Cisco Nexus 4001I/4005I Switch Module for IBM BladeCenter NX-OS コンフィギュレーション ガイド
SSH および Telnet の設定
SSH および Telnet の設定
発行日;2012/05/10 | 英語版ドキュメント(2012/05/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

SSH および Telnet の設定

SSH および Telnet について

SSH サーバ

SSH クライアント

SSH サーバ キー

Telnet サーバ

SSH の前提条件

注意事項と制限事項

SSH の設定

SSH サーバ キーの生成

ユーザ アカウント用 SSH 公開キーの指定

Open SSH 形式による SSH 公開キーの指定

IETF SECSH 形式による SSH 公開キーの指定

PEM フォーマット化された公開キー証明書形式による SSH 公開キーの指定

リモート デバイスとの SSH セッションの開始

SSH ホストのクリア

SSH サーバのディセーブル化

SSH サーバ キーの削除

SSH セッションのクリア

Telnet の設定

Telnet サーバのディセーブル化

リモート デバイスとの Telnet セッションの開始

Telnet セッションのクリア

SSH および Telnet の設定の確認

SSH の設定例

デフォルト設定

SSH および Telnet の設定

この章では、Cisco Nexus 4001I/4005I Switch Module for IBM BladeCenter上で、Secure Shell(SSH; セキュア シェル)プロトコルおよび Telnet を設定する方法について説明します。

この章で説明する内容は、次のとおりです。

「SSH および Telnet について」

「SSH の前提条件」

「注意事項と制限事項」

「SSH の設定」

「Telnet の設定」

「SSH および Telnet の設定の確認」

「SSH の設定例」

「デフォルト設定」

SSH および Telnet について

ここでは、次の内容について説明します。

「SSH サーバ」

「SSH クライアント」

「SSH サーバ キー」

「Telnet サーバ」

SSH サーバ

SSH サーバ機能を使用すると、SSH クライアントが スイッチに対して、セキュアな暗号化された接続を確立できます。SSH は強化暗号化を使用して認証を行います。スイッチの SSH サーバは、無償あるいは商用の SSH クライアントと連係して動作します。

SSH がサポートするユーザ認証メカニズムには、Remote Authentication Dial-In User Service(RADIUS)、TACACS+、およびローカルに格納されたユーザ名とパスワードを使用した認証があります。

SSH クライアント

SSH クライアント機能は、SSH プロトコルを介して実行されるアプリケーションで、認証と暗号化を行います。SSH クライアントを使用すると、スイッチは、別のスイッチまたは SSH サーバを稼動している他の任意のデバイスと、セキュアな暗号化された接続を確立できます。この接続は、暗号化されたアウトバウンド接続を実現します。認証と暗号化により、SSH クライアントは、セキュリティ保護されていないネットワーク上でもセキュアな通信を実現できます。

スイッチの SSH クライアントは、無償あるいは商用の SSH サーバと連係して動作します。

SSH サーバ キー

SSH では、スイッチとのセキュアな通信を行うためにサーバ キーが必要です。SSH キーは、次の SSH オプションに使用できます。

Rivest, Shamir, and Adelman(RSA)公開キー暗号化を使用した SSH バージョン 2

Digital System Algrorithm(DSA)を使用した SSH バージョン 2

SSH サービスをイネーブルにする前に、適切なバージョンの SSH サーバ キー ペアを取得してください。使用中の SSH クライアント バージョンに応じて、SSH サーバ キー ペアを生成します。SSH サービスでは、SSH バージョン 2 に対応する 2 とおりのキー ペアを使用できます。

dsa オプションを使用すると、SSH バージョン 2 プロトコルに対応する DSA キーペアが生成されます。

rsa オプションを使用すると、SSH バージョン 2 プロトコルに対応する RSA キーペアが生成されます。

デフォルトでは、スイッチは 1024 ビットの RSA キーを生成します。


注意 SSH キーをすべて削除すると、SSH サービスを開始できません。

Telnet サーバ

Telnet プロトコルは、ホストとの TCP/IP 接続を確立します。Telnet を使用すると、あるサイトのユーザが別サイトのログイン サーバとの TCP 接続を確立して、システム間でキーストロークをやり取りできます。Telnet は、リモート システムのアドレスとして、IP アドレスまたはドメイン名を受け取ります。

