Catalyst 2950 LRE デスクトップ スイッチ ソフトウェア コンフィギュレーション ガイド
スイッチの管理
スイッチの管理
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

スイッチの管理

スイッチへの不正アクセスの防止

イネーブルEXECコマンドへのアクセスの保護

デフォルトのパスワードおよびイネーブル レベル設定

スタティック イネーブル パスワードの設定または変更

暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護

パスワード回復のディセーブル化

端末回線に対するTelnetパスワードの設定

ユーザ名とパスワードのペアの設定

複数のイネーブル レベルの設定

コマンドのイネーブル レベルの設定

回線に対するデフォルトのイネーブル レベルの変更

イネーブル レベルへのログインおよび終了

TACACS+によるスイッチ アクセスの制御

TACACS+の概要

TACACS+の動作

TACACS+の設定

TACACS+のデフォルト設定

TACACS+サーバ ホストの特定と認証鍵の設定

TACACS+ログイン認証の設定

イネーブルEXECアクセスおよびネットワーク サービス用のTACACS+許可の設定

TACACS+アカウンティングの起動

TACACS+設定の表示

RADIUSによるスイッチ アクセスの制御

RADIUSの概要

RADIUSの動作

RADIUSの設定

RADIUSのデフォルト設定

RADIUSサーバ ホストの識別

RADIUSログイン認証の設定

AAAサーバ グループの定義

ユーザ イネーブル アクセスおよびネットワーク サービスに関するRADIUS許可の設定

RADIUSアカウンティングの起動

すべてのRADIUSサーバの設定

ベンダー固有のRADIUS属性を使用するスイッチ設定

ベンダー独自のRADIUSサーバとの通信に関するスイッチ設定

RADIUSの設定の表示

スイッチのローカル認証および許可の設定

Secure Shellに関するスイッチの設定

SSHの概要

SSHの設定

システム日時の管理

システム クロックの概要

NTPの概要

NTPの設定

NTPのデフォルト設定

NTP認証の設定

NTPアソシエーションの設定

NTPブロードキャスト サービスの設定

NTPアクセス制限の設定

NTPパケット用の送信元IPアドレスの設定

NTP設定の表示

手動での日時の設定

システム クロックの設定

日時設定の表示

タイム ゾーンの設定

夏時間の設定

システム名およびプロンプトの設定

デフォルトのシステム名およびプロンプトの設定

システム名の設定

システム プロンプトの設定

DNSの概要

DNSのデフォルト設定

DNSの設定

DNSの設定の表示

バナーの作成

バナーのデフォルト設定

MoTDログイン バナーの設定

ログイン バナーの設定

MACアドレス テーブルの管理

アドレス テーブルの作成

MACアドレスおよびVLAN

MACアドレス テーブルのデフォルト設定

アドレス エージング タイムの変更

ダイナミック アドレス エントリの削除

MACアドレス通知トラップの設定

スタティック アドレス エントリの追加および削除

セキュア アドレスの追加および削除

アドレス テーブル エントリの表示

ARPテーブルの管理

スイッチのソフトウェア リリース

スイッチの管理

この章では、スイッチ管理のための操作方法について説明します。この章で説明する内容は、次のとおりです。

「スイッチへの不正アクセスの防止」

「イネーブルEXECコマンドへのアクセスの保護」

「TACACS+によるスイッチ アクセスの制御」

「RADIUSによるスイッチ アクセスの制御」

「スイッチのローカル認証および許可の設定」

「Secure Shellに関するスイッチの設定」

「システム日時の管理」

「システム名およびプロンプトの設定」

「バナーの作成」

「MACアドレス テーブルの管理」

「ARPテーブルの管理」

「スイッチのソフトウェア リリース」

スイッチへの不正アクセスの防止

不正ユーザによる、スイッチの再設定や設定情報の閲覧を防止できます。一般的には、ネットワーク管理者からスイッチへのアクセスを許可する一方、非同期ポートを用いてネットワーク外からダイヤルアップ接続するユーザや、シリアル ポートを通じてネットワーク外から接続するユーザ、またはローカル ネットワーク内の端末またはワークステーションから接続するユーザによるアクセスを制限します。

スイッチへの不正アクセスを防止するには、次のセキュリティ機能を1つまたは複数設定します。

最低限のセキュリティとして、各スイッチ ポートでパスワードおよび権限を設定します。このパスワードは、スイッチにローカルに保存されます。ユーザがポートまたは回線を通じてスイッチにアクセスしようとするとき、ポートまたは回線に指定されたパスワードを入力してからでなければ、スイッチにアクセスできません。詳細は、「イネーブルEXECコマンドへのアクセスの保護」を参照してください。

追加のセキュリティ レイヤとして、ユーザ名とパスワードをペアで設定できます。このペアはスイッチでローカルに保存されます。このペアは回線またはインターフェイスに割り当てられ、各ユーザを認証します。ユーザは認証後、スイッチにアクセスすることができます。イネーブル レベルを定義している場合は、ユーザ名とパスワードの各ペアに特定のイネーブルレベル(対応する権利および権限付き)を割り当てることもできます。詳細は、「ユーザ名とパスワードのペアの設定」を参照してください。

