 
***
*** --- SHUTDOWN ABORTED ---
***
 
04:34:08: %SYS-5-SCHEDULED_RELOAD_CANCELLED: Scheduled reload cancelled at 15:38:46 PST Sun Mar 27 2005
 

ステップ 7 disable

現在の特権レベルを終了し、特権レベル 1 に戻します。

Router# disable
 

ステップ 8 show privilege

現在の CLI セッションの特権レベルを表示します。

Router> show privilege
Current privilege level is 1


 

トラブルシューティングのヒント

設定が希望どおりに機能しないため、設定から privilege コマンドを削除する場合、コマンドをデフォルトの特権レベルに戻すには、 privilege コマンドに reset キーワードを使用します。たとえば、コンフィギュレーションから privilege exec level reload コマンドを削除し、 reload コマンドをデフォルトの特権レベル 15 に戻すには、 privilege exec reset reload コマンドを使用します

この次の手順

窓口のテクニカル サポート スタッフがログイン名を使用することを必須にして、セキュリティ レベルを追加する場合、「窓口のテクニカル サポート スタッフのユーザ名を必須にするネットワーキング デバイスの設定および確認」に進みます。

窓口のテクニカル サポート スタッフのユーザ名を必須にするネットワーキング デバイスの設定および確認

このタスクでは、窓口のテクニカル サポート スタッフが、admin のログイン名を使用してネットワーキング デバイスにログインすることを必須にするように、ネットワーキング デバイスを設定します。このタスクで設定された admin ユーザ名には、特権レベル 7 が割り当てられています。この名前を使用してログインするユーザは、前のタスクで特権レベル 7 に再割り当てされたコマンドを実行できます。admin ユーザ名を使用してユーザがログインに成功すると、CLI セッションは自動的に特権レベル 7 を開始します。

強化されたユーザ名パスワードのセキュリティ

Cisco IOS リリース 12.0(18)S および 12.2(8)T よりも前のリリースでは、2 種類のパスワードがユーザ名に関連付けられていました。タイプ 0 は、ルータの特権モードにアクセスできるすべてのユーザから確認できるクリア テキスト パスワードです。また、タイプ 7 は、 service password encryption コマンドで暗号化されたパスワードです。

Cisco IOS リリース 12.0(18)S および 12.2(8)T 以降のリリースでは、 username コマンドに新しい secret キーワードを使用することで、ユーザ名パスワードに Message Digest 5(MD5)暗号化を設定できます。

前提条件

次のコマンドは、このタスクのために特権レベル 7 で実行するように変更済みです。

clear counters

reload

コマンドの特権レベルを変更する手順については、「窓口のテクニカル サポート スタッフ用のネットワーキング デバイスの設定」を参照してください。

制約事項

username コマンドの MD5 暗号化は、Cisco IOS リリース 12.0(18)S および 12.2(8)T よりも前の Cisco IOS ソフトウェア バージョンではサポートされません。

ネットワーキング デバイスでは、aaa-new model コマンドをイネーブルにしないでください。コンソール ポートでのローカル CLI セッションの場合、またはリモート CLI セッションの場合、 login local コマンドを設定しないでください。


) このタスクの手順では、わかりやすくするために、各手順に関係する引数とキーワードだけを構文に使用しています。これらのコマンドと併用できるその他の引数とキーワードの詳細については、お使いの Cisco IOS リリースの Cisco IOS コマンド リファレンス マニュアルを参照してください。


手順の概要

1. enable password

2. configure terminal

3. username username privilege level secret password

4. end

5. disable

6. login username password

7. show privilege

8. clear counters

9. clear ip route *

10. reload in 10

11. reload cancel

12. disable

13. show privilege

手順の詳細


ステップ 1 enable t6D77CdKq

特権 EXEC モードを開始します。プロンプトが表示されたら、パスワードを入力します。

Router> enable
 

ステップ 2 configure terminal

グローバル コンフィギュレーション モードを開始します。

Router# configure terminal
 

ステップ 3 username username privilege level secret password

ユーザ名を作成し、 password テキスト ストリングに MD5 暗号化を適用します。

Router(config)# username admin privilege 7 secret Kd65xZa
 

ステップ 4 end

グローバル コンフィギュレーション モードを終了します。

Router(config)# end
 

ステップ 5 disable

現在の特権レベルを終了し、ユーザ EXEC モードに戻します。

Router# disable
 

ステップ 6 login username

ユーザにログインします。プロンプトが表示されたら、手順 3 で設定したユーザ名とパスワードを入力します。

Router> login admin
 

ステップ 7 show privilege

show privilege コマンドで、CLI セッションの特権レベルが表示されます。

Router# show privilege
 
Current privilege level is 7
 

ステップ 8 clear counters

clear counters コマンドで、インターフェイス カウンタをクリアします。このコマンドは、特権レベル 15 から特権レベル 7 に変更されました。

Router# clear counters
Clear "show interface" counters on all interfaces [confirm]
Router#
02:41:37: %CLEAR-5-COUNTERS: Clear counter on all interfaces by console
 

ステップ 9 clear ip route *

clear コマンドの ip route 引数文字列は、特権レベル 15 から特権レベル 7 に変更されていないため、使用できません。

Router# clear ip route *
^
% Invalid input detected at '^' marker.
 
