Cisco ASR 9000 シリーズアグリゲーション サービス ルータシステム セキュリティ コマンド リファレンス
Cisco ASR 9000 シリーズ サービス ルータ のセキュア シェル コマンド
Cisco ASR 9000 シリーズ サービス ルータのセキュア シェル コマンド
発行日;2012/01/31 | 英語版ドキュメント(2011/05/17 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

Cisco ASR 9000 シリーズ サービス ルータのセキュア シェル コマンド

clear ssh

sftp

show ssh

show ssh session details

ssh

ssh client knownhost

ssh client source-interface

ssh server

ssh server v2

ssh server rate-limit

ssh server session-limit

ssh timeout

Cisco ASR 9000 シリーズ サービス ルータのセキュア シェル コマンド

ここでは、Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ上で Secure Shell(SSH; セキュア シェル)を設定するために使用される Cisco IOS XR ソフトウェアコマンドについて説明します。

SSH の概念、設定作業、および例に関する詳細は、『 Cisco ASR 9000 Series Aggregation Services Router System Security Configuration Guide 』の「 Implementing Secure Shell on Cisco ASR 9000 シリーズ サービス ルータ 」を参照してください。

clear ssh

着信または発信のセキュア シェル(SSH)接続を終了するには、EXEC モードで clear ssh コマンドを使用します。

clear ssh { session-id | outgoing session-id }

 
シンタックスの説明

session-id

show ssh コマンドの出力で表示される着信接続のセッション ID 番号。範囲は 0 ~ 1024 です。

outgoing session-id

show ssh コマンドの出力で表示される発信接続のセッション ID 番号を指定します。範囲は 1 ~ 10 です。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

着信または発信の SSH 接続を切断するには、 clear ssh コマンドを使用します。着信接続は、ローカル ネットワーキング デバイス上で実行している SSH サーバによって管理されます。発信接続は、ローカル ネットワーキング デバイスから開始されます。

接続のセッション ID を表示するには、 show ssh コマンドを使用します。

タスク ID

タスク ID
操作

crypto

実行

次の例では、 show ssh コマンドを使用して、ルータへのすべての着信接続と発信接続を表示します。そのあと、 clear ssh コマンドを使用して、ID 番号が 0 の着信セッションを終了します。

RP/0/RSP0/CPU0:router# show ssh
 
SSH version: Cisco-2.0
session pty location state userid host ver
--------------------------------------------------------------------
Incoming sessions
0 vty0 0/33/1 SESSION_OPEN cisco 172.19.72.182 v2
1 vty1 0/33/1 SESSION_OPEN cisco 172.18.0.5 v2
2 vty2 0/33/1 SESSION_OPEN cisco 172.20.10.3 v1
3 vty3 0/33/1 SESSION_OPEN cisco 3333::50 v2
 
Outgoing sessions
1 0/33/1 SESSION_OPEN cisco 172.19.72.182 v2
2 0/33/1 SESSION_OPEN cisco 3333::50 v2
 
RP/0/RSP0/CPU0:router# clear ssh 0

 
関連コマンド

コマンド
説明

show ssh

ルータへの着信接続と発信接続を表示します。

sftp

ファイルをルータから、またはルータにコピーするには、EXEC モードで sftp コマンドを使用します。

sftp [[ username @ ] hostname :] srcfile [[[[ username @ ] hostname: ] srcfile.. .] | source-interface type instance | dstfile ]

 
シンタックスの説明

username

(任意)ファイル転送を実行するユーザの名前。ユーザ名のあとにアットマーク(@)が必要です。

hostname

(任意)Secure Shell File Transfer Protocol(SFTP; セキュア シェル ファイル転送プロトコル)サーバの名前。ホスト名のあとにコロン(:)が必要です。

srcfile

SFTP の発信元(パスを含む)

source-interface type instance

(任意)すべての発信 SSH 接続に対する選択されたインターフェイスの発信元 IP アドレス。

インターフェイスのタイプ。詳細については、オンにインヘルプ機能の疑問符( ? )を使用してください。

次の物理インターフェイス インスタンスまたは仮想インターフェイス インスタンスのいずれかです。

物理インターフェイス インスタンス。名前は rack/slot/module/port 形式で表記します。各値の間には、表記の一部としてスラッシュが必要です。

rack :ラックのシャーシ番号。

slot :モジュラ サービス カードまたはライン カードの物理スロット番号。

module :モジュール番号。physical layer interface module(PLIM; 物理レイヤ インターフェイス モジュール)は常に 0 です。

port :インターフェイスの物理ポート番号。

(注) ルート プロセッサ カード上の管理イーサネット インターフェイスを参照する場合、物理スロット番号は英数字(RSP0 など)、モジュールは CPU0 です。たとえば、MgmtEth 0/RSP0/CPU0/0 です。

仮想インターフェイス インスタンス。インターフェイス タイプによって、番号の範囲は異なります。

ルータの構文の詳細については、オンライン ヘルプ機能の疑問符( ? )を使用してください。

dstfile

SFTP の宛先(パスを含む)

 
デフォルト

username 引数を省略した場合、ルータのログイン名が使用されます。 hostname 引数を省略した場合、ファイルはローカルにあると見なされます。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

SFTP では、ルータとリモート ホストの間でファイルの安全な(および認証された)コピーを行うことができます。 copy コマンドと同様に、 sftp コマンドは EXEC モードでしか実行できません。

ユーザ名を省略すると、ルータのログイン名がデフォルトとして使用されます。ホスト名を省略すると、ファイルはローカルにあると見なされます。

sftp コマンドで source-interface を指定すると、 sftp インターフェイスが、 ssh client source-interface コマンドで指定されたインターフェイスよりも優先されます。

ファイルの宛先がローカル パスの場合、すべての発信元ファイルがリモート ホスト上になければなりません。その逆の場合も同様です。

複数の発信元ファイルが存在する場合、宛先は、すでに存在するディレクトリでなければなりません。それ以外の場合、宛先には、ディレクトリ名または宛先ファイル名のいずれかを指定できます。ファイルの発信元をディレクトリ名にはできません。

ファイルを複数のリモート ホストからダウンロードする場合、つまり、発信元に複数のリモート ホストを指定すると、SFTP クライアントによって SSH インスタンスがホストごとに生成されます。そのため、ユーザ認証を複数回要求されることがあります。

タスク ID

タスク ID
操作

crypto

実行

basic-services

実行

次の例では、ユーザ abc がファイル ssh.diff を SFTP サーバ ena-view1 から disk0 にダウンロードします。

RP/0/RSP0/CPU0:router# sftp abc@ena-view1:ssh.diff disk0
 

次の例では、ユーザ abc が、disk 0:/sam_* で示される複数のファイルをリモート SFTP サーバ ena-view1 上の /users/abc/ にアップロードします。

RP/0/RSP0/CPU0:router# sftp disk0:/sam_* abc@ena-view1:/users/abc/

 
関連コマンド

コマンド
説明

ssh client source-interface

すべての発信 SSH 接続に対して、選択したインターフェイスの発信元 IP アドレスを指定します。

show ssh

ルータへのすべての着信接続と発信接続を表示するには、EXEC モードで show ssh コマンドを使用します。

show ssh

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

セキュア シェル(SSH)Version 1(SSHv1; SSH バージョン 1)と SSH Version 2(SSHv2; SSH バージョン 2)のすべての着信接続と発信接続を表示するには、 show ssh コマンドを使用します。

タスク ID

タスク ID
操作

crypto

読み取り

次の出力例は、SSH がイネーブルのときに show ssh コマンドを実行した結果です。

RP/0/RSP0/CPU0:router# show ssh
 
SSH version: Cisco-2.0
 
id pty location state userid host ver
------------------------------------------------------------------------
Incoming sessions
 
0 vty0 0/RSP0/CPU0 SESSION_OPEN cisco 172.19.72.182 v2
1 vty1 0/RSP0/CPU0 SESSION_OPEN cisco 172.18.0.5 v2
2 vty2 0/RSP0/CPU0 SESSION_OPEN cisco 172.20.10.3 v1
3 vty3 0/RSP0/CPU0 SESSION_OPEN cisco 3333::50 v2
 
Outgoing sessions
 
1 0/RSP0/CPU0 SUSPENDED root 172.19.72.182 v2
 

表 22 で、これらの出力に表示される重要なフィールドについて説明します。

 

表 22 show ssh フィールドの説明

フィールド
説明

id

着信と発信の SSH 接続のセッション ID。

pty

着信セッションに割り当てられた仮想端末 ID。発信 SSH 接続の場合は Null になります。

location

着信接続の場合、SSH サーバが稼動している場所を示します。発信接続の場合、location は、SSH セッションがどのルート プロセッサから開始されるかを示します。

state

接続の現在の SSH 状態。

userid

ルータへ、またはルータからの接続に使用される Authentication, authorization, accounting(AAA; 認証、許可、アカウンティング)ユーザ名。

host

リモート ピアの IP アドレス。

ver

接続タイプが SSHv1 と SSHv2 のいずれであるかを示します。

 
関連コマンド

コマンド
説明

show sessions

開いている Telnet 接続または rlogin 接続に関する情報を表示します。詳細については、『 Cisco ASR 9000 Series Aggregation Services Router System Management Command Reference 』を参照してください。

show ssh session details

ルータへのすべての着信と発信の SSHv2 接続について、詳細を表示します。

show user

ルータのアクティブ回線に関する情報を表示します。

show ssh session details

すべての着信と発信のセキュア シェル バージョン 2(SSHv2)接続について詳細を表示するには、EXEC モードで show ssh session details コマンドを使用します。

show ssh session details

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

ルータへの SSHv2 接続の詳細レポートを表示するには、 show ssh session details コマンドを使用します。このレポートには、特定のセッションに選択された暗号化に関する情報が含まれます。

タスク ID

タスク ID
操作

crypto

読み取り

次の出力例は、着信と発信のすべての SSHv2 接続の詳細を表示するために、 show ssh session details コマンドを実行した結果です。

RP/0/RSP0/CPU0:router# show ssh session details
 
SSH version: Cisco-2.0
session key-exchange pubkey incipher outcipher inmac outmac
-------------------------------------------------------------------------------
Incoming Session
 
0 diffie-hellman ssh-dss 3des-cbc 3des-cbc hmac-md5 hmac-md5
 
 
 
Outgoing connection
 
1 diffie-hellman ssh-dss 3des-cbc 3des-cbc hmac-md5 hmac-md5
 

表 23 で、これらの出力に表示される重要なフィールドについて説明します。

 

表 23 show ssh session details フィールドの説明

フィールド
説明

session

着信と発信の SSH 接続のセッション ID。

key-exchange

相互に認証するために両方のピアで選択される鍵交換アルゴリズム。

pubkey

鍵交換に選択される公開鍵アルゴリズム。

incipher

Rx トラフィックに選択される暗号化法。

outcipher

Tx トラフィックに選択される暗号化法。

inmac

Rx トラフィックに選択される認証(メッセージ ダイジェスト)アルゴリズム。

outmac

Tx トラフィックに選択される認証(メッセージ ダイジェスト)アルゴリズム。

 
関連コマンド

コマンド
説明

show sessions

開いている Telnet 接続または rlogin 接続に関する情報を表示します。詳細については、『 Cisco ASR 9000 Series Aggregation Services Router System Management Command Reference 』を参照してください。

show ssh

ルータへのすべての着信接続と発信接続を表示します。

show user

ルータのアクティブ回線に関する情報を表示します。

ssh

発信セキュア シェル(SSH)クライアント接続をイネーブルにするには、EXEC モードで ssh コマンドを使用します。

ssh { ipv4-address | ipv6-address | hostname } [ username user-id | cipher des | source-interface type instance ]

 
シンタックスの説明

ipv4-address

4 分割ドット付き 10 進表記で記載された IPv4 アドレス。

ipv6-address

IPv6(A:B:C:D:... :D または A:B:C:D:... :P)アドレス。

hostname

リモート ノードのホスト名。このホスト名に IPv4 アドレスと IPv6 アドレスの両方が設定されている場合、IPv6 アドレスが使用されます。

username user-id

(任意)SSH サーバが稼動しているリモート ネットワーキング デバイスにログインするときに使用するユーザ名。ユーザ ID を省略すると、デフォルトとして現在のユーザ ID が使用されます。

cipher des

(任意)暗号スイート。Version 1(v1; バージョン 1)接続に対してだけ有効です。暗号スイートを cipher des オプションで指定しなければ、Triple data encryption standard(3DES; トリプル データ暗号規格)がデフォルトの暗号スイートとして使用されます。

SSHv2 は、3DES だけをサポートします(プロトコルは、128 ビット以上の暗号だけをサポートします)。SSHv1 は、DES(56 ビット)と 3DES(168 ビット)の両方の暗号スイートをサポートします。

source interface type instance

(任意)すべての発信 SSH 接続に対する選択されたインターフェイスの発信元 IP アドレス。

次の物理インターフェイス インスタンスまたは仮想インターフェイス インスタンスのいずれかです。

物理インターフェイス インスタンス。名前は rack/slot/module/port 形式で表記します。各値の間には、表記の一部としてスラッシュが必要です。

rack :ラックのシャーシ番号。

slot :モジュラ サービス カードまたはライン カードの物理スロット番号。

module :モジュール番号。物理レイヤ インターフェイス モジュール(PLIM)は常に 0 です。

port :インターフェイスの物理ポート番号。

(注) ルート プロセッサ カード上の管理イーサネット インターフェイスを参照する場合、物理スロット番号は英数字(RSP0 など)、モジュールは CPU0 です。たとえば、MgmtEth 0/RSP0/CPU0/0 です。

仮想インターフェイス インスタンス。インターフェイス タイプによって、番号の範囲は異なります。

ルータの構文の詳細については、オンライン ヘルプ機能の疑問符( ? )を使用してください。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

発信クライアント接続を行うには、 ssh コマンドを使用します。SSH クライアントにより、リモート ピアへの SSHv2 接続が試みられます。リモート ピアで SSHv1 サーバしかサポートされていない場合、リモート サーバへの SSHv1 接続が内部生成されます。リモート ピアのバージョンの検出と適切なクライアント接続の生成のプロセスは、ユーザからは見えません。

ssh コマンドで source-interface キーワードを指定すると、 ssh インターフェイスが、 ssh client source-interface コマンドで指定されたインターフェイスよりも優先されます。

cipher des オプションは、SSHv1 クライアントでしか使用できません。

タスク ID

タスク ID
操作

crypto

実行

basic-services

実行

次の出力例は、発信 SSH クライアント接続をイネーブルにするために、 ssh コマンドを実行した結果です。

RP/0/RSP0/CPU0:router# ssh remote-host username userabc
 
Password:
Remote-host>

 
関連コマンド

コマンド
説明

show ssh

ルータへのすべての着信接続と発信接続を表示します。

ssh client knownhost

サーバ公開鍵(pubkey)を認証するには、グローバル コンフィギュレーション モードで ssh client knownhost コマンドを使用します。サーバ pubkey の認証をディセーブルにするには、このコマンドの no 形式を使用します。

ssh client knownhost device:/filename

no ssh client knownhost device:/filename

 
シンタックスの説明

device :/ filename

ファイル名の完全なパス(たとえば、slot0:/server_pubkey)。コロン(:)とスラッシュ(/)が必要です。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

サーバ pubkey (全員が知る公開鍵と鍵のオーナーしか知らない秘密鍵の 2 つの鍵を使用する暗号化システム)の認証とチェックをクライアント側で行うには、 ssh client knownhost コマンドを使用します。証明書がない場合、サーバ pubkey は、アウトオブバンド セキュア チャネルを介してクライアントに転送されます。クライアントでは、この pubkey がローカル データベースに保存され、セッション構築ハンドシェイクの鍵ネゴシエーションの初期段階にサーバから提供された鍵と比較されます。鍵が一致しない、またはクライアントのローカル データベース内で鍵が見つからない場合、このセッションを許可するかどうかを確認する警告が表示されます。

このプロセスでは、サーバ pubkey が、アウトオブバンド セキュア チャネルを介して最初に取得されたときに、ローカル データベースに保存されることが前提条件になっています。このプロセスは、UNIX 環境でセキュア シェル(SSH)の実装に採用されている現行のモデルと同じです。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次の出力例は、 ssh client knownhost コマンドを実行した結果です。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# ssh client knownhost disk0:/ssh.knownhost
RP/0/RSP0/CPU0:router(config)# commit
RP/0/RSP0/CPU0:router# ssh host1 username user1234
Host key not found from the list of known hosts.
Are you sure you want to continue connecting (yes/no)? yes
Password:
RP/0/RSP0/CPU0:host1# exit
RP/0/RSP0/CPU0:router# ssh host1 username user1234

ssh client source-interface

すべての発信セキュア シェル(SSH)接続に選択されたインターフェイスの発信元 IP アドレスを指定するには、グローバル コンフィギュレーション モードで ssh client source-interface コマンドを使用します。指定したインターフェイス IP アドレスをディセーブルにするには、このコマンドの no 形式を使用します。

ssh client source-interface type instance

no ssh client source-interface type instance

 
シンタックスの説明

type

インターフェイスのタイプ。詳細については、オンにインヘルプ機能の疑問符( ? )を使用してください。

instance

次の物理インターフェイス インスタンスまたは仮想インターフェイス インスタンスのいずれかです。

物理インターフェイス インスタンス。名前は rack/slot/module/port 形式で表記します。各値の間には、表記の一部としてスラッシュが必要です。

rack :ラックのシャーシ番号。

slot :モジュラ サービス カードまたはライン カードの物理スロット番号。

module :モジュール番号。物理レイヤ インターフェイス モジュール(PLIM)は常に 0 です。

port :インターフェイスの物理ポート番号。

(注) ルート プロセッサ カード上の管理イーサネット インターフェイスを参照する場合、物理スロット番号は英数字(RSP0 など)、モジュールは CPU0 です。たとえば、MgmtEth 0/RSP0/CPU0/0 です。

仮想インターフェイス インスタンス。インターフェイス タイプによって、番号の範囲は異なります。

ルータの構文の詳細については、オンライン ヘルプ機能の疑問符( ? )を使用してください。

 
デフォルト

発信元インターフェイスは使用されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

指定したインターフェイスの IP アドレスをすべての発信 SSH 接続に対して設定するには、 ssh client source-interface コマンドを使用します。このコマンドを設定しなければ、ソケットが接続されるときの TCP の発信元 IP アドレスは、使用される発信インターフェイスに基づいて選択されます。つまり、サーバに到達するために必要なルートに基づきます。このコマンドは、SSH セッションだけでなく、セキュア シェル ファイル転送プロトコル(SFTP)セッション上でも発信シェルに適用されます。これらのセッションでは、転送に ssh クライアントが使用されます。

source-interface の設定は、同じアドレス ファミリ内のリモート ホストへの接続にしか影響しません。システム データベース(Sysdb)により、コマンドで指定されたインターフェイスに、対応する(同じファミリ内の)IP アドレスが設定されているかどうか検証されます。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次の例は、0/RSP0/CPU0/0 上の管理イーサネット インターフェイスの IP アドレスをすべての発信 SSH 接続に対して設定する方法です。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# ssh client source-interface MgmtEth 0/RSP0/CPU0/0

ssh server

セキュア シェル(SSH)サーバを開始するには、グローバル コンフィギュレーション モードで ssh server コマンドを使用します。SSH サーバを停止するには、このコマンドの no 形式を使用します。

ssh server

no ssh server

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの SSH サーバ バージョンは 2(SSHv2)です。着信 SSH クライアント接続が SSHv1 に設定されると、1(SSHv1)になります。この変更は、 ssh server v2 コマンドで実行された場合には起こりません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

SSH サーバの起動または停止を行うには、 ssh server コマンドを使用します。

SSH サーバが起動し、稼動中であることを確認するには、 show process sshd コマンドを使用します。

SSH サーバは、ポート 22 で着信クライアント接続を待ち受けます。このサーバでは、IPv4 と IPv6 の両方のアドレス ファミリに対してセキュア シェル バージョン 1(SSHv1)と SSHv2 の両方の着信クライアント接続が処理されます。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次の例では、SSH サーバが起動されます。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# ssh server

 
関連コマンド

コマンド
説明

show processes

SSH サーバに関する情報を表示します。詳細については、『 Cisco ASR 9000 Series Aggregation Services Router System Management Command Reference 』を参照してください。

ssh server v2

SSH サーバ バージョンを強制的に 2(SSHv2)だけにします。

ssh server v2

SSH サーバ バージョンを強制的に 2(SSHv2)だけにするには、グローバル コンフィギュレーション モードで ssh server v2 コマンドを使用します。SSHv2 の SSH サーバを停止するには、このコマンドの no 形式を使用します。

ssh server v2

no ssh server v2

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

SSHv2 クライアント接続だけが許可されます。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次の例は、SSH サーバ バージョンを SSHv2 に限定して開始する方法です。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# ssh server v2

 
関連コマンド

コマンド
説明

ssh server

SSH サーバを開始します。

ssh server rate-limit

1 分間あたりに許可される着信セキュア シェル(SSH)接続要求の数を制限するには、グローバル コンフィギュレーション モードで ssh server rate-limit コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

ssh server rate-limit rate-limit

no ssh server rate-limit

 
シンタックスの説明

rate-limit

1 分間あたりに許可される着信 SSH 接続要求の数。範囲は 1 ~ 120 です。

 
デフォルト

rate-limit:1 分間あたり 60 個の接続要求

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

着信 SSH 接続要求を設定レートに制限するには、 ssh server rate-limit コマンドを使用します。このレート制限を超える接続要求は、SSH サーバから拒否されます。レート制限の変更は、確立している SSH セッションには影響しません。

たとえば、 rate-limit 引数を 30 に設定すると、1 分間で 30 個の要求が許可されます。より正確には、接続の行われる間隔が 2 秒に制限されます。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次の例は、着信 SSH 接続要求の制限を 1 分あたり 20 に設定する方法です。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# ssh server rate-limit 20

ssh server session-limit

許可される同時着信セキュア シェル(SSH)セッションの数を設定するには、グローバル コンフィギュレーション モードで ssh server session-limit コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

ssh server session-limit sessions

no ssh server session-limit

 
シンタックスの説明

sessions

ルータで許可される着信 SSH セッションの数。範囲は 1 ~ 1024 です。

 
デフォルト

sessions:ルータあたり 64

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

許可される同時着信 SSH 接続の制限を設定するには、 ssh server session-limit コマンドを使用します。発信接続はこの制限に含まれません。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次の例は、着信 SSH 接続の制限を 50 に設定する方法です。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# ssh server session-limit 50

ssh timeout

認証、許可、アカウンティング(AAA)ユーザ認証のタイムアウト値を設定するには、グローバル コンフィギュレーション モードで ssh timeout コマンドを使用します。タイムアウト値をデフォルト時間に設定するには、このコマンドの no 形式を使用します。

ssh timeout seconds

no ssh timeout seconds

 
シンタックスの説明

seconds

ユーザ認証の時間(秒単位)。範囲は 5 ~ 120 です。

 
デフォルト

seconds:30 秒

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドは Cisco ASR 9000 シリーズ サービス ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

AAA に対するユーザ認証のタイムアウト値を設定しますには、 ssh timeout コマンドを使用します。設定された時間内にユーザ自身の認証が AAA に対してできないと、接続は中断されます。値を設定しなければ、30 秒のデフォルト値が使用されます。

タスク ID

タスク ID
操作

crypto

読み取り、書き込み

次の例では、AAA ユーザ認証のタイムアウト値が 60 秒に設定されます。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# ssh timeout 60