Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
リバース SSH 拡張
リバース SSH 拡張
発行日;2012/02/02 | 英語版ドキュメント(2011/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

リバース SSH 拡張

機能情報の確認

この章の構成

リバース SSH 拡張の前提条件

リバース SSH 拡張の制約事項

リバース SSH 拡張に関する情報

リバース Telnet

リバース SSH

リバース SSH 拡張の設定方法

コンソール アクセス用のリバース SSH の設定

モデム アクセス用のリバース SSH の設定

クライアント上でのリバース SSH のトラブルシューティング

サーバ上でのリバース SSH のトラブルシューティング

リバース SSH 拡張の設定例

リバース SSH コンソール アクセス:例

リバース SSH モデム アクセス:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

リバース SSH 拡張の機能情報

リバース SSH 拡張

Secure Shell(SSH; セキュア シェル)のバージョン 1 と 2 に対してサポートされているリバース SSH 拡張機能は、SSH を有効にしなければならない端末または補助回線ごとに別々の回線を設定する必要がないようにリバース SSH を設定する代替手段を提供します。この機能は、ロータリー グループの制限も排除します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「リバース SSH 拡張の機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

リバース SSH 拡張の前提条件

SSH を有効にする必要があります。

SSH クライアントとサーバで同じバージョンの SSH が動作している必要があります。

リバース SSH 拡張の制約事項

リバース SSH の代替手段をコンソール アクセス用に設定する場合は、 -l キーワード、 userid : { number } { ip-address } デリミタ、および引数が必須です。

リバース SSH 拡張に関する情報

リバース SSH 拡張を設定するには、次の概念を理解しておく必要があります。

「リバース Telnet」

「リバース SSH」

リバース Telnet

Cisco IOS ソフトウェアには、以前から、リバース telnet と呼ばれる機能が内蔵されているため、特定のポート範囲に telnet して、端末または補助回線に接続できます。リバース telnet は、他の Cisco IOS ルータや他のデバイスのコンソールへの端末回線を複数内蔵した Cisco IOS ルータとの接続によく使用されていました。telnet を使用すれば、特定の回線上のターミナル サーバに telnet することによって、どの場所からでも簡単にルータ コンソールに到達できます。この telnet アプローチは、ルータへのすべてのネットワーク接続が切断されている場合でも、そのルータの設定に使用できます。また、リバース telnet は、Cisco IOS ルータに接続されたモデムをダイヤルアウトに使用することもできます(通常は、ロータリー デバイスと一緒に)。

リバース SSH

リバース telnet は SSH を使用して実現できます。リバース telnet と違って、SSH はセキュアな接続を提供します。リバース SSH 拡張機能は、SSH の設定を容易にします。この機能を使用すれば、SSH を有効にする端末または補助回線ごとに別々の回線を設定する必要がなくなります。以前のリバース SSH 設定方法では、アクセスできるポートの数が 100 に制限されていました。リバース SSH 拡張機能では、ポートの数に制限がありません。リバース SSH 設定の代替手段については、「リバース SSH 拡張の設定方法」を参照してください。

リバース SSH 拡張の設定方法

ここでは、次の各手順について説明します。

「コンソール アクセス用のリバース SSH の設定」

「モデム アクセス用のリバース SSH の設定」

「クライアント上でのリバース SSH のトラブルシューティング」

「サーバ上でのリバース SSH のトラブルシューティング」

コンソール アクセス用のリバース SSH の設定

SSH サーバ上でリバース SSH コンソール アクセスを設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. line line-number [ ending-line-number ]

4. no exec

5. login authentication listname

6. transport input ssh

7. exit

8. exit

9. ssh -l userid : { number } { ip-address }

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

line line-number [ ending-line-number ]

 

Router# line 1 3

設定用の回線を特定して、回線コンフィギュレーション モードに入ります。

ステップ 4

no exec

 

Router (config-line)# no exec

回線上の EXEC 処理を無効にします。

ステップ 5

login authentication listname

 

Router (config-line)# login authentication default

回線のログイン認証メカニズムを定義します。

(注) 認証方式はユーザ名とパスワードを使用する必要があります。

ステップ 6

transport input ssh

 

Router (config-line)# transport input ssh

ルータの特定の回線への接続に使用されるプロトコルを定義します。

リバース SSH 拡張機能の場合は、 ssh キーワードを使用する必要があります。

ステップ 7

exit

 

Router (config-line)# exit

ライン コンフィギュレーション モードを終了します。

ステップ 8

exit

 

Router (config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 9

ssh -l userid : { number } { ip-address }

 

Router# ssh -l lab:1 router.example.com

SSH サーバを実行しているリモート ネットワーキング デバイスにログインするときに使用されるユーザ ID を指定します。

userid:ユーザ ID

::ポート番号と端末 IP アドレスが userid 引数に続くことを示します。

number :端末番号または補助回線番号

ip-address :ターミナル サーバの IP アドレス。

} デリミタ、および引数が必須です。

モデム アクセス用のリバース SSH の設定

リバース SSH をモデム アクセス用に設定するには、後述の「手順の概要」で示す手順を実行します。

この設定では、リバース SSH がダイヤルアウト回線に使用されるモデム上で設定されます。ダイヤルアウト モデムのいずれかに到達するには、下のステップ 10 に示すように、任意の SSH クライアントを使用して SSH セッションを開始し、ロータリー デバイスから次に使用可能なモデムに到達します。

手順の概要

1. enable

2. configure terminal

3. line line-number [ ending-line-number ]

4. no exec

5. login authentication listname

6. rotary group

7. transport input ssh

8. exit

9. exit

10. ssh -l userid :rotary { number } { ip-address }

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

line line-number [ ending-line-number ]

 

Router# line 1 200

設定用の回線を特定して、回線コンフィギュレーション モードに入ります。

ステップ 4

no exec

 

Router (config-line)# no exec

回線上の EXEC 処理を無効にします。

ステップ 5

login authentication listname

 

Router (config-line)# login authentication default

回線のログイン認証メカニズムを定義します。

(注) 認証方式はユーザ名とパスワードを使用する必要があります。

ステップ 6

rotary group

 

Router (config-line)# rotary 1

1 つ以上の仮想端末回線または 1 つの補助ポート回線からなる回線グループを定義します。

ステップ 7

transport input ssh

 

Router (config-line)# transport input ssh

ルータの特定の回線への接続に使用されるプロトコルを定義します。

リバース SSH 拡張機能の場合は、 ssh キーワードを使用する必要があります。

ステップ 8

exit

 

Router (config-line)# exit

ライン コンフィギュレーション モードを終了します。

ステップ 9

exit

 

Router (config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 10

ssh -l userid :rotary { number } { ip-address }

 

Router# ssh -l lab:rotary1 router.example.com

SSH サーバを実行しているリモート ネットワーキング デバイスにログインするときに使用されるユーザ ID を指定します。

userid:ユーザ ID

: :ポート番号と端末 IP アドレスが userid 引数に続くことを示します。

number :端末番号または補助回線番号

ip-address :ターミナル サーバの IP アドレス。

} デリミタ、および引数が必須です。

クライアント上でのリバース SSH のトラブルシューティング

クライアント(リモート デバイス)上でリバース SSH 設定の問題を解決するには、次の手順を実行します。

手順の概要

1. enable

2. debug ip ssh client

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug ip ssh client

 

Router# debug ip ssh client

SSH クライアントに関するデバッギング メッセージを表示します。

サーバ上でのリバース SSH のトラブルシューティング

ターミナル サーバ上でリバース SSH 設定の問題を解決するには、次の手順を実行します。各ステップは、互いに独立しているため、任意の順序で設定できます。

手順の概要

1. enable

2. debug ip ssh

3. show ssh

4. show line

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug ip ssh

 

Router# debug ip ssh

SSH サーバに関するデバッギング メッセージを表示します。

ステップ 3

show ssh

 

Router# show ssh

SSH サーバ接続のステータスを表示します。

ステップ 4

show line

 

Router# show line

端末回線のパラメータを表示します。

リバース SSH 拡張の設定例

ここでは、次の設定例を示します。

「リバース SSH コンソール アクセス:例」

「リバース SSH モデム アクセス:例」

リバース SSH コンソール アクセス:例

次の設定例は、リバース SSH が端末回線 1 ~ 3 のコンソール アクセス用に設定されていることを示しています。

ターミナル サーバの設定

line 1 3
no exec
login authentication default
transport input ssh
 

クライアントの設定

SSH クライアント上で設定された次のコマンドは、それぞれ、回線 1、2、および 3 とのリバース SSH セッションを形成します。

ssh -l lab:1 router.example.com
ssh -l lab:2 router.example.com
ssh -l lab:3 router.example.com

リバース SSH モデム アクセス:例

次の設定例は、ダイヤルアウト回線の 1 ~ 200 がモデム アクセス用のロータリー グループ 1 にグループ分けされていることを示しています。

line 1 200
no exec
login authentication default
rotary 1
transport input ssh
exit
 

次のコマンドは、リバース SSH がロータリー グループの最初の空き回線に接続されることを表示します。

ssh -l lab:rotary1 router.example.com

の他の参考資料

次の項で、リバース SSH 拡張に関する参考資料を紹介します。

関連資料

内容
参照先

セキュア シェルの設定

次のモジュールを参照

Configuring Secure Shell

Secure Shell Version 2 Support

SSH Terminal-Line Access

セキュリティ コマンド

『Cisco IOS Security Command Reference』

規格

規格
タイトル

この機能によってサポートされる新しい規格や変更された規格はありません。

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

リバース SSH 拡張の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 リバース SSH 拡張の機能情報

機能名
リリース
機能情報

リバース SSH 拡張

12.3(11)T

Secure Shell(SSH; セキュア シェル)のバージョン 1 と 2 に対してサポートされているリバース SSH 拡張機能は、SSH を有効にしなければならない端末または補助回線ごとに別々の回線を設定する必要がないようにリバース SSH を設定する代替手段を提供します。この機能は、ロータリー グループの制限も排除します。

この機能は、Cisco IOS リリース 12.3(11)T で導入されました。

ssh コマンドが導入されました。

 

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2004-2009 Cisco Systems, Inc.
All rights reserved.