スイッチでは、デフォルトで Telnet サーバがイネーブルになっています。

SSH の前提条件

SSH を使用するには、事前に、レイヤ 3 インターフェイス上に IP 接続、mgmt 0 インターフェイス上にアウトオブバンド接続、イーサネット インターフェイス上にインバンド接続が設定されていなければなりません。

注意事項と制限事項

SSH には、次の注意事項および制限事項があります。

スイッチは、SSH バージョン 2(SSHv2)だけをサポートしています。

SSH の設定

ここでは、次の内容について説明します。

「SSH サーバ キーの生成」

「ユーザ アカウント用 SSH 公開キーの指定」

「リモート デバイスとの SSH セッションの開始」

「SSH ホストのクリア」

「SSH サーバのディセーブル化」

「SSH サーバ キーの削除」

「SSH セッションのクリア」

SSH サーバ キーの生成

セキュリティ要件に基づいて SSH サーバ キーを生成できます。デフォルトの SSH サーバ キーは、1024 ビットで生成される RSA キーです。SSH サーバ キーを生成する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# ssh key { dsa [ force ] | rsa [ bits [ force ]]}

SSH サーバ キーを生成します。

bits 引数には、キーの生成に使用するビット数を指定します。指定できる範囲は 768 ~ 2048 ビットで、デフォルトは 1024 ビットです。

既存のキーを置き換える場合は、キーワード force を使用します。

ステップ 3

switch(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 4

switch# show ssh key

(任意)SSH サーバ キーを表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、SSH サーバ キーを生成する例を示します。

switch# configure terminal
switch(config)# ssh key rsa 2048
switch(config)# exit
switch# show ssh key
switch# copy running-config startup-config

ユーザ アカウント用 SSH 公開キーの指定

SSH 公開キーを設定すると、パスワードを要求されることなく、SSH クライアントを使用してログインできます。SSH 公開キーは、次の 3 種類のいずれかの形式で指定できます。

Open SSH 形式

Internet Engineering Task Force(IETF)SECSH 形式

Privacy Enhanced Mail(PEM)形式の公開キー証明書

Open SSH 形式による SSH 公開キーの指定

ユーザ アカウント用に SSH 形式で SSH 公開キーを指定できます。

Open SSH 形式で SSH 公開キーを指定するには、Open SSH 形式で SSH 公開キーを生成し、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# username username sshkey ssh-key

SSH 形式で SSH 公開キーを設定します。

ステップ 3

switch(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 4

switch# show user-account

(任意)ユーザ アカウントの設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、Open SSH 形式で SSH 公開キーを指定する例を示します。

switch# configure terminal
switch(config)# username User1 sshkey ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAy19oF6QaZl9G+3f1XswK3OiW4H7YyUyuA50rv7gsEPjhOBYmsi6PAVKui1nIf/DQhum+lJNqJP/eLowb7ubO+lVKRXFY/G+lJNIQW3g9igG30c6k6+XVn+NjnI1B7ihvpVh7dLddMOXwOnXHYshXmSiH3UD/vKyziEh5S4Tplx8=
switch(config)# exit
switch# show user-account
switch# copy running-config startup-config

IETF SECSH 形式による SSH 公開キーの指定

ユーザ アカウント用に IETF SECSH 形式で SSH 公開キーを指定できます。

IETF SECSH 形式で SSH 公開キーを指定するには、IETF SECSH 形式で SSH 公開キーを生成し、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# copy server-file bootflash: filename

サーバから IETF SECSH 形式の SSH キーを含むファイルをダウンロードします。File Transfer Protocol(FTP)、SCP、SSH File Transfer Protocol(SFTP)、または Trivial File Transfer Protocol(TFTP)サーバを利用できます。

ステップ 2

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 3

switch(config)# username username sshkey file filename

SSH 形式で SSH 公開キーを設定します。

ステップ 4

switch(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 5

switch# show user-account

(任意)ユーザ アカウントの設定を表示します。

ステップ 6

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、IETF SECSH 形式で SSH 公開キーを指定する例を示します。

switch# copy tftp://10.10.1.1/secsh_file.pub bootflash:secsh_file.pub
switch# configure terminal
switch(config)# username User1 sshkey file bootflash:secsh_file.pub
switch(config)# exit
switch# show user-account
switch# copy running-config startup-config

PEM フォーマット化された公開キー証明書形式による SSH 公開キーの指定

ユーザ アカウント用に PEM フォーマット化された公開キー証明書形式で SSH 公開キーを指定できます。

PEM フォーマット化された公開キー証明書形式で SSH 公開キーを指定するには、PEM フォーマット化された公開キー証明書形式で SSH 公開キーを生成し、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# copy server-file bootflash: filename

サーバから PEM フォーマット化された公開キー証明書形式の SSH キーを含むファイルをダウンロードします。FTP、SCP、SFTP、または TFTP サーバを利用できます。

ステップ 2

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 3

switch# show user-account

(任意)ユーザ アカウントの設定を表示します。

ステップ 4

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、PEM フォーマット化された公開キー証明書形式で SSH 公開キーを指定する例を示します。

switch# copy tftp://10.10.1.1/cert.pem bootflash:cert.pem
switch# configure terminal
switch# show user-account
switch# copy running-config startup-config

リモート デバイスとの SSH セッションの開始

SSH セッションを開始して スイッチからリモート デバイスに接続する手順は、次のとおりです。

 

コマンド
目的

switch# ssh { hostname | username @ hostname } [ vrf vrf-name ]

リモート デバイスとの SSH セッションを作成します。引数 hostname には、IPv4 アドレス、IPv6 アドレス、またはデバイス名を指定します。

SSH ホストのクリア

SCP または SFTP を使用してサーバからファイルをダウンロードする場合は、サーバと信頼性のある SSH 関係を確立します。ユーザ アカウント用の信頼性のある SSH サーバのリストをクリアする手順は、次のとおりです。

 

コマンド
目的

switch# clear ssh hosts

SSH ホスト セッションをクリアします。

SSH サーバのディセーブル化

スイッチでは、デフォルトで SSH サーバがイネーブルになっています。

SSH サーバをディセーブルにしてスイッチへの SSH アクセスを禁止する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# no ssh server enable

SSH サーバをディセーブルにします。デフォルトではイネーブルになっています。

ステップ 3

switch(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 4

switch# show ssh server

(任意)SSH サーバの設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

SSH サーバ キーの削除

SSH サーバをディセーブルにした後、SSH サーバ キーを削除できます。


) SSH を再度イネーブルにするには、まず、SSH サーバ キーを生成する必要があります(「SSH サーバ キーの生成」を参照)。


SSH サーバ キーを削除する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# no ssh server enable

SSH サーバをディセーブルにします。

ステップ 3

switch(config)# no ssh key [ dsa | rsa ]

SSH サーバ キーを削除します。

デフォルトでは、すべての SSH キーが削除されます。

ステップ 4

switch(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 5

switch# show ssh key

(任意)SSH サーバの設定を表示します。

ステップ 6

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

SSH セッションのクリア

スイッチから SSH セッションをクリアする手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# show users

ユーザ セッション情報を表示します。

ステップ 2

switch(config)# clear line vty-line

ユーザ SSH セッションをクリアします。

Telnet の設定

ここでは、次の内容について説明します。

「SSH セッションのクリア」

「リモート デバイスとの Telnet セッションの開始」

「SSH セッションのクリア」

Telnet サーバのディセーブル化

デフォルトでは、Telnet サーバはイネーブルに設定されています。スイッチ上の Telnet サーバをディセーブルにする手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# telnet server disable

Telnet サーバをディセーブルにします。デフォルトではイネーブルになっています。

Telnet サーバをイネーブルに戻す手順は、次のとおりです。

コマンド
目的

switch(config)# telnet server enable

Telnet サーバをイネーブルに戻します。

リモート デバイスとの Telnet セッションの開始

Telnet セッションを開始してリモート デバイスに接続する前に、次の作業を行う必要があります。

リモート デバイスのホスト名を取得し、必要なら、リモート デバイスのユーザ名も取得します。

スイッチ上で Telnet サーバをイネーブルにします。

リモート デバイス上で Telnet サーバをイネーブルにします。

Telnet セッションを開始して、スイッチからリモート デバイスに接続する手順は、次のとおりです。

 

コマンド
目的

switch# telnet hostname

リモート デバイスとの Telnet セッションを作成します。引数 hostname には、IPv4 アドレス、IPv6 アドレス、またはデバイス名を指定します。

次に、Telnet セッションを開始してリモート デバイスに接続する例を示します。

switch# telnet 10.10.1.1
Trying 10.10.1.1...
Connected to 10.10.1.1.
Escape character is '^]'.
switch login:

Telnet セッションのクリア

スイッチから Telnet セッションをクリアする手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# show users

ユーザ セッション情報を表示します。

ステップ 2

switch(config)# clear line vty-line

ユーザ Telnet セッションをクリアします。

SSH および Telnet の設定の確認

SSH の設定情報を表示するには、次のいずれかの作業を行います。

 

コマンド
目的

show ssh key [dsa | rsa]

SSH サーバ キー ペアの情報を表示します。

show running-config security [ all ]

実行コンフィギュレーション内の SSH とユーザ アカウントの設定を表示します。キーワード all を指定すると、SSH およびユーザ アカウントのデフォルト値が表示されます。

show ssh server

SSH サーバの設定を表示します。

show user-account

ユーザ アカウント情報を表示します。

SSH の設定例

SSH を設定する手順は、次のとおりです。


ステップ 1 SSH サーバ キーを生成します。

switch(config)# ssh key rsa
generating rsa key(1024 bits).....
.
generated rsa key

ステップ 2 SSH サーバをイネーブルにします。

switch# configure terminal
switch(config)# ssh server enable

ステップ 3 SSH サーバ キーを表示します。

switch(config)# show ssh key
rsa Keys generated:Sat Sep 29 00:10:39 2007

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAvWhEBsF55oaPHNDBnpXOTw6+/OdHoLJZKr+MZm99n2U0ChzZG4svRW
mHuJY4PeDWl0e5yE3g3EO3pjDDmt923siNiv5aSga60K36lr39HmXL6VgpRVn1XQFiBwn4na+H1d3Q0hDt+uWEA0tk
a2uOtXlDhliEmn4HVXOjGhFhoNE=

bitcount:1024
fingerprint:
51:6d:de:1c:c3:29:50:88:df:cc:95:f0:15:5d:9a:df
**************************************
could not retrieve dsa key information
**************************************

ステップ 4 Open SSH 形式による SSH 公開キーを指定します。

switch(config)# username User1 sshkey ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAy19oF6QaZl9G+3f1
XswK3OiW4H7YyUyuA50rv7gsEPjhOBYmsi6PAVKui1nIf/DQhum+lJNqJP/eLowb7ubO+lVKRXFY/G+lJNIQW3g9ig
G30c6k6+XVn+NjnI1B7ihvpVh7dLddMOXwOnXHYshXmSiH3UD/vKyziEh5S4Tplx8=

ステップ 5 設定を保存します。

switch(config)# copy running-config startup-config


 

デフォルト設定

表 20-1 に、SSH パラメータのデフォルト設定を示します。

 

表 20-1 デフォルトの SSH パラメータ

パラメータ
デフォルト

SSH サーバ

イネーブル

SSH サーバ キー

1024 ビットで生成された RSA キー

RSA キー生成ビット数

1024

Telnet サーバ

イネーブル