Router#
 

ステップ 10 reload in time

reload コマンドによって、ネットワーキング デバイスはリブートされます。

Router# reload in 10
Reload scheduled in 10 minutes by console
Proceed with reload? [confirm]
Router#
 
 
***
*** --- SHUTDOWN in 0:10:00 ---
***
 
02:59:50: %SYS-5-SCHEDULED_RELOAD: Reload requested for 23:08:30 PST Sun Mar 20
 

ステップ 11 reload cancel

reload cancel コマンドによって、以前に reload in time コマンドで設定したリロードが終了します。

Router# reload cancel
 
***
*** --- SHUTDOWN ABORTED ---
***
 
04:34:08: %SYS-5-SCHEDULED_RELOAD_CANCELLED: Scheduled reload cancelled at 15:38:46 PST Sun Mar 27 2005
 

ステップ 12 disable

現在の特権レベルを終了し、ユーザ EXEC モードに戻します。

Router# disable
 

ステップ 13 show privilege

現在の CLI セッションの特権レベルを表示します。

Router> show privilege
Current privilege level is 1


 

ローカル CLI セッションの忘失パスワードおよび誤設定パスワードの復元

コンソール ポートでローカル CLI セッションの忘失パスワードおよび誤設定パスワードを復元するために使用できる方式は 3 つあります。使用する方式は、ネットワーキング デバイスの現在の設定によって変わります。

「ネットワーキング デバイスがリモート CLI セッションを許可するように設定されている」

「ネットワーキング デバイスがリモート CLI セッションを許可するように設定されておらず、ローカル CLI セッション パスワードがスタートアップ コンフィギュレーション ファイルに保存されていない」

「ネットワーキング デバイスがリモート CLI セッションを許可するように設定されておらず、ローカル CLI セッション パスワードがスタートアップ コンフィギュレーション ファイルに保存されている」

ネットワーキング デバイスがリモート CLI セッションを許可するように設定されている

ローカル CLI セッションの忘失パスワードまたは誤設定パスワードを復元する最速の方式は、ネットワーキング デバイスとリモート CLI セッションを確立し、「ローカル CLI セッションのパスワードの設定と確認」を繰り返す方法です。この手順を実行するには、リモート CLI セッションを許可するようにネットワーキング デバイスを設定し、さらにリモート CLI セッションのパスワードを知っている必要があります。

ネットワーキング デバイスがリモート CLI セッションを許可するように設定されておらず、ローカル CLI セッション パスワードがスタートアップ コンフィギュレーション ファイルに保存されていない

ネットワーキング デバイスに対するリモート セッションを確立できず、誤設定したローカル CLI セッション パスワードをスタートアップ コンフィギュレーションに保存していない場合、ネットワーキング デバイスを再起動できます。ネットワーキング デバイスを再起動すると、スタートアップ コンフィギュレーション ファイルが読み込まれます。以前のローカル CLI セッション パスワードが復元されます。


注意 ネットワーキング デバイスの再起動によって、トラフィックの転送が停止されます。また、DHCP サーバ サービスなど、ネットワーキング デバイスで実行されているすべてのサービスが中断されます。必要な操作は、ネットワークのメンテナンスに割り当てられた期間中に、ネットワーキング デバイスを再起動することだけです。

ネットワーキング デバイスがリモート CLI セッションを許可するように設定されておらず、ローカル CLI セッション パスワードがスタートアップ コンフィギュレーション ファイルに保存されている

ネットワーキング デバイスとのリモート CLI セッションを確立できず、誤設定したローカル CLI セッション パスワードをスタートアップ コンフィギュレーションに保存した場合、またはローカル CLI セッション パスワードを紛失した場合、パスワード復元手順を実行する必要があります。パスワード復元手順はデバイス固有です。使用している種類のネットワーキング デバイスに適した手順が説明されたマニュアルを探す必要があります。ネットワーキング デバイスのシスコのサポート情報については、「シスコのテクニカル サポート」を参照してください。