ユーザ名とパスワードのペアを使用したいが、そのペアをローカルではなく中央のサーバに保存したい場合は、セキュリティ サーバ上のデータベースに保存できます。これにより、複数のネットワーク装置が同じデータベースを使用してユーザ認証情報を(必要に応じて許可情報も)得ることができます。詳細は、「TACACS+によるスイッチ アクセスの制御」を参照してください。

イネーブルEXECコマンドへのアクセスの保護

ネットワークで端末のアクセス制御を行う簡単な方法は、パスワードを使用してイネーブル レベルを割り当てることです。パスワード保護によって、ネットワークまたはネットワーク装置へのアクセスが制限されます。イネーブル レベルによって、ネットワーク装置にログオン後、ユーザがどのようなコマンドを使用できるかが定義されます。


) この章で使用するコマンドの構文および使用方法の詳細については、『Cisco IOS Security Command Reference for Release 12.1』を参照してください。


ここでは、コンフィギュレーション ファイルおよびイネーブルEXECコマンドへのアクセスを制御する方法について説明します。内容は次のとおりです。

「デフォルトのパスワードおよびイネーブル レベル設定」

「スタティック イネーブル パスワードの設定または変更」

「暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護」

「パスワード回復のディセーブル化」

「端末回線に対するTelnetパスワードの設定」

「ユーザ名とパスワードのペアの設定」

「複数のイネーブル レベルの設定」

デフォルトのパスワードおよびイネーブル レベル設定

表 7-1 に、デフォルトのパスワードおよびイネーブル レベル設定を示します。

 

表 7-1 デフォルトのパスワードおよびイネーブル レベル設定

機能
デフォルト値

イネーブル パスワードおよびイネーブル レベル

パスワードは定義されていません。デフォルトはレベル15です(イネーブルEXECレベル)。パスワードは、コンフィギュレーション ファイル内では暗号化されていない状態です。

イネーブル シークレット パスワードおよびイネーブル レベル

パスワードは定義されていません。デフォルトはレベル15です(イネーブルEXECレベル)。パスワードは、暗号化されてからコンフィギュレーション ファイルに書き込まれます。

回線パスワード

パスワードは定義されていません。

スタティック イネーブル パスワードの設定または変更

イネーブル パスワードは、イネーブルEXECモードへのアクセスを制御します。スタティック イネーブル パスワードを設定または変更するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

enable password password

イネーブルEXECモードへのアクセス用に、新しいパスワードを定義するか、既存のパスワードを変更します。

デフォルトでは、パスワードは定義されていません。

password には、1~25文字の英数字のストリングを指定します。ストリングは数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。疑問符(?)は、パスワードを作成する場合に、疑問符の前にCtrl-vを入力すれば使用できます。たとえば、パスワードabc?123を作成するときは、次のようにします。

abc を入力します。

Ctrl-v を入力します。

?123 を入力します。

システムからイネーブル パスワードを入力するよう求められた場合、疑問符の前にCtrl-vを入力する必要はなく、パスワードのプロンプトにそのままabc?123と入力することができます。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

イネーブル パスワードは暗号化されず、スイッチのコンフィギュレーション ファイル内では読み取ることができる状態です。

パスワードを削除するには、 no enable password グローバル コンフィギュレーション コマンドを使用します。

次の例は、イネーブル パスワードを l1u2c3k4y5 に変更する方法を示します。パスワードは暗号化されておらず、レベル15のアクセスが与えられます(従来のイネーブルEXECモード アクセス)。

Switch(config)# enable password l1u2c3k4y5
 

暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護

追加のセキュリティ レイヤを、特にネットワークを越えるパスワードやTrivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)サーバに保存されているパスワードに対して設定する場合には、 enable password または enable secret グローバル コンフィギュレーション コマンドを使用できます。両コマンドは共に同じ働きをします。このコマンドにより、暗号化されたパスワードを設定できます。イネーブルEXECモード(デフォルト設定)または特定のイネーブル レベルにアクセスしたいユーザは、このパスワードを入力する必要があります。

より高度な暗号化アルゴリズムを使用しているので、 enable secret コマンドを使用することを推奨します。

enable secret コマンドは enable password コマンドに優先します。2つのコマンドが同時に有効になることはありません。

イネーブルおよびイネーブル シークレット パスワードに暗号化を設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

enable password [ level level ] { password | encryption-type encrypted- password }

または

enable secret [ level level ] { password | encryption-type encrypted- password }

イネーブルEXECモードへのアクセス用に、新しいパスワードを定義するか、既存のパスワードを変更します。

または

シークレット パスワードを定義し、非可逆暗号方式を使用して保存します。

(任意) level に指定できる範囲は0~15です。レベル1が通常のユーザEXECモード権限です。デフォルト レベルは15です(イネーブルEXECモード権限)。

password には、1~25文字の英数字のストリングを指定します。ストリングは数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。デフォルトでは、パスワードは定義されていません。

(任意) encryption-type には、シスコ独自の暗号化アルゴリズムであるタイプ5しか利用できません。暗号化タイプを指定する場合は、暗号化されたパスワードを使用する必要があります。この暗号化パスワードは、別のCatalyst 2950スイッチの設定からコピーしたものです。


) 暗号化タイプを指定してクリア テキスト パスワードを入力した場合は、再度イネーブルEXECモードを開始することはできません。暗号化されたパスワードが失われた場合は、どのような方法でも回復することはできません。


ステップ 3

service password-encryption

(任意)パスワードを定義するとき、または設定を保存するときに、パスワードを暗号化します。

暗号化によって、コンフィギュレーション ファイル内のパスワードが読み取り不能になります。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

イネーブルおよびイネーブル シークレット パスワードの両方が定義されている場合、ユーザはイネーブル シークレット パスワードを入力する必要があります。

特定のイネーブル レベルのパスワードを定義する場合は、 level キーワードを使用します。レベルを指定してパスワードを設定したら、そのレベルでアクセスする必要のあるユーザだけにそのパスワードを渡してください。さまざまなレベルでアクセス可能なコマンドを指定する場合は、 privilege level グローバル コンフィギュレーション コマンドを使用します。詳細は、「複数のイネーブル レベルの設定」を参照してください。

パスワードの暗号化をイネーブルにすると、ユーザ名パスワード、認証鍵パスワード、イネーブル コマンド パスワード、コンソールおよび仮想端末回線パスワードなど、すべてのパスワードに適用されます。

パスワードとレベルを削除するには、 no enable password [ level level ]または no enable secret [ level level ]グローバル コンフィギュレーション コマンドを使用します。パスワードの暗号化をディセーブルにするには、 no service password-encryption グローバル コンフィギュレーション コマンドを使用します。

次の例は、イネーブル レベル2に対して暗号化パスワード $1$FaD0$Xyti5Rkls3LoyxzS8 を設定する方法を示します。

Switch(config)# enable secret level 2 5 $1$FaD0$Xyti5Rkls3LoyxzS8
 

パスワード回復のディセーブル化

Catalyst 2950 LREスイッチのデフォルト設定では、スイッチに物理アクセスするエンド ユーザは、スイッチの電源投入時に起動プロセスを中断して新しいパスワードを入力することで、失われたパスワードを回復できます。Catalyst 2950 LREスイッチのパスワード回復ディセーブル機能では、システム管理者は、この機能の一部をディセーブルにして、スイッチのパスワードへのアクセスを防止できます。また、ユーザは、システムをデフォルト設定に戻すことに同意するだけで、起動プロセスを中断できるようになります。パスワード回復をディセーブル化しても、起動プロセスを中断してパスワードを変更できますが、コンフィギュレーションファイル(config.txt)およびVLANデータベース ファイル(vlan.dat)は削除されます。


) パスワード回復ディセーブル機能は、Catalyst 2950 LREスイッチでだけ有効です。Catalyst 2950ギガビット イーサネット スイッチでは利用できません。



) パスワード回復をディセーブルにする場合は、エンドユーザが起動プロセスを中断してシステムをデフォルト設定に戻す場合に備えて、セキュア サーバ上にコンフィギュレーションファイルのバックアップ コピーを保管しておいてください。スイッチ上にコンフィギュレーション ファイルのバックアップ コピーを保管しないでください。スイッチがVTPトランスペアレントモードで動作している場合は、セキュア サーバ上にVLANデータベース ファイルのバックアップ コピーも保管することをお勧めします。スイッチがシステムのデフォルト設定に戻ると、XMODEMプロトコルを使用して、保存したファイルをダウンロードできます。詳細は、「パスワードを忘れた場合の回復」を参照してください。


パスワード回復をディセーブルにするには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

no service password-recovery

パスワード回復をディセーブルにします。

この設定は、フラッシュ メモリのブート ローダがアクセスできる領域およびIOSイメージに保存されます。ただし、ファイル システムの領域ではないのでユーザはアクセスできません。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show version

出力の最後の数行を調べて設定を確認します。

パスワード回復を再度イネーブルにするには、 service password-recovery グローバル コンフィギュレーション コマンドを使用します。


) パスワード回復のディセーブル化は、boot manualグローバル コンフィギュレーション コマンドを使用して手動で起動するようにスイッチが設定されている場合は無効です。このコマンドによって、スイッチの電源をいったん切ってから再投入すると、ブート ローダ プロンプト(switch:)が自動的に表示されるからです。


端末回線に対するTelnetパスワードの設定

初めてスイッチに電源を投入すると、自動セットアップ プログラムが起動してIP情報を割り当て、引き続き使用するためのデフォルト設定を作成します。さらにセットアップ プログラムは、パスワードによるTelnetアクセス用にスイッチを設定するよう求めてきます。このとき、セットアップ プログラムを利用してパスワードを設定しなかった場合は、CLI(コマンドライン インターフェイス)を使用して設定できます。

スイッチをTelnetアクセス用に設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

エミュレーション ソフトウェアを備えたPCまたはワークステーションとスイッチのコンソール ポートを接続します。

コンソール ポートのデフォルトのデータ特性は、9600ボー、8データ ビット、1ストップ ビット、パリティなしです。コマンドライン プロンプトを表示させるため、何回かReturnキーを押すこともあります。

ステップ 2

enable password password

イネーブルEXECモードを開始します。

ステップ 3

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 4

line vty 0 15

Telnetセッション(回線)の数を設定し、ライン コンフィギュレーション モードを開始します。

コマンド対応スイッチでは、最大16のセッションが可能です。0および15を指定することにより、使用できる16個のTelnetセッションを全部設定することを意味します。

ステップ 5

password password

1つまたは複数の回線のTelnetパスワードを入力します。

password には、1~25文字の英数字のストリングを指定します。ストリングは数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。デフォルトでは、パスワードは定義されていません。

ステップ 6

end

イネーブルEXECモードに戻ります。

ステップ 7

show running-config

設定を確認します。

コマンド line vty 0 15 の下にパスワードが表示されます。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

パスワードを削除するには、 no password グローバル コンフィギュレーション コマンドを使用します。

次の例は、Telnetパスワードを let45me67in89 に設定する方法を示します。

Switch(config)# line vty 10
Switch(config-line)# password let45me67in89
 

ユーザ名とパスワードのペアの設定

ユーザ名とパスワードのペアを設定でき、スイッチ上でローカルに保存します。このペアは回線またはインターフェイスに割り当てられ、各ユーザを認証します。ユーザは認証後、スイッチにアクセスすることができます。イネーブル レベルを定義している場合は、ユーザ名とパスワードの各ペアに特定のイネーブルレベル(対応する権利および権限付き)を割り当てることもできます。

ユーザ名ベースの認証システムを設定するには、イネーブルEXECモードで次の手順を実行します。この認証システムでは、ログイン ユーザ名とパスワードを要求します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

username name [ privilege level ] { password encryption-type password }

各ユーザのユーザ名、イネーブル レベル、パスワードを入力します。

name には、ユーザIDを1ワードで指定します。スペースや引用符は使用できません。

(任意) level には、アクセス後ユーザに設定するイネーブル レベルを指定します。指定できる範囲は0~15です。レベル15ではイネーブルEXECモードでのアクセスが可能です。レベル1では、ユーザEXECモードでのアクセスとなります。

encryption-type には、暗号化されていないパスワードがあとに続く場合は0を、暗号化されたパスワードがあとに続く場合は7を指定します。

password には、ユーザがスイッチにアクセスする際に入力する必要のあるパスワードを指定します。パスワードは1~25文字で、埋め込みスペースを使用でき、 username コマンドの最後のオプションとして指定します。

ステップ 3

line console 0

または

line vty 0 15

ライン コンフィギュレーション モードを開始し、コンソール ポート(回線0)またはVTY回線(回線0~15)を設定します。

ステップ 4

login local

ログイン時のローカル パスワード チェックをイネーブルにします。認証は、ステップ2で指定されたユーザ名に基づきます。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show running-config

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

特定ユーザのユーザ名認証をディセーブルにするには、 no username name グローバル コンフィギュレーション コマンドを使用します。パスワード チェックをディセーブルにし、パスワードなしでの接続を可能にするには、 no login ライン コンフィギュレーション コマンドを使用します。

複数のイネーブル レベルの設定

IOSソフトウェアはデフォルトで、2種類のパスワード セキュリティ モードを備えています。ユーザEXECおよびイネーブルEXECです。各モードについてコマンドの階層レベルを最大16まで設定できます。複数のパスワードを設定することにより、さまざまなユーザ グループに対して特定のコマンドへのアクセスを許可することができます。

たとえば、多くのユーザに clear line コマンドへのアクセスを許可する場合、レベル2のセキュリティを割り当て、レベル2のパスワードを広範囲のユーザに配布することができます。また、 configure コマンドへのアクセスをより制限されたものにしたい場合は、レベル3のセキュリティを割り当て、そのパスワードを限られたユーザ グループに配布することもできます。

ここでは、次の設定について説明します。

「コマンドのイネーブル レベルの設定」

「回線に対するデフォルトのイネーブル レベルの変更」

「イネーブル レベルへのログインおよび終了」

コマンドのイネーブル レベルの設定

コマンド モードのイネーブル レベルを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

privilege mode level level command

コマンドのイネーブル レベルを設定します。

mode には、グローバル コンフィギュレーション モードの場合は configure を、EXECモードの場合は exec を、インターフェイス コンフィギュレーション モードの場合は interface を、ライン コンフィギュレーション モードの場合は line を、それぞれ入力します。

level に指定できる範囲は0~15です。レベル1が通常のユーザEXECモード権限です。レベル15は、 enable パスワードによって許可されるアクセス レベルです。

command には、アクセスを制限したいコマンドを指定します。

ステップ 3

enable password level level password

イネーブル レベルのイネーブル パスワードを指定します。

level に指定できる範囲は0~15です。レベル1が通常のユーザEXECモード権限です。

password には、1~25文字の英数字のストリングを指定します。ストリングは数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。デフォルトでは、パスワードは定義されていません。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

または

show privilege

設定を確認します。

show running-configコマンドはパスワードとアクセス レベルの設定を表示します。show privilegeコマンドは、イネーブル レベルの設定を表示します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

コマンドをあるイネーブル レベルに設定すると、構文がそのコマンドのサブセットであるコマンドはすべて、そのレベルに設定されます。たとえば、 show ip traffic コマンドをレベル15に設定すると、 show コマンドおよび show ip コマンドは、それぞれ別のレベルに設定しないかぎり、自動的にレベル15に設定されます。

特定のコマンドについて、デフォルトの権限に戻すには、 no privilege mode level level command グローバル コンフィギュレーション コマンドを使用します。

configure コマンドをイネーブル レベル14に設定し、レベル14のコマンドを使用する際にユーザが入力するパスワードとして SecretPswd14 を定義する例を示します。

Switch(config)# privilege exec level 14 configure
Switch(config)# enable password level 14 SecretPswd14
 

回線に対するデフォルトのイネーブル レベルの変更

回線に対するデフォルトのイネーブル レベルを変更するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

line vty line

アクセスを制限する仮想端末回線を選択します。

ステップ 3

privilege level level

回線のデフォルト イネーブル レベルを変更します。

level に指定できる範囲は0~15です。レベル1が通常のユーザEXECモード権限です。レベル15は、 enable パスワードによって許可されるアクセス レベルです。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

または

show privilege

設定を確認します。

show running-configコマンドはパスワードとアクセス レベルの設定を表示します。show privilegeコマンドは、イネーブル レベルの設定を表示します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ユーザは、回線にログインし、別のイネーブル レベルをイネーブルに設定することにより、 privilege level ライン コンフィギュレーション コマンドを使用して設定されたイネーブル レベルを上書きできます。また、 disable コマンドを使用すれば、イネーブル レベルを低く設定することができます。上位のイネーブル レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位のイネーブル レベルをイネーブルにできます。回線の使用を制限するには、コンソール回線に高いレベルまたはイネーブル レベルを指定してください。

デフォルトの回線イネーブル レベルに戻すには、 no privilege level ライン コンフィギュレーション コマンドを使用します。

イネーブル レベルへのログインおよび終了

指定されたイネーブル レベルにログインし、指定されたイネーブル レベルに戻るには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

enable level

指定されたイネーブル レベルにログインします。

level に指定できる範囲は0~15です。

ステップ 2

disable level

指定されたイネーブル レベルに戻ります。

level に指定できる範囲は0~15です。

TACACS+によるスイッチ アクセスの制御

ここでは、Terminal Access Controller Access Control System Plus(TACACS+)をイネーブルにして設定する方法について説明します。TACACS+は、詳細なアカウンティング情報を収集し、認証および許可プロセスに対して柔軟な管理を行います。TACACS+は、Authentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)機能が拡張されており、TACACS+イネーブルにするにはAAAコマンドを使用しなければなりません。


) この章で説明するコマンドの構文および使用方法の詳細については、『Cisco IOS Security Command Reference for Release 12.1』を参照してください。


ここでは、次の設定手順について説明します。

「TACACS+の概要」

「TACACS+の動作」

「TACACS+の設定」

「TACACS+設定の表示」

TACACS+の概要

TACACS+は、スイッチにアクセスしようとするユーザの評価を集中的に行うセキュリティ アプリケーションです。TACACS+サービスは、通常UNIXまたはWindows NTワークステーション上で稼働するTACACS+デーモンのデータベースで管理されます。スイッチにTACACS+機能を設定するには、TACACS+サーバにアクセスして設定する必要があります。

TACACS+は、個別のモジュール型認証、許可、およびアカウンティング機能を備えています。TACACS+では、単一のアクセス制御サーバ(TACACS+デーモン)が各サービス(認証、許可、およびアカウンティング)を別個に提供します。各サービスを固有のデータベースに結合し、デーモンの機能に応じてそのサーバまたはネットワークで使用できる他のサービスを利用することができます。

TACACS+の目的は、1つの管理サービスから複数のネットワーク アクセス ポイントを管理する方式を提供することです。スイッチは、他のシスコ製ルータやアクセス サーバと共にネットワーク アクセス サーバにすることができます。ネットワーク アクセス サーバは、単一のユーザ、ネットワークまたはサブネットワーク、および相互接続されたネットワークとの接続を実現します(図 7-1を参照)。

図 7-1 一般的なTACACS+ネットワーク構成

 

TACACS+は、AAAセキュリティ サービスによって管理され、次のようなサービスを提供します。

認証 ― ログインおよびパスワード ダイアログ、チャレンジおよび応答、メッセージ サポートによって認証の完全制御を行います。

認証機能は、ユーザとの対話を実行できます(たとえば、ユーザ名とパスワードが入力されたあと、自宅の住所、母親の旧姓、サービス タイプ、社会保険番号などのいくつかの質問をすることによりユーザを試します)。TACACS+認証サービスは、ユーザ画面にメッセージを送信することもできます。たとえば、会社のパスワード有効期間ポリシーに従い、パスワードの変更の必要があることをユーザに通知することもできます。

許可 ― autocommand、アクセス制御、セッション期間、プロトコル サポートの設定といった、ユーザ セッション内でのユーザ機能についてきめ細かい制御を行います。また、TACACS+許可機能によって、ユーザが実行できるコマンドを制限することもできます。

アカウンティング ― 課金、監査、およびレポートに使用する情報を収集してTACACS+デーモンに送信します。ネットワークの管理者は、アカウンティング機能を使用して、セキュリティ監査のためにユーザの活動状況を追跡したり、ユーザ課金用の情報を提供したりすることができます。アカウンティング レコードには、ユーザID、開始時刻および終了時刻、実行されたコマンド(PPPなど)、パケット数、およびバイト数が含まれます。

TACACS+プロトコルは、スイッチとTACACS+デーモンとの間の認証を行い、スイッチとTACACS+デーモンとの間のプロトコル交換をすべて暗号化することにより機密保持を実現します。

スイッチでTACACS+を使用するには、TACACS+デーモン ソフトウェアが稼働するシステムが必要です。

TACACS+の動作

ユーザが、TACACS+を使用しているスイッチに対して簡易ASCIIログインを試行し、認証が必要になると、次のプロセスが発生します。

1. 接続が確立すると、スイッチはTACACS+デーモンに接続してユーザ名プロンプトを取得し、これがユーザに表示されます。ユーザがユーザ名を入力すると、スイッチはTACACS+デーモンに接続してパスワード プロンプトを取得します。スイッチによってパスワード プロンプトが表示され、ユーザがパスワードを入力すると、そのパスワードがTACACS+デーモンに送信されます。

TACACS+によって、デーモンとユーザとの間の会話が可能になり、デーモンはユーザを認証できるだけの情報を取得できるようになります。デーモンは、ユーザ名とパスワードの組み合わせを入力するよう求めますが、ユーザの母親の旧姓など、その他の項目を含めることもできます。

2. スイッチは、最終的にTACACS+デーモンから次のいずれかの応答を得ます。

a. ACCEPT ― ユーザが認証され、サービスを開始できます。許可を必要とするようにスイッチが設定されている場合は、この時点で許可処理が開始されます。

b. REJECT ― ユーザは認証されません。TACACS+デーモンに応じて、ユーザはアクセスを拒否されるか、ログイン シーケンスを再試行するよう求められます。

c. ERROR ― デーモンによる認証サービスのある時点で、またはデーモンとスイッチの間のネットワーク接続においてエラーが発生しました。ERROR応答が表示された場合は、スイッチは、通常別の方法でユーザを認証しようとします。

d. CONTINUE ― ユーザは、さらに認証情報の入力を求められます。

認証後、スイッチで許可がイネーブルになっている場合、ユーザは追加の許可フェーズに入ります。ユーザはまず、TACACS+認証を正常に終了しなければTACACS+許可に進めません。

3. TACACS+許可が必要な場合は、再度TACACS+デーモンに接続し、デーモンがACCEPTまたはREJECTの許可応答を返します。ACCEPT応答が返された場合は、その応答には、そのユーザのEXECまたはNETWORKセッション宛ての属性の形式でデータが含まれており、ユーザがアクセスできるサービスが決まります。

Telnet、 Secure Shell(SSH)、rlogin、またはイネーブルEXECサービス

接続パラメータ(ホストまたはクライアントのIPアドレス、アクセス リスト、およびユーザ タイムアウトを含む)

TACACS+の設定

ここでは、スイッチがTACACS+をサポートするように設定する方法を説明します。少なくとも、TACACS+デーモンを保持するホスト(複数可)を特定し、TACACS+認証の方式リストを定義する必要があります。任意でTACACS+許可およびアカウンティングの方式リストを定義することもできます。方式リストは、ユーザの認証、許可、およびアカウントを維持するための順序と方式を定義します。方式リストを使用すると、使用するセキュリティ プロトコルを1つまたは複数指定できるので、最初の方式が失敗した場合のバックアップ システムが確保されます。ソフトウェアは、リスト内の最初の方式を使用してユーザの認証、許可、アカウントの維持を行います。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の方式を選択します。このプロセスは、リスト内の方式による通信が成功するか、方式リストの方式をすべて試し終わるまで続きます。

ここでは、次の設定手順について説明します。

「TACACS+のデフォルト設定」

「TACACS+サーバ ホストの特定と認証鍵の設定」

「TACACS+ログイン認証の設定」

「イネーブルEXECアクセスおよびネットワーク サービス用のTACACS+許可の設定」

「TACACS+アカウンティングの起動」

TACACS+のデフォルト設定

TACACS+とAAAは、デフォルトでディセーブルに設定されています。

セキュリティの失効を防止するため、ネットワーク管理アプリケーションによりTACACS+を設定することはできません。イネーブルに設定されている場合、TACACS+はCLIを使用してスイッチにアクセスするユーザを認証できます。


) TACACS+の設定はCLIを使用して行いますが、TACACS+サーバはイネーブル レベル15に設定されたHTTP接続を許可します。


TACACS+サーバ ホストの特定と認証鍵の設定

認証用に1つのサーバを使用することも、また、既存のサーバ ホストをグループ化するためにAAAサーバ グループを使用するよう設定することもできます。サーバをグループ化して設定済みサーバ ホストのサブセットを選択し、特定のサービスにそのサーバを使用できます。サーバ グループは、グローバル サーバ ホスト リストと共に使用され、選択されたサーバ ホストのIPアドレスのリストを含んでいます。

TACACS+サーバを保持するIPホストを特定し、任意で暗号鍵を設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

tacacs-server host hostname [ port integer ] [ timeout integer ] [ key string ]

TACACS+サーバを保持するIPホスト(1つまたは複数)を特定します。このコマンドを複数回入力すると、優先ホストのリストが作成されます。ソフトウェアは、指定された順序でホストを検索します。

hostname には、ホストの名前またはIPアドレスを指定します。

(任意) port integer には、サーバのポート番号を指定します。デフォルトはポート49です。指定できる範囲は1~65535です。

(任意) timeout integer には、スイッチがデーモンからの応答を待つ時間を秒数で指定します。これを過ぎるとスイッチはタイムアウトしてエラーを宣言します。デフォルト値は5秒です。指定できる範囲は1~1000秒です。

(任意) key string には、スイッチとTACACS+デーモンとの間のすべてのトラフィックを暗号化および暗号解除するための暗号鍵を指定します。暗号化が成功するには、TACACS+デーモンに同じ鍵を設定する必要があります。

ステップ 3

aaa new-model

AAAをイネーブルにします。

ステップ 4

aaa group server tacacs+ group-name

(任意)グループ名でAAAサーバグループを定義します。

このコマンドによって、スイッチはサーバ グループ サブコンフィギュレーション モードになります。

ステップ 5

server ip-address

(任意)特定のTACACS+サーバを定義済みサーバ グループに対応づけます。AAAサーバ グループの各TACACS+サーバに対してこのステップを繰り返します。

グループの各サーバは、ステップ2で定義済みのものでなければなりません。

ステップ 6

end

イネーブルEXECモードに戻ります。

ステップ 7

show tacacs

設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

指定されたTACACS+サーバ名またはアドレスを削除するには、 no tacacs-server host hostname グローバル コンフィギュレーション コマンドを使用します。設定リストからサーバ グループを削除するには、 no aaa group server tacacs+ group-name グローバル コンフィギュレーション コマンドを使用します。TACACS+サーバのIPアドレスを削除するには、 no server ip-address サーバ グループ サブコンフィギュレーション コマンドを使用します。

TACACS+ログイン認証の設定

AAA認証を設定するには、認証方式の名前付きリストを作成してから、さまざまなインターフェイスにそのリストを適用します。方式リストは実行される認証のタイプと実行順序を定義します。このリストを特定のインターフェイスに適用してから、定義済み認証方式を実行する必要があります。唯一の例外はデフォルトの方式リスト(偶然に default と名前が付けられている)です。デフォルトの方式リストは、名前付き方式リストを明示的に定義されたインターフェイスを除いて、自動的にすべてのインターフェイスに適用されます。定義済みの方式リストは、デフォルトの方式リストに優先します。

方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。認証に使用する1つまたは複数のセキュリティ プロトコルを指定できるので、最初の方式が失敗した場合のバックアップ システムが確保されます。ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。この処理のある時点で認証が失敗した場合(つまり、セキュリティ サーバまたはローカルのユーザ名データベースがユーザ アクセスを拒否すると応答した場合)、認証プロセスは停止し、それ以上認証方式が試行されることはありません。

ログイン認証を設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAAをイネーブルにします。

ステップ 3

aaa authentication login { default | list-name } method1 [ method2... ]

ログイン認証方式リストを作成します。

login authentication コマンドに名前付きリストが指定され ない 場合に使用されるデフォルトのリストを作成するには、 default キーワードの後ろにデフォルト状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのインターフェイスに適用されます。

list-name には、作成するリストの名前として使用する文字列を指定します。

method1... には、認証アルゴリズムが試行する実際の方式を指定します。追加の認証方式は、その前の方式でエラーが返された場合に限り使用されます。前の方式が失敗した場合は使用されません。

次のいずれかの方式を選択します。

enable ― イネーブル パスワードを認証に使用します。この認証方式を使用するには、先に enable password グローバル コンフィギュレーション コマンドを使用してイネーブル パスワードを定義しておく必要があります。

group tacacs+ ― TACACS+認証を使用します。この認証方式を使用するには、前もってTACACS+サーバを設定しておく必要があります。詳細は、「TACACS+サーバ ホストの特定と認証鍵の設定」を参照してください。

line ― 回線パスワードを認証に使用します。この認証方式を使用するには、前もって回線パスワードを定義しておく必要があります。 password password ライン コンフィギュレーション コマンドを使用します。

local ― ローカル ユーザ名データベースを認証に使用します。データベースにユーザ名情報を入力しておく必要があります。 username password グローバル コンフィギュレーション コマンドを使用します。

local-case ― 大文字/小文字が区別されるローカル ユーザ名データベースを認証に使用します。 username name password グローバル コンフィギュレーション コマンドを使用して、ユーザ名情報をデータベースに入力する必要があります。

none ― ログインに認証を使用しません。

ステップ 4

line [ console | tty | vty ] line-number [ ending-line-number ]

ライン コンフィギュレーション モードを開始し、認証リストの適用対象とする回線を設定します。

ステップ 5

login authentication { default | list-name }

回線または回線セットに対して、認証リストを適用します。

default を指定する場合は、 aaa authentication login コマンドで作成したデフォルトのリストを使用します。

list-name には、 aaa authentication login コマンドで作成したリストを指定します。

ステップ 6

end

イネーブルEXECモードに戻ります。

ステップ 7

show running-config

設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

AAAをディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。AAA認証をディセーブルにするには、 no aaa authentication login {default | list-name } method1 [ method2... ]グローバル コンフィギュレーション コマンドを使用します。ログインのTACACS+認証をディセーブルにするかデフォルト値に戻す場合は、 no login authentication { default | list-name }ライン コンフィギュレーション コマンドを使用します。

イネーブルEXECアクセスおよびネットワーク サービス用のTACACS+許可の設定

AAA許可によってユーザが利用できるサービスが制限されます。AAA許可がイネーブルに設定されていると、スイッチはユーザのプロファイルから取得した情報を使用します。このプロファイルは、ローカルのユーザ データベースまたはセキュリティ サーバ上にあり、ユーザのセッションを設定します。ユーザは、ユーザ プロファイル内の情報で認められている場合に限り、要求したサービスのアクセスが認可されます。

aaa authorization グローバル コンフィギュレーション コマンドに tacacs+ キーワードを付けて使用すると、イネーブルEXECモードへのユーザのネットワーク アクセスを制限するパラメータを設定できます。

aaa authorization exec tacacs+ localコマンドは、次の許可パラメータを設定します。

TACACS+を使用して認証を行った場合は、イネーブルEXECアクセス許可にTACACS+を使用します。

認証にTACACS+を使用しなかった場合は、ローカル データベースを使用します。


) 許可が設定されていても、CLIを使用してログインし、認証されたユーザに対しては、許可は省略されます。


イネーブルEXECアクセスおよびネットワーク サービスに関するTACACS+許可を指定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa authorization network tacacs+

ネットワーク関連のすべてのサービス要求に対するユーザTACACS+許可を、スイッチに設定します。

ステップ 3

aaa authorization exec tacacs+

ユーザに対するイネーブルEXECアクセスの可否を、ユーザTACACS+許可によって判別するようにスイッチを設定します。

exec キーワードを指定すると、ユーザ プロファイル情報( autocommand 情報など)が返される場合があります。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

許可をディセーブルにするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。

TACACS+アカウンティングの起動

AAAアカウンティング機能は、ユーザがアクセスしたサービスと、消費したネットワーク リソース量を追跡します。AAAアカウンティングをイネーブルにすると、スイッチはユーザの活動状況をアカウンティング レコードの形式でTACACS+セキュリティ サーバに報告します。各アカウンティング レコードは、アカウンティングの属性/値(AV)ペアを含み、セキュリティ サーバに保管されます。このデータを解析して、ネットワーク管理、クライアントへの課金、または監査に役立てることができます。

Cisco IOSのイネーブル レベルおよびネットワーク サービスに関するTACACS+アカウンティングをイネーブルにするには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa accounting network start-stop tacacs+

ネットワーク関連のすべてのサービス要求について、TACACS+アカウンティングをイネーブルにします。

ステップ 3

aaa accounting exec start-stop tacacs+

TACACS+アカウンティングにより、イネーブルEXECプロセスの最初に記録開始アカウンティング通知、最後に記録停止通知を送信するように設定します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

アカウンティングをディセーブルにするには、 no aaa accounting { network | exec } { start-stop } method1... グローバル コンフィギュレーション コマンドを使用します。

TACACS+設定の表示

TACACS+サーバ統計情報を表示するには、 show tacacs イネーブルEXECコマンドを使用します。

RADIUSによるスイッチ アクセスの制御

ここでは、Remote Authentication Dial-In User Service(RADIUS)をイネーブルにして設定する方法について説明します。RADIUSは、詳細なアカウンティング情報を収集し、認証および許可プロセスに対して柔軟な管理を行います。RADIUSは、AAAを介して実装され、AAAコマンドを使用してのみイネーブルにすることができます。


) この章で説明するコマンドの構文および使用方法の詳細については、『Cisco IOS Security Command Reference for Release 12.1』を参照してください。


ここでは、次の設定手順について説明します。

「RADIUSの概要」

「RADIUSの動作」

「RADIUSの設定」

「RADIUSの設定の表示」

RADIUSの概要

RADIUSは分散型クライアント/サーバ システムで、不正なアクセスからネットワークを保護します。RADIUSクライアントは、Catalyst 3550マルチレイヤ スイッチ、Catalyst 2950シリーズ スイッチなど、シスコのサポート対象ルータおよびスイッチ上で稼働します。クライアントは中央のRADIUSサーバに認証要求を送ります。中央のRADIUSサーバにはあらゆるユーザ認証情報、ネットワーク サービス アクセス情報が登録されています。RADIUSホストは、通常、シスコ(Cisco Secure Access Control Serverバージョン3.0)、Livingston、Merit、Microsoft、または他のソフトウェア プロバイダーのRADIUSサーバ ソフトウェアが稼働しているマルチユーザ システムです。詳細については、RADIUSサーバのマニュアルを参照してください。

RADIUSは、アクセスのセキュリティが必要な、次のネットワーク環境で使用します。

それぞれがRADIUSをサポートする、マルチベンダー アクセス サーバによるネットワーク。たとえば、いくつかのベンダーのアクセス サーバが、1つのRADIUSサーバベース セキュリティ データベースを使用します。複数ベンダーのアクセス サーバから成るIPベースのネットワークでは、ダイヤルイン ユーザはRADIUSサーバを通じて認証されます。RADIUSサーバは、Kerberosセキュリティ システムで動作するようにカスタマイズされています。

アプリケーションがRADIUSプロトコルをサポートするターンキー ネットワーク セキュリティ環境。たとえば、 スマート カード アクセス制御システムを使用するアクセス環境。あるケースでは、RADIUSはEnