Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
セキュア シェル バージョン 2 サポート
セキュア シェル バージョン 2 サポート
発行日;2012/02/02 | 英語版ドキュメント(2011/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

セキュア シェル バージョン 2 サポート

機能情報の確認

この章の構成

セキュア シェル バージョン 2 サポートの前提条件

セキュア シェル バージョン 2 サポートの制約事項

セキュア シェル バージョン 2 サポートに関する情報

セキュア シェル バージョン 2

セキュア シェル バージョン 2 の機能拡張

セキュア シェル バージョン 2 の RSA 鍵に関する機能拡張

SNMP トラップ生成

SSH キーボード インタラクティブ認証

セキュア シェル バージョン 2 サポートの設定方法

ホスト名およびドメイン名を使用した SSH バージョン 2 のルータ設定

RSA 鍵ペアを使用した SSH バージョン 2 のルータ設定

秘密公開鍵ペアを使用した SSH バージョン 2 のルータ設定

リモート デバイスでの暗号化セッションの開始

トラブルシューティングのヒント

SSH サーバでの Secure Copy Protocol のイネーブル化

前提条件

トラブルシューティングのヒント

show ssh コマンドを使用したセキュア シェル接続のステータスの確認

show ip ssh コマンドを使用したセキュア シェル ステータスの確認

セキュア シェル バージョン 2 のモニタリングと維持

セキュア シェル バージョン 2 サポートの設定例

セキュア シェル バージョン 1 の設定例

セキュア シェル バージョン 2 の設定例

セキュア シェル バージョン 1 および 2 の設定例

リモート デバイスでの暗号化セッションの開始例

サーバサイド SCP の設定例

SNMP トラップの設定例

SSH キーボード インタラクティブ認証の例

SNMP デバッグの例

SSH デバッグ機能拡張の例

関連情報

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

セキュア シェル バージョン 2 サポートの機能情報

セキュア シェル バージョン 2 サポート

セキュア シェル バージョン 2 サポート機能を使用して、Secure Shell(SSH; セキュア シェル)バージョン 2 を設定できます(SSH バージョン 1 のサポートは、以前の Cisco IOS ソフトウェア リリースで実装されていました)。SSH は信頼できる転送レイヤの上位で実行され、強化認証および暗号化機能を実現します。現在、SSH では、信頼できる転送として定義されているのは TCP のみです。SSH で、ネットワーク上の他のコンピュータに安全にアクセスしたり、コマンドを安全に実行できます。SSH とともに提供される Secure Copy Protocol(SCP; セキュア コピー プロトコル)機能で、ファイルを安全に転送できます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「セキュア シェル バージョン 2 サポートの機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

セキュア シェル バージョン 2 サポートの前提条件

SSH の設定前に、次のタスクを行ってください。

必要なイメージをルータにダウンロードします。SSH サーバでは、Cisco IOS リリース 12.3(4)T、12.2(25)S、または 12.3(7)JA から k9(Triple Data Encryption Standard(3DES))ソフトウェア イメージをルータにダウンロードする必要があります。


) SSH Version 2 サーバは Cisco IOS リリース 12.3(4)T、12.3(2)XE、12.2(25)S、および 12.3(7)JA でサポートされます。SSH Version 2 クライアントは Cisco IOS リリース 12.3(7)T からサポートされ、Cisco IOS リリース 3(7)JA でサポートされています。(SSH クライアントは SSH バージョン 1 およびバージョン 2 プロトコルの両方を実行し、Cisco IOS リリース 12.3(4)T の k8 および k9 両方のイメージでサポートされます)。


ソフトウェア イメージのダウンロードの詳細については、 『Cisco IOS Configuration Fundamentals Guide の リリース 12.4T および Cisco IOS Network Management Configuration Guide の リリース 15.0 を参照してください。

セキュア シェル バージョン 2 サポートの制約事項

SSH サーバおよび SSH クライアントは、3DES ソフトウェア イメージでサポートされます。

サポートされるアプリケーションは、実行シェル、remote コマンドの実行、Secure Copy Protocol(SCP)のみです。

Rivest、Shamir、および Adelman(RSA)鍵生成は SSH サーバ サイドの要件です。SSH クライアントとして動作するルータで RSA 鍵を生成する必要はありません。

RSA 鍵ペアのサイズは、768 以上である必要があります。

次の機能はサポートされていません。

ポート フォワーディング

圧縮

セキュア シェル バージョン 2 サポートに関する情報

SSH バージョン 2 を設定するには、次の概念を理解する必要があります。

「セキュア シェル バージョン 2」

「セキュア シェル バージョン 2 の機能拡張」

「セキュア シェル バージョン 2 の RSA 鍵に関する機能拡張」

「SNMP トラップ生成」

「SSH キーボード インタラクティブ認証」

セキュア シェル バージョン 2

セキュア シェル バージョン 2 サポート機能で、SSH バージョン 2 を設定できます。

SSH バージョン 2 サーバの設定は、SSH バージョン 1 の設定と同様です。 ip ssh version コマンドが導入されたため、設定する SSH のバージョンを定義できます。このコマンドを設定しない場合、デフォルトで SSH は互換モードで実行されます。バージョン 1 とバージョン 2 両方の接続が利用できます。


) SSH バージョン 1 は、標準として定義されていないプロトコルです。ルータを定義されていないプロトコル(バージョン 1)に戻したくない場合は、ip ssh version コマンドを使用してバージョン 2 を指定してください。


ip ssh rsa keypair-name コマンドも、Cisco IOS リリース 12.3(4)T で導入されたため、設定した RSA 鍵を使用して SSH 接続をイネーブルにできます。すでに、SSH は生成済みの最初の RSA 鍵にリンクされています(つまり、最初の RSA 鍵ペアが生成された時点で SSH はイネーブルになっています)。この動作は存在していますが、 ip ssh rsa keypair-name コマンドを使用してこの動作を行わないようにすることができます。 ip ssh rsa keypair-name コマンドを、鍵ペアの名前を使用して設定する場合、SSH は鍵ペアが存在する場合にイネーブルになるか、鍵ペアを後で作成する場合は後からイネーブルになります。このコマンドを使用して SSH をイネーブルにする場合、Cisco IOS ソフトウェアの SSH バージョン 1 では必要な、ホスト名とドメイン名を設定を設定する必要はありません。


) ログイン バナーはセキュア シェル バージョン 2 でサポートされますが、セキュア シェル バージョン 1 ではサポートされません。


セキュア シェル バージョン 2 の機能拡張

セキュア シェル バージョン 2 の機能拡張には、VRF aware SSH、SSH デバッグ機能拡張、および Diffie-Hellman グループ交換のサポートなどの、追加機能がいくつか含まれています。

Cisco IOS SSH 実装では従来、768 ビット絶対値が使用されていましたが、Diffie-Hellman(DH; ディフィー・ヘルマン)グループ 14(2048 ビット)およびグループ 16(4096 ビット)暗号化アプリケーションに対応するため、より大きな鍵サイズの必要性が高まり、優先 DH グループを確立するクライアントとサーバ間のメッセージ交換が必要になっています。 ip ssh dh min size コマンドが Cisco IOS リリース 12.4(20)T で導入され、SSH サーバの絶対サイズを設定できるようになりました。これに加え、 ssh コマンドが拡張され、SSH クライアント サイドのクライアントの VRF インスタンス名を IP アドレスとともに使用して、正しいルーティング テーブルを検索し、接続を確立する機能に、VRF 認識が追加されました。

SSH debug コマンドが修正され、デバッグが拡張されました。 debug ip ssh コマンドが拡張され、デバッグ処理を簡素化できるようになりました。これまでは、このコマンドで、SSH に関連するデバッグ メッセージが、特に必要なものとそうでないものにかかわらずすべて印刷されていました。この動作は依然として存在しますが、 debug ip ssh コマンドをキーワードを指定して設定した場合、メッセージが、キーワードで指定した情報に制限されます。

セキュア シェル バージョン 2 の RSA 鍵に関する機能拡張

Cisco IOS SSH は、キーボードインタラクティブでパスワード ベースの認証方式をサポートしています。これらの認証方式に加え、RSA 鍵の SSHv2 機能拡張で、Cisco IOS SSH で公開鍵ベースのユーザ認証がサポートされます。RSA ベースのユーザ認証方式では、秘密鍵と公開鍵のペアのアソシエーションが使用されます。SSH ユーザは、秘密鍵暗号化認証シグニチャを提示します。この認証シグニチャとその公開鍵は認証のため、SSH サーバに送信されます。一致が見つかった場合、RSA ベースの検証が公開鍵を使用して完了します。

認証を完了するには、秘密鍵と公開鍵のペアを作成する必要があります。公開鍵は、SSH サーバで設定し、格納する必要があります。


) 公開鍵をサーバで格納する際、メモリを使用します。したがって、SSH サーバで設定できる公開鍵の数は、1 ユーザに最大 2 つの公開鍵を作成した場合 10 ユーザ分に限られます。


SNMP トラップ生成

Cisco IOS リリース 12.4(17) では、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)トラップは、トラップがイネーブルで SNMP デバッグがオンになっている場合、SSH セッションが終了した際に自動的に生成されます。SNMP トラップのイネーブル化の詳細については『 Cisco IOS Network Management Configuration Guide 』、 リリース 15.0 の「 Configuring SNMP Support 」モジュールを参照してください。


snmp-server host コマンドを設定する場合、IP アドレスは SSH(Telnet)クライアントがあり、SSH サーバへの IP 接続が可能な PC のアドレスにしてください。SNMP トラップ生成設定の例については、セクション「SNMP トラップの設定例」を参照してください。


また、SNMP デバッグを debug snmp packet コマンドを使用してオンにし、トラップを表示する必要があります。トラップ情報には、送信バイト数や SSH セッションで使用されたプロトコルなどの情報が含まれます。SNMP デバッグの例については、セクション「SNMP デバッグの例」を参照してください。

SSH キーボード インタラクティブ認証

SSH キーボード インタラクティブ認証機能は、SSH での汎用メッセージ認証とも呼ばれ、異なる種類の認証メカニズムを実装するために使用できる方式です。基本的に、現在サポートされている、ユーザの入力のみが必要な認証方式はすべて、この機能で実行することができます。この機能は自動的に導入されます。

次の方式が現在サポートされています。

パスワード

サーバが送信するチャレンジ に応答する番号またはストリングを印刷する SecurID およびハードウェア トークン

Pluggable Authentication Module(PAM; プラグイン可能な認証モジュール)

S/KEY(およびその他の使い捨て鍵)

自動的に導入された SSH キーボード インタラクティブ認証機能のさまざまなシナリオの例については、「SSH キーボード インタラクティブ認証の例」の章を参照してください。

キュア シェル バージョン 2 サポートの設定方法

ここでは、次の各手順について説明します。

「ホスト名およびドメイン名を使用した SSH バージョン 2 のルータ設定」(必須)

「RSA 鍵ペアを使用した SSH バージョン 2 のルータ設定」(任意)

「秘密公開鍵ペアを使用した SSH バージョン 2 のルータ設定」(任意)

「リモート デバイスでの暗号化セッションの開始」(任意)

「SSH サーバでの Secure Copy Protocol のイネーブル化」(任意)

「show ssh コマンドを使用したセキュア シェル接続のステータスの確認」(任意)

「show ip ssh コマンドを使用したセキュア シェル ステータスの確認」(任意)

「セキュア シェル バージョン 2 のモニタリングと維持」(任意)

ホスト名およびドメイン名を使用した SSH バージョン 2 のルータ設定

このタスクを実行して、SSH バージョン 2 のルータを、ホスト名とドメイン名を使用して設定します。また、SSH バージョン 2 を、RSA 鍵ペアの設定を使用して設定することもできます(「RSA 鍵ペアを使用した SSH バージョン 2 のルータ設定」のセクションを参照)。

手順の概要

1. enable

2. configure terminal

3. hostname hostname

4. ip domain-name name

5. crypto key generate rsa

6. ip ssh [ time-out seconds | authentication-retries integer ]

7. ip ssh version [ 1 | 2 ]

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

hostname hostname

 

Router(config)# hostname cisco 7200

ルータのホスト名を設定します。

ステップ 4

ip domain-name name

 

Router(config)# ip domain-name example.com

ルータのドメイン名を設定します。

ステップ 5

crypto key generate rsa

 

Router(config)# crypto key generate rsa

ローカルおよびリモート認証用の SSH サーバをイネーブルにします。

ステップ 6

ip ssh [ time-out seconds | authentication-retries integer ]

 

Router(config)# ip ssh time-out 120

(任意)SSH コントロール変数をルータに設定します。

ステップ 7

ip ssh version [ 1 | 2 ]

 

Router(config)# ip ssh version 1

(任意)ルータで実行する SSH のバージョンを指定します。

RSA 鍵ペアを使用した SSH バージョン 2 のルータ設定

SSH バージョン 2 を、ホスト名またはドメイン名を設定せずにイネーブルにするには、次の手順を行います。SSH バージョン 2 は、設定する鍵ペアがすでに存在する場合や、後で作成する場合は、後でイネーブルになります。また、SSH バージョン 2 をホスト名とドメイン名を設定して設定することもできます(「ホスト名およびドメイン名を使用した SSH バージョン 2 のルータ設定」セクションを参照)。

手順の概要

1. enable

2. configure terminal

3. ip ssh rsa keypair-name keypair-name

4. crypto key generate rsa usage-keys label key-label modulus modulus-size

5. ip ssh [ time-out seconds | authentication-retries integer ]

6. ip ssh version 2

手順の詳細

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip ssh rsa keypair-name keypair-name
 

Router (config)# ip ssh rsa keypair-name sshkeys

SSH を使用する際に使用する RSA 鍵ペアを指定します。

(注) Cisco IOS ルータでは、複数の RSA 鍵ペアを指定することができます。

ステップ 4

crypto key generate rsa usage-keys label key-label modulus modulus-size
 
Router (config)# crypto key generate rsa usage-keys label sshkeys modulus 768

ルータでローカルおよびリモート認証を行う SSH サーバをイネーブルにします。

SSH バージョン 2 では、絶対サイズは 768 ビット以上である必要があります。

コマンドを使用します。RSA 鍵ペアを削除すると、SSH サーバも自動的にディセーブルになります。

ステップ 5

ip ssh [ time-out seconds | authentication-retries integer ]

 
Router (config)# ip ssh time-out 120

SSH コントロール変数をルータに設定します。

ステップ 6

ip ssh version 2

 
Router (config)# ip ssh version 2

ルータで実行する SSH のバージョンを指定します。

秘密公開鍵ペアを使用した SSH バージョン 2 のルータ設定

SSH バージョン 2 公開鍵ベースのユーザ認証をイネーブルにするには、このタスクを実行します。SSH バージョン 2 は、公開鍵と秘密鍵の暗号化メッセージが、SSH サーバに格納されている鍵と一致した場合に認証が承認されます。

手順の概要

1. enable

2. configure terminal

3. ip ssh pubkey-chain

4. server server-name

5. username user-name

6. key-hash key-type key-name

7. exit

手順の詳細

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip ssh pubkey-chain
 

Router (config)# ip ssh pubkey-chain

pubkey-chain コンフィギュレーション モードを開始します。

ステップ 4

server server-name
 
Router (conf-ssh-pubkey)# server cisco

ルータの公開鍵認証を行う SSH サーバをイネーブルにします。

ステップ 5

username user-name

 
Router (conf-ssh-pubkey)# username stabilo

SSH ユーザ名を設定し、公開鍵ユーザ モードを開始します。

ステップ 6

key-hash key-type key-name

 
Router (conf-ssh-pubkey-user)# key-hash ssh-rsa lemon

SSH 鍵タイプとバージョンを指定します。

(注) 鍵タイプは、秘密公開鍵ペアの設定では ssh-rsa である必要があります。

ステップ 7

exit

 
Router (conf-ssh-pubkey-user)# exit

公開鍵ユーザモードを終了します。

リモート デバイスでの暗号化セッションの開始

リモート ネットワーキング デバイスで暗号化セッションを開始するには、このタスクを実行します(ルータをイネーブルにする必要はありません。SSH はディセーブル モードで実行できます)。


) 接続するデバイスは、Cisco IOS ソフトウェアでサポートされる暗号化アルゴリズムを備えた SSH サーバをサポートしている必要があります。


手順の概要

1. ssh [ -v { 1 | 2 }] [ -c { 3des | aes128-cbc | aes192-cbc | aes256-cbc }] [ -m { hmac-md5 | hmac-md5-96 | hmac-sha1 | hmac-sha1-96 }] [ l userid ] [ -o numberofpasswordprompts n ] [ -p port-num ] { ip-addr | hostname } [ command ]

手順の詳細

ステップ 1

ssh [ -v { 1 | 2 }] [ -c { 3des | aes128-cbc | aes192-cbc | aes256-cbc }] [ -m { hmac-md5 | hmac-md5-96 | hmac-sha1 | hmac-sha1-96 }] [ l userid ] [ -o numberofpasswordprompts n ] [ -p port-num ] { ip-addr | hostname } [ command ]

 

Router# ssh -v 2 -c aes256-cbc -m hmac-sha1-96 -l user2 10.76.82.24

 

または

上記の例は、SSH バージョン 2 の表記法を遵守しています。セッションを開始する、より自然で一般的な方法は username と hostname をリンクする方法です。たとえば、次は、上記の例と同一の結果になる設定例です。

 
Router# ssh -v 2 -c aes256-cbc -m hmac-sha1-96 user2@10.76.82.24

リモート ネットワーキング デバイスを使用した暗号化セッションを開始します。

トラブルシューティングのヒント

ip ssh version コマンドは、SSH 設定のトラブルシューティングに使用できます。バージョンを変更すると、どの SSH バージョンが問題かを確認できます。

SSH サーバでの Secure Copy Protocol のイネーブル化

SCP のサーバサイドの機能を設定するには、このタスクを実行します。これは、ルータでリモートのワークステーションからファイルを安全にコピーできる一般的な設定の例です。

前提条件

SCP が正しく機能するかどうかは、AAA 認証と認可に依存しています。したがって、AAA はルータで設定する必要があります。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. aaa authentication login default local

5. aaa authorization exec default local

6. username name privilege privilege-level password password

7. ip ssh time-out seconds

8. ip ssh authentication-retries integer

9. ip scp server enable

手順の詳細

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

 

Router(config)# aaa new-model

Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)アクセス コントロール モデルをイネーブルにします。

ステップ 4

aaa authentication login default local
 

Router(config)# aaa authentication login default local

Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)認証をログイン時に設定し、認証にローカル ユーザ名データベースを使用します。

ステップ 5

aaa authorization exec defa ult local

 

Router(config)# aaa authorization exec default local

ユーザ アクセスを制限するパラメータをネットワークに設定します。認証を実行し、ユーザ ID で EXEC シェルを実行するかどうかを定義します。その後、システムで認証にローカル データベースを使用するかを指定します。

ステップ 6

username name privilege privilege-level password password

 

Router(config)# username samplename privilege 15 password password1

ユーザ名ベースの認証システムを確立し、ユーザ名、権限レベル、非暗号化パスワードを指定します。

(注) 最低権限レベル は 15 です。権限レベルが 15 未満の場合、接続が切断されます。

ステップ 7

ip ssh time-out seconds
 

Router(config)# ip ssh time-out 120

ルータが SSH クライアントの応答を待つ時間間隔を、秒で設定します。

ステップ 8

ip ssh authentication-retries integer
 

Router(config)# ip ssh authentication-retries 3

インターフェイスのリセット後、認証を試行する回数を設定します。

ステップ 9

ip scp server enable
 

Router (config)# ip scp server enable

ルータで、リモート ワークステーションから安全にファイルをコピーできるようにします。

トラブルシューティングのヒント

SCP 認証に関する問題のトラブルシューティングには、 debug ip scp コマンドを使用します。

show ssh コマンドを使用したセキュア シェル接続のステータスの確認

ルータで SSH 接続のステータスを表示するには、 show ssh コマンドを使用します。

手順の概要

1. enable

2. show ssh

手順の詳細

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show ssh

 

Router# show ssh

SSH サーバ接続のステータスを表示します。

次は、 show ssh コマンド表示ステータスからの、さまざまな SSH バージョン 1 およびバージョン 2 接続に関する出力例です。

バージョン 1 およびバージョン 2 接続

-----------------------------------------------------------------------
Router# show ssh
 
Connection Version Encryption State Username
0 1.5 3DES Session started lab
Connection Version Mode Encryption Hmac State
Username
1 2.0 IN aes128-cbc hmac-md5 Session started lab
1 2.0 OUT aes128-cbc hmac-md5 Session started lab
-------------------------------------------------------------------------

バージョン 1 がないバージョン 2 接続

-------------------------------------------------------------------------
Router# show ssh
 
Connection Version Mode Encryption Hmac State
Username
1 2.0 IN aes128-cbc hmac-md5 Session started lab
1 2.0 OUT aes128-cbc hmac-md5 Session started lab
%No SSHv1 server connections running.
-------------------------------------------------------------------------

バージョン 2 がないバージョン 1 接続

-------------------------------------------------------------------------
Router# show ssh
 
Connection Version Encryption State Username
0 1.5 3DES Session started lab
%No SSHv2 server connections running.
-------------------------------------------------------------------------

show ip ssh コマンドを使用したセキュア シェル ステータスの確認

SSH 設定を確認するには、このタスクを実行します。

手順の概要

1. enable

2. show ip ssh

手順の詳細

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show ip ssh

 

Router# show ip ssh

SSH のバージョンおよび設定データを表示します。

次は、 show ip ssh コマンドの、イネーブルになっている SSH のバージョン、タイムアウト値、および認証リトライ回数の表示例です。

バージョン 1 およびバージョン 2 接続

-----------------------------------------------------------------------
router# show ip ssh
 
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3
-----------------------------------------------------------------------

バージョン 1 がないバージョン 2 接続

------------------------------------------------------------------------
Router# show ip ssh
 
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
------------------------------------------------------------------------

バージョン 2 がないバージョン 1 接続

------------------------------------------------------------------------
Router# show ip ssh
 
3d06h: %SYS-5-CONFIG_I: Configured from console by console
SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries: 3
------------------------------------------------------------------------

セキュア シェル バージョン 2 のモニタリングと維持

SSH 接続に関するデバッグ メッセージを表示するには、 debug ip ssh コマンドを使用します。

手順の概要

1. enable

2. debug ip ssh

3. debug snmp packet

手順の詳細

 

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug ip ssh

 

Router# debug ip ssh

SSH のデバッグ メッセージを表示します。

ステップ 3

debug snmp packet

 

Router# debug snmp packet

ルータで送受信された各 SNMP パケットに関する情報を表示します。

次は、ディジット 2 キーワードが割り当てられ、これが SSH バージョン 2 接続であることを示す debug ip ssh コマンドの出力です。

Router# debug ip ssh
 
00:33:55: SSH1: starting SSH control process
00:33:55: SSH1: sent protocol version id SSH-1.99-Cisco-1.25
00:33:55: SSH1: protocol version id is - SSH-2.0-OpenSSH_2.5.2p2
00:33:55: SSH2 1: send: len 280 (includes padlen 4)
00:33:55: SSH2 1: SSH2_MSG_KEXINIT sent
00:33:55: SSH2 1: ssh_receive: 536 bytes received
00:33:55: SSH2 1: input: packet len 632
00:33:55: SSH2 1: partial packet 8, need 624, maclen 0
00:33:55: SSH2 1: ssh_receive: 96 bytes received
00:33:55: SSH2 1: partial packet 8, need 624, maclen 0
00:33:55: SSH2 1: input: padlen 11
00:33:55: SSH2 1: received packet type 20
00:33:55: SSH2 1: SSH2_MSG_KEXINIT received
00:33:55: SSH2: kex: client->server aes128-cbc hmac-md5 none
00:33:55: SSH2: kex: server->client aes128-cbc hmac-md5 none
00:33:55: SSH2 1: expecting SSH2_MSG_KEXDH_INIT
00:33:55: SSH2 1: ssh_receive: 144 bytes received
00:33:55: SSH2 1: input: packet len 144
00:33:55: SSH2 1: partial packet 8, need 136, maclen 0
00:33:55: SSH2 1: input: padlen 5
00:33:55: SSH2 1: received packet type 30
00:33:55: SSH2 1: SSH2_MSG_KEXDH_INIT received
00:33:55: SSH2 1: signature length 111
00:33:55: SSH2 1: send: len 384 (includes padlen 7)
00:33:55: SSH2: kex_derive_keys complete
00:33:55: SSH2 1: send: len 16 (includes padlen 10)
00:33:55: SSH2 1: newkeys: mode 1
00:33:55: SSH2 1: SSH2_MSG_NEWKEYS sent
00:33:55: SSH2 1: waiting for SSH2_MSG_NEWKEYS
00:33:55: SSH2 1: ssh_receive: 16 bytes received
00:33:55: SSH2 1: input: packet len 16
00:33:55: SSH2 1: partial packet 8, need 8, maclen 0
00:33:55: SSH2 1: input: padlen 10
00:33:55: SSH2 1: newkeys: mode 0
00:33:55: SSH2 1: received packet type 2100:33:55: SSH2 1: SSH2_MSG_NEWKEYS received
00:33:56: SSH2 1: ssh_receive: 48 bytes received
00:33:56: SSH2 1: input: packet len 32
00:33:56: SSH2 1: partial packet 16, need 16, maclen 16
00:33:56: SSH2 1: MAC #3 ok
00:33:56: SSH2 1: input: padlen 10
00:33:56: SSH2 1: received packet type 5
00:33:56: SSH2 1: send: len 32 (includes padlen 10)
00:33:56: SSH2 1: done calc MAC out #3
00:33:56: SSH2 1: ssh_receive: 64 bytes received
00:33:56: SSH2 1: input: packet len 48
00:33:56: SSH2 1: partial packet 16, need 32, maclen 16
00:33:56: SSH2 1: MAC #4 ok
00:33:56: SSH2 1: input: padlen 9
00:33:56: SSH2 1: received packet type 50
00:33:56: SSH2 1: send: len 32 (includes padlen 13)
00:33:56: SSH2 1: done calc MAC out #4
00:34:04: SSH2 1: ssh_receive: 160 bytes received
00:34:04: SSH2 1: input: packet len 64
00:34:04: SSH2 1: partial packet 16, need 48, maclen 16
00:34:04: SSH2 1: MAC #5 ok
00:34:04: SSH2 1: input: padlen 13
00:34:04: SSH2 1: received packet type 50
00:34:04: SSH2 1: send: len 16 (includes padlen 10)
00:34:04: SSH2 1: done calc MAC out #5
00:34:04: SSH2 1: authentication successful for lab
00:34:04: SSH2 1: input: packet len 64
00:34:04: SSH2 1: partial packet 16, need 48, maclen 16
00:34:04: SSH2 1: MAC #6 ok
00:34:04: SSH2 1: input: padlen 6
00:34:04: SSH2 1: received packet type 2
00:34:04: SSH2 1: ssh_receive: 64 bytes received
00:34:04: SSH2 1: input: packet len 48
00:34:04: SSH2 1: partial packet 16, need 32, maclen 16
00:34:04: SSH2 1: MAC #7 ok
00:34:04: SSH2 1: input: padlen 19
00:34:04: SSH2 1: received packet type 90
00:34:04: SSH2 1: channel open request
00:34:04: SSH2 1: send: len 32 (includes padlen 10)
00:34:04: SSH2 1: done calc MAC out #6
00:34:04: SSH2 1: ssh_receive: 192 bytes received
00:34:04: SSH2 1: input: packet len 64
00:34:04: SSH2 1: partial packet 16, need 48, maclen 16
00:34:04: SSH2 1: MAC #8 ok
00:34:04: SSH2 1: input: padlen 13
00:34:04: SSH2 1: received packet type 98
00:34:04: SSH2 1: pty-req request
00:34:04: SSH2 1: setting TTY - requested: height 24, width 80; set: height 24,
width 80
00:34:04: SSH2 1: input: packet len 96
00:34:04: SSH2 1: partial packet 16, need 80, maclen 16
00:34:04: SSH2 1: MAC #9 ok
00:34:04: SSH2 1: input: padlen 11
00:34:04: SSH2 1: received packet type 98
00:34:04: SSH2 1: x11-req request
00:34:04: SSH2 1: ssh_receive: 48 bytes received
00:34:04: SSH2 1: input: packet len 32
00:34:04: SSH2 1: partial packet 16, need 16, maclen 16
00:34:04: SSH2 1: MAC #10 ok
00:34:04: SSH2 1: input: padlen 12
00:34:04: SSH2 1: received packet type 98
00:34:04: SSH2 1: shell request
00:34:04: SSH2 1: shell message received
00:34:04: SSH2 1: starting shell for vty
00:34:04: SSH2 1: send: len 48 (includes padlen 18)
00:34:04: SSH2 1: done calc MAC out #7
00:34:07: SSH2 1: ssh_receive: 48 bytes received
00:34:07: SSH2 1: input: packet len 32
00:34:07: SSH2 1: partial packet 16, need 16, maclen 16
00:34:07: SSH2 1: MAC #11 ok
00:34:07: SSH2 1: input: padlen 17
00:34:07: SSH2 1: received packet type 94
00:34:07: SSH2 1: send: len 32 (includes padlen 17)
00:34:07: SSH2 1: done calc MAC out #8
00:34:07: SSH2 1: ssh_receive: 48 bytes received
00:34:07: SSH2 1: input: packet len 32
00:34:07: SSH2 1: partial packet 16, need 16, maclen 16
00:34:07: SSH2 1: MAC #12 ok
00:34:07: SSH2 1: input: padlen 17
00:34:07: SSH2 1: received packet type 94
00:34:07: SSH2 1: send: len 32 (includes padlen 17)
00:34:07: SSH2 1: done calc MAC out #9
00:34:07: SSH2 1: ssh_receive: 48 bytes received
00:34:07: SSH2 1: input: packet len 32
00:34:07: SSH2 1: partial packet 16, need 16, maclen 16
00:34:07: SSH2 1: MAC #13 ok
00:34:07: SSH2 1: input: padlen 17
00:34:07: SSH2 1: received packet type 94
00:34:07: SSH2 1: send: len 32 (includes padlen 17)
00:34:07: SSH2 1: done calc MAC out #10
00:34:08: SSH2 1: ssh_receive: 48 bytes received
00:34:08: SSH2 1: input: packet len 32
00:34:08: SSH2 1: partial packet 16, need 16, maclen 16
00:34:08: SSH2 1: MAC #14 ok
00:34:08: SSH2 1: input: padlen 17
00:34:08: SSH2 1: received packet type 94
00:34:08: SSH2 1: send: len 32 (includes padlen 17)
00:34:08: SSH2 1: done calc MAC out #11
00:34:08: SSH2 1: ssh_receive: 48 bytes received
00:34:08: SSH2 1: input: packet len 32
00:34:08: SSH2 1: partial packet 16, need 16, maclen 16
00:34:08: SSH2 1: MAC #15 ok
00:34:08: SSH2 1: input: padlen 17
00:34:08: SSH2 1: received packet type 94
00:34:08: SSH2 1: send: len 32 (includes padlen 16)
00:34:08: SSH2 1: done calc MAC out #12
00:34:08: SSH2 1: send: len 48 (includes padlen 18)
00:34:08: SSH2 1: done calc MAC out #13
00:34:08: SSH2 1: send: len 16 (includes padlen 6)
00:34:08: SSH2 1: done calc MAC out #14
00:34:08: SSH2 1: send: len 16 (includes padlen 6)
00:34:08: SSH2 1: done calc MAC out #15
00:34:08: SSH1: Session terminated normally

セキュア シェル バージョン 2 サポートの設定例

ここでは、次の設定例について説明します。

「セキュア シェル バージョン 1 の設定例」

「セキュア シェル バージョン 2 の設定例」

「セキュア シェル バージョン 1 および 2 の設定例」

「リモート デバイスでの暗号化セッションの開始例」

「サーバサイド SCP の設定例」

「SNMP トラップの設定例」

「SSH キーボード インタラクティブ認証の例」

「SNMP デバッグの例」

「SSH デバッグ機能拡張の例」

セキュア シェル バージョン 1 の設定例

Router# configure terminal
Router (config)# ip ssh version 1
Router (config)# end

セキュア シェル バージョン 2 の設定例

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip ssh version 2
Router(config)# end

セキュア シェル バージョン 1 および 2 の設定例

Router# configure terminal
Router (config)# no ip ssh version
Router (config)# end

リモート デバイスでの暗号化セッションの開始例

Router# ssh -v 2 -c aes256-cbc -m hmac-sha1-160 -l shaship 10.76.82.24

サーバサイド SCP の設定例

次は、SCP のサーバサイド機能の設定方法の例です。この例では、ルータでの AAA 認証および認可の設定も示しています。この例では、ローカルに定義されたユーザ名とパスワードを使用します。

Router# configure terminal
Router (config)# aaa new-model
Router (config)# aaa authentication login default local
Router (config)# aaa authorization exec default local
Router (config)# username samplename privilege 15 password password1
Router (config)# ip ssh time-out 120
Router (config)# ip ssh authentication-retries 3
Router (config)# ip scp server enable
Router (config)# end

SNMP トラップの設定例

次に、設定済みの SNMP トラップを示します。トラップ通知は、SSH セッションが終了すると自動的に生成されます。SNMP トラップ デバッグ出力の例については、「SNMP デバッグの例」のセクションを参照してください。

snmp-server
snmp-server host a.b.c.d public tty
 

ここで、a、b、c、d は SSH クライアントの IP アドレスです。

SSH キーボード インタラクティブ認証の例

次は、キーボード インタラクティブ認証機能が自動的に配置されたさまざまなシナリオの例です。

クライアントサイドのデバッグ

次の例では、クライアントサイドのデバッグがオンになっており、プロンプトの最大数が 6(SSH キーボード インタラクティブ認証方式とパスワード方式の認証に 3 ずつ)です。

Password:
Password:
Password:
Password:
Password:
Password: cisco123
Last login: Tue Dec 6 13:15:21 2005 from 10.76.248.213
user1@courier:~> exit
logout
[Connection to 10.76.248.200 closed by foreign host]
 
Router1# debug ip ssh client
 
SSH Client debugging is on
 
Router1# ssh -l lab 10.1.1.3
Password:
*Nov 17 12:50:53.199: SSH0: sent protocol version id SSH-1.99-Cisco-1.25
*Nov 17 12:50:53.199: SSH CLIENT0: protocol version id is - SSH-1.99-Cisco-1.25
*Nov 17 12:50:53.199: SSH CLIENT0: sent protocol version id SSH-1.99-Cisco-1.25
*Nov 17 12:50:53.199: SSH CLIENT0: protocol version exchange successful
*Nov 17 12:50:53.203: SSH0: protocol version id is - SSH-1.99-Cisco-1.25
*Nov 17 12:50:53.335: SSH CLIENT0: key exchange successful and encryption on
*Nov 17 12:50:53.335: SSH2 CLIENT 0: using method keyboard-interactive
Password:
Password:
Password:
*Nov 17 12:51:01.887: SSH2 CLIENT 0: using method password authentication
Password:
Password: lab
 
Router2>
*Nov 17 12:51:11.407: SSH2 CLIENT 0: SSH2_MSG_USERAUTH_SUCCESS message received
*Nov 17 12:51:11.407: SSH CLIENT0: user authenticated
*Nov 17 12:51:11.407: SSH2 CLIENT 0: pty-req request sent
*Nov 17 12:51:11.411: SSH2 CLIENT 0: shell request sent
*Nov 17 12:51:11.411: SSH CLIENT0: session open

TACACS+ ACS がバックエンド AAA サーバ、ChPass がイネーブル、ブランク パスワードの変更あり

次の例では、TACACS+ Access Control Server(ACS; アクセス コントロール サーバ)がバックエンドの Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバです。ChPass 機能がイネーブルで、ブランク パスワードの変更が、SSH キーボード インタラクティブ認証方式を使用して行われています。

Router1# ssh -l cisco 10.1.1.3
Password:
Old Password: cisco
New Password: cisco123
Re-enter New password: cisco123
 
Router2> exit
[Connection to 10.1.1.3 closed by foreign host]

TACACS+ ACS がバックエンド AAA サーバ、ChPass がイネーブル、パスワードは最初のログインで変更

次の例では、TACACS+ ACS はバックエンド サーバで、ChPass 機能がイネーブルです。パスワードは、SSH キーボード インタラクティブ 認証方式を使用して最初のログインで変更されています。

Router1# ssh -l cisco 10.1.1.3
Password: cisco
Your password has expired.
Enter a new one now.
New Password: cisco123
Re-enter New password: cisco123
 
Router2> exit
[Connection to 10.1.1.3 closed by foreign host]
 
Router1# ssh -l cisco 10.1.1.3
Password:cisco1
Your password has expired.
Enter a new one now.
New Password: cisco
Re-enter New password: cisco12
The New and Re-entered passwords have to be the same.
Try again.
New Password: cisco
Re-enter New password: cisco
 
Router2>

TACACS+ ACS はバックエンド AAA サーバ、ChPass はイネーブル、パスワードは 3 回のログイン後失効

次の例では、TACACS+ ACS はバックエンド AAA サーバで、ChPass 機能がイネーブルです。パスワードは SSH キーボード インタラクティブ認証方式を使用して、3 回のログイン後期限切れになります。

Router# ssh -l cisco. 10.1.1.3
Password: cisco
 
Router2> exit
[Connection to 10.1.1.3 closed by foreign host]
 
Router1# ssh -l cisco 10.1.1.3
Password: cisco
 
Router2> exit
 
Router1# ssh -l cisco 10.1.1.3
Password: cisco
 
Router2> exit
[Connection to 10.1.1.3 closed by foreign host]
 
Router1# ssh -l cisco 10.1.1.3
Password: cisco
Your password has expired.
Enter a new one now.
New Password: cisco123
Re-enter New password: cisco123
 
Router2>

SNMP デバッグの例

次は、 debug snmp packet コマンドを使用した出力例です。出力には、SSH セッションの SNMP トラップ情報が含まれます。

Router1# debug snmp packet
 
SNMP packet debugging is on
 
Router1# ssh -l lab 10.0.0.2
 
Password:
 
Router2# exit
 
[Connection to 10.0.0.2 closed by foreign host]
Router1#
*Jul 18 10:18:42.619: SNMP: Queuing packet to 10.0.0.2
*Jul 18 10:18:42.619: SNMP: V1 Trap, ent cisco, addr 10.0.0.1, gentrap 6, spectrap 1
local.9.3.1.1.2.1 = 6
tcpConnEntry.1.10.0.0.1.22.10.0.0.2.55246 = 4
ltcpConnEntry.5.10.0.0.1.22.10.0.0.2.55246 = 1015
ltcpConnEntry.1.10.0.0.1.22.10.0.0.2.55246 = 1056
ltcpConnEntry.2.10.0.0.1.22.10.0.0.2.55246 = 1392
local.9.2.1.18.2 = lab
*Jul 18 10:18:42.879: SNMP: Packet sent via UDP to 10.0.0.2
Router1#

SSH デバッグ機能拡張の例

次は、 debug ip ssh detail コマンドを使用した出力例です。出力には、SSH プロトコルやチャネル要求に関するデバッグ情報が含まれます。

 
Router# debug ip ssh detail
 
00:04:22: SSH0: starting SSH control process
00:04:22: SSH0: sent protocol version id SSH-1.99-Cisco-1.25
00:04:22: SSH0: protocol version id is - SSH-1.99-Cisco-1.25
00:04:22: SSH2 0: SSH2_MSG_KEXINIT sent
00:04:22: SSH2 0: SSH2_MSG_KEXINIT received
00:04:22: SSH2:kex: client->server enc:aes128-cbc mac:hmac-sha1
00:04:22: SSH2:kex: server->client enc:aes128-cbc mac:hmac-sha1
00:04:22: SSH2 0: expecting SSH2_MSG_KEXDH_INIT
00:04:22: SSH2 0: SSH2_MSG_KEXDH_INIT received
00:04:22: SSH2: kex_derive_keys complete
00:04:22: SSH2 0: SSH2_MSG_NEWKEYS sent
00:04:22: SSH2 0: waiting for SSH2_MSG_NEWKEYS
00:04:22: SSH2 0: SSH2_MSG_NEWKEYS received
00:04:24: SSH2 0: authentication successful for lab
00:04:24: SSH2 0: channel open request
00:04:24: SSH2 0: pty-req request
00:04:24: SSH2 0: setting TTY - requested: height 24, width 80; set: height 24, width 80
00:04:24: SSH2 0: shell request
00:04:24: SSH2 0: shell message received
00:04:24: SSH2 0: starting shell for vty
00:04:38: SSH0: Session terminated normally
 

次は、 debug ip ssh packet コマンドを使用した出力例です。出力には、SSH パケットに関するデバッグ情報が含まれます。

 
Router# debug ip ssh packet
 
00:05:43: SSH2 0: send:packet of length 280 (length also includes padlen of 4)
00:05:43: SSH2 0: ssh_receive: 64 bytes received
00:05:43: SSH2 0: input: total packet length of 280 bytes
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 272 bytes, maclen 0
00:05:43: SSH2 0: ssh_receive: 64 bytes received
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 272 bytes, maclen 0
00:05:43: SSH2 0: ssh_receive: 64 bytes received
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 272 bytes, maclen 0
00:05:43: SSH2 0: ssh_receive: 64 bytes received
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 272 bytes, maclen 0
00:05:43: SSH2 0: ssh_receive: 24 bytes received
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 272 bytes, maclen 0
00:05:43: SSH2 0: input: padlength 4 bytes
00:05:43: SSH2 0: ssh_receive: 64 bytes received
00:05:43: SSH2 0: input: total packet length of 144 bytes
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 136 bytes, maclen 0
00:05:43: SSH2 0: ssh_receive: 64 bytes received
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 136 bytes, maclen 0
00:05:43: SSH2 0: ssh_receive: 16 bytes received
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 136 bytes, maclen 0
00:05:43: SSH2 0: input: padlength 6 bytes
00:05:43: SSH2 0: signature length 143
00:05:43: SSH2 0: send:packet of length 448 (length also includes padlen of 7)
00:05:43: SSH2 0: send:packet of length 16 (length also includes padlen of 10)
00:05:43: SSH2 0: newkeys: mode 1
00:05:43: SSH2 0: ssh_receive: 16 bytes received
00:05:43: SSH2 0: input: total packet length of 16 bytes
00:05:43: SSH2 0: partial packet length(block size)8 bytes,needed 8 bytes, maclen 0
00:05:43: SSH2 0: input: padlength 10 bytes
00:05:43: SSH2 0: newkeys: mode 0
00:05:43: SSH2 0: ssh_receive: 52 bytes received
00:05:43: SSH2 0: input: total packet length of 32 bytes
00:05:43: SSH2 0: partial packet length(block size)16 bytes,needed 16 bytes, maclen 20

00:05:43: SSH2 0: MAC compared for #3 :ok

関連情報

SSH バージョン 2 をサポートする SSH リモート デバイスを使用する必要があります。また、Cisco IOS ルータに接続する必要があります。

その他の参考資料

次のセクションで、セキュア シェル バージョン 2 に関する関連資料について説明します。

関連資料

内容
参照先

AAA

Cisco IOS Security Configuration Guide: Securing User Services , Release 15.0』

ホスト名およびホスト ドメインの設定

「Configuring Secure Shell」 モジュール

セキュア シェルの設定

コマンドのデバッグ

『Cisco IOS Debug Command Reference』

シスコ ソフトウェア イメージのダウンロード

Cisco IOS Configuration Fundamentals Guide 』、 リリース 12.4T および『 Cisco IOS Network Management Configuration Guide 』、 リリース 15.0

IOS 設定の基本

IPsec

Cisco IOS Security Configuration Guide: Secure Connectivity , Release 15.0』

セキュリティ コマンド

『Cisco IOS Security Command Reference』

SNMP、トラップの設定

Cisco IOS Network Management Configuration Guide 』、 リリース 15.0 の「 Configuring SNMP Support 」モジュール

規格

規格
タイトル

Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)Secure Shell Version 2 Draft 規格

Internet Engineering Task Force の Web サイト

MIB

MIB
MIB リンク

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によってサポートされる新しい RFC や変更された RFC はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

セキュア シェル バージョン 2 サポートの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator により、どの Cisco IOS、Catalyst OS、および Cisco IOS XE ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 セキュア シェル バージョン 2 サポートの機能情報

機能名
リリース
機能情報

セキュア シェル バージョン 2 サポート

12.3(4)T
12.2(25)S

セキュア シェル バージョン 2 サポート機能を使用して、Secure Shell(SSH; セキュア シェル)バージョン 2 を設定できます(SSH バージョン 1 のサポートは、以前の Cisco IOS ソフトウェア リリースで実装されていました)。SSH は信頼できる転送レイヤの上位で実行され、強化認証および暗号化機能を実現します。

12.3(11)T では、Cisco 10000 のサポートが追加されました。>>

この機能に関する詳細については、次の各項を参照してください。

「セキュア シェル バージョン 2 サポートに関する情報」

「セキュア シェル バージョン 2 サポートの設定方法」

次のコマンドが導入または変更されました。 debug ip ssh ip ssh min dh size ip ssh rsa keypair-name および ip ssh version ssh

セキュア シェル バージョン 2 クライアントおよびサーバ サポート

12.3(7)JA
12.0(32)SY

この機能は、Cisco IOS リリース 12.3(7)JA に統合されました。

セキュア シェル バージョン 2 クライアントおよびサーバ サポート

12.4(17)

Cisco IOS イメージが、SSH セッション終了時に SNMP トラップを自動的に生成するよう更新されました。

この機能については、次のセクションを参照してください。

「SNMP トラップ生成」

「SNMP デバッグの例」

SSH キーボード インタラクティブ認証

12.4(18)

12.2(33)SXH3

この機能は、SSH での汎用メッセージ認証とも呼ばれ、異なる種類の認証メカニズムを実装するために使用できる方式です。基本的に、現在サポートされている、ユーザの入力のみが必要な認証方式はすべて、この機能で実行することができます。

この機能については、次を参照してください。

「SSH キーボード インタラクティブ認証」

「SSH キーボード インタラクティブ認証の例」

セキュア シェル バージョン 2 の機能拡張

12.4(20)T

セキュア シェル バージョン 2 の機能拡張には、VRF aware SSH、SSH デバッグ機能拡張、および Diffie-Hellman グループ 14 および 16 交換のサポートなどの、追加機能がいくつか含まれています。

この機能については、次を参照してください。

「セキュア シェル バージョン 2 の機能拡張」

「サーバサイド SCP の設定例」

セキュア シェル バージョン 2 の RSA 鍵に関する機能拡張

15.0(1)M

RSA 鍵のセキュア シェル バージョン 2 機能拡張には、SSH 向け RSA 鍵ベースのユーザ認証や、SSH サーバ ホスト鍵の保存や検証のサポートなどの、追加機能がいくつか含まれています。

この機能については、次を参照してください。

「セキュア シェル バージョン 2 の RSA 鍵に関する機能拡張」

「秘密公開鍵ペアを使用した SSH バージョン 2 のルータ設定」

ip ssh pubkey-chain および ip ssh stricthostkeycheck の各コマンドが導入または変更されました。