リモート CLI セッションの忘失パスワードおよび誤設定パスワードの復元

忘失または誤設定したリモート CLI セッション パスワードから復元するために使用できる方式は 3 つあります。使用する方式は、ネットワーキング デバイスの現在の設定によって変わります。

「ネットワーキング デバイスがローカル CLI セッションを許可するように設定されている」

「ネットワーキング デバイスがローカル CLI セッションを許可するように設定されておらず、リモート CLI セッション パスワードがスタートアップ コンフィギュレーション ファイルに保存されていない」

「ネットワーキング デバイスがローカル CLI セッションを許可するように設定されておらず、リモート CLI セッション パスワードがスタートアップ コンフィギュレーション ファイルに保存されている」

ネットワーキング デバイスがローカル CLI セッションを許可するように設定されている

リモート CLI セッションの忘失パスワードまたは誤設定パスワードを復元する最速の方式は、ネットワーキング デバイスとローカル CLI セッションを確立し、「リモート CLI セッションのパスワードの設定と確認」を繰り返す方法です。この手順を実行するには、ローカル CLI セッションを許可するようにネットワーキング デバイスを設定し、さらにローカル CLI セッションのパスワードを知っている必要があります。

ネットワーキング デバイスがローカル CLI セッションを許可するように設定されておらず、リモート CLI セッション パスワードがスタートアップ コンフィギュレーション ファイルに保存されていない

ネットワーキング デバイスに対するローカル CLI セッションを確立できず、誤設定したリモート CLI セッション パスワードをスタートアップ コンフィギュレーションに保存していない場合、ネットワーキング デバイスを再起動できます。ネットワーキング デバイスを再起動すると、スタートアップ コンフィギュレーション ファイルが読み込まれます。以前のリモート CLI セッション パスワードが復元されます。


注意 ネットワーキング デバイスの再起動によって、トラフィックの転送が停止されます。また、DHCP サーバ サービスなど、ネットワーキング デバイスで実行されているすべてのサービスが中断されます。必要な操作は、ネットワークのメンテナンスに割り当てられた期間中に、ネットワーキング デバイスを再起動することだけです。

ネットワーキング デバイスがローカル CLI セッションを許可するように設定されておらず、リモート CLI セッション パスワードがスタートアップ コンフィギュレーション ファイルに保存されている

ネットワーキング デバイスとのローカル CLI セッションを確立できず、誤設定したリモート CLI セッション パスワードをスタートアップ コンフィギュレーションに保存した場合、またはリモート CLI セッション パスワードを紛失した場合、パスワード復元手順を実行する必要があります。パスワード復元手順はデバイス固有です。使用している種類のネットワーキング デバイスに適した手順が説明されたマニュアルを探す必要があります。ネットワーキング デバイスのシスコのサポート情報については、「シスコのテクニカル サポート」を参照してください。

特権 EXEC モードの忘失パスワードまたは誤設定したパスワードの復元

忘失または誤設定した特権 EXEC モード パスワードから復元するために使用できる方式は 2 つあります。使用する方式は、ネットワーキング デバイスの現在の設定によって変わります。

「誤設定した特権 EXEC モード パスワードをスタートアップ コンフィギュレーション ファイルに保存していない」

「誤設定した特権 EXEC モード パスワードがスタートアップ コンフィギュレーション ファイルに保存されているか、特権 EXEC モードパスワードを紛失した」

誤設定した特権 EXEC モード パスワードをスタートアップ コンフィギュレーション ファイルに保存していない

誤設定した特権 EXEC モード パスワードをスタートアップ コンフィギュレーションに保存していない場合、ネットワーキング デバイスを再起動できます。ネットワーキング デバイスを再起動すると、スタートアップ コンフィギュレーション ファイルが読み込まれます。以前の特権 EXEC モード パスワードが復元されます。


注意 ネットワーキング デバイスの再起動によって、トラフィックの転送が停止されます。また、DHCP サーバ サービスなど、ネットワーキング デバイスで実行されているすべてのサービスが中断されます。必要な操作は、ネットワークのメンテナンスに割り当てられた期間中に、ネットワーキング デバイスを再起動することだけです。

誤設定した特権 EXEC モード パスワードがスタートアップ コンフィギュレーション ファイルに保存されているか、特権 EXEC モードパスワードを紛失した

誤設定した特権 EXEC モード パスワードをスタートアップ コンフィギュレーションに保存しているか、特権 EXEC モード パスワードを紛失した場合、パスワードの復元手順を実行する必要があります。パスワード復元手順はデバイス固有です。使用している種類のネットワーキング デバイスに適した手順が説明されたマニュアルを探す必要があります。ネットワーキング デバイスのシスコのサポート情報については、「シスコのテクニカル サポート」を参照してください。

ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定の設定例

ここでは、次の設定例について説明します。

「管理者以外のユーザがリモート CLI セッションをクリアできるようにネットワーク デバイスを設定および確認する方法:例」

「管理者以外のユーザが実行コンフィギュレーションを自動的に表示できるようにネットワーキング デバイスを設定および確認する方法:例」

「管理者以外のユーザがインターフェイスをシャットダウンおよびイネーブルにできるようにネットワーク デバイスを設定および確認する方法:例」

管理者以外のユーザがリモート CLI セッションをクリアできるようにネットワーク デバイスを設定および確認する方法:例

次に、管理者以外のユーザがリモート CLI セッションの仮想端末(VTY)回線をクリアできるように、ネットワーキング デバイスを設定する例を示します。

最初の項は、この例の実行コンフィギュレーションの抜粋です。ここでは、この例を使用する方法を示します。

次の項は、実行コンフィギュレーションの抜粋です。

!
privilege exec level 7 clear line
!
no aaa new-model
!
!
username admin privilege 7 secret 5 $1$tmIw$1aM7sadKhWMpkVTzxNw1J.
!
privilege exec level 7 clear line
!
! the privilege exec level 7 clear command below is entered automatically
! when you enter the privilege exec level 7 clear line command above, do
! not enter it again
!
privilege exec level 7 clear
!
 

次の項では、 login コマンドを使用して、ユーザが admin のユーザ名を使用してネットワーキング デバイスにログインする場合を示します。

 
R1> login
Username: admin
Password:
 

次の項では、 show privilege コマンドを使用して、現在の特権レベルが 7 であることを示します。

 
R1# show privilege
Current privilege level is 7
R1#
 

次の項では、 show user コマンドを使用して、現在、2 ユーザ(admin と root)がネットワーキング デバイスにログインしていることを示します。

 
R1# show user
Line User Host(s) Idle Location
* 0 con 0 admin idle 00:00:00
2 vty 0 root idle 00:00:17 172.16.6.2
 
Interface User Mode Idle Peer Address
 

次の項では、 clear line 2 コマンドを使用して、ユーザ名 root に使用されているリモート CLI セッションを終了します。

R1# clear line 2
[confirm]
[OK]
 

次の項では、 show user コマンドを使用して、ネットワーキング デバイスに現在ログインしているユーザが admin だけであることを示します。

R1# show user
Line User Host(s) Idle Location
* 0 con 0 admin idle 00:00:00
 
Interface User Mode Idle Peer Address
 

管理者以外のユーザが実行コンフィギュレーションを自動的に表示できるようにネットワーキング デバイスを設定および確認する方法:例

次に、管理者以外のユーザ(特権 EXEC モードへのアクセスなし)が、実行コンフィギュレーションを自動的に表示できるようにネットワーキング デバイスを設定する例を示します。この例では、ユーザ名を特権レベル 15 に設定する必要があります。コンフィギュレーション ファイルの多くのコマンドは、特権レベル 15 へのアクセス権を持つユーザだけが表示できるためです。

この点を解決するには、 show running-config コマンドの実行中、一時的に特権レベル 15 へのユーザ アクセスを許可し、コンフィギュレーション ファイルの表示後に、CLI セッションを終了します。この例では、設定ファイルの表示後に、ネットワーキング デバイスが CLI セッションを自動的に終了します。その他の設定手順は必要ありません。


注意 username コマンドに noescape キーワードを含める必要があります。これは、コンフィギュレーション ファイルの表示を終了し、特権レベル 15 で実行するセッションを終了するエスケープ文字をユーザが入力しないようにするためです。

!
!
username viewconf privilege 15 noescape secret 5 $1$zA9C$TDWD/Q0zwp/5xRwRqdgc/.
username viewconf autocommand show running-config
!

管理者以外のユーザがインターフェイスをシャットダウンおよびイネーブルにできるようにネットワーク デバイスを設定および確認する方法:例

次に、管理者以外のユーザが、インターフェイスをシャットダウンおよびイネーブルにできるように、ネットワーキング デバイスを設定する例を示します。

最初の項は、この例の実行コンフィギュレーションの抜粋です。ここでは、この例を使用する方法を示します。

次の項は、実行コンフィギュレーションの抜粋です。

!
no aaa new-model
!
username admin privilege 7 secret 5 $1$tmIw$1aM7sadKhWMpkVTzxNw1J.
!
privilege interface all level 7 shutdown
privilege interface all level 7 no shutdown
privilege configure level 7 interface
privilege exec level 7 configure terminal
!
! the privilege exec level 7 configure command below is entered automatically
! when you enter the privilege exec level 7 configure terminal command above, do
! not enter it again
!
privilege exec level 7 configure
!
 

次の項では、 login コマンドを使用して、ユーザが admin のユーザ名を使用してネットワーキング デバイスにログインする場合を示します。

R1> login
Username: admin
Password:
 

次の項では、 show privilege コマンドを使用して、現在の特権レベルが 7 であることを示します。

R1# show privilege
Current privilege level is 7
 

次の項では、 show user コマンドを使用して、ネットワーキング デバイスに現在ログインしているユーザが admin だけであることを示します。

R1# show user
Line User Host(s) Idle Location
* 0 con 0 admin idle 00:00:00
 
Interface User Mode Idle Peer Address
 

次の項は、admin ユーザがインターフェイスをシャットダウンおよびイネーブルにできる権限を持つことを示します。

R1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)# interface ethernet 1/0
R1(config-if)# shutdown
R1(config-if)# no shutdown
R1(config-if)# exit
R1#
 

関連情報

ネットワーキング デバイスのセキュリティの基本を設定したら、次のように高度なオプションを考慮できます。

ロールベースの CLI アクセス:ネットワーク マネージャが、さまざまなレベルのテクニカル サポート スタッフに、異なるレベルの CLI コマンドのアクセスを付与する場合、ロールベースの CLI アクセス機能には、(このドキュメントで説明する) privilege コマンドよりも包括的なオプション セットが用意されています。

AAA セキュリティ:多くのシスコ ネットワーキング デバイスは、認証、認可、およびアカウンティング(AAA)機能を使用して、高度なレベルのセキュリティを提供しています。ネットワーキング デバイスで AAA を使用し、リモート TACACS+ または RADIUS サーバを併用することで、このドキュメントで説明しているすべてのタスクと、他のより高度なセキュリティ機能を実装できます。ネットワーキング デバイスのローカルで実行できる AAA セキュリティ機能を設定する方法、または TACACS+ または RADIUS サーバを使用してリモート AAA セキュリティを設定する方法については、『 Cisco IOS Security Configuration Guide 』を参照してください。

その他の参考資料

ここでは、パスワードによるセキュリティの設定、およびネットワーキング デバイスでの CLI セッションのログイン ユーザ名に関連する関連資料について説明します。

関連資料

内容
参照先

CLI コマンドおよび設定情報に対するユーザ アクセスの管理

『Role-Based CLI Access』

AAA セキュリティ機能

『Cisco IOS Security Configuration Guide』

OSPF および BGP などのプロトコルに対する MD5 セキュア ネイバー認証の設定

『Neighbor Router Authentication: Overview and Guidelines』

TACACS+ および RADIUS での特権レベルの割り当て

『How to Assign Privilege Levels with TACACS+ and RADIUS』

規格

規格
タイトル

この機能によってサポートされる新しい RFC または変更された RFC はありません。また、この機能による既存 RFC のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によってサポートされる新しい RFC または変更された RFC はありません。また、この機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定の機能情報

表 1 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。この表には、Cisco IOS リリース 12.2(1) または 12.0(3) 以降のリリースで導入または変更された機能のみを示しています。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 ネットワーキング デバイス上の CLI セッションに関するパスワード、特権レベル、およびログイン ユーザ名によるセキュリティ設定の機能情報

機能名
リリース
機能設定情報

Enhanced Password Security

12.0(18)S
12.2(8)T

Enhanced Password Security 機能を使用すると、ユーザ名のパスワードに MD5 暗号化を設定できます。MD5 暗号化は、暗号化されたパスワードの復号化が不可能な、一方向ハッシュ機能であり、強力な暗号化で保護できます。MD5 暗号化を使用すると、クリア テキスト パスワードを取得できません。MD5 で暗号化されたパスワードは、クリア テキスト パスワードを取得可能にすることを必須にするプロトコルでは使用できません。たとえば、Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェーク認証プロトコル)などのプロトコルです。

この機能に関する詳細については、次の各項を参照してください。

「窓口のテクニカル サポート スタッフのユーザ名を必須にするネットワーキング デバイスの設定および確認」

「イネーブル シークレット パスワードの設定と確認」

privilege コマンドの強化

12.0(22)S
12.2(13)T

キーワード all は、ワイルド カードとして privilege コマンドに追加されました。これは、同じコマンドの複数のキーワードについて特権レベルを変更するときに、 privilege コマンドを入力する回数を減らすためです。

この機能に関する詳細については、次の各項を参照してください。

「privilege コマンドの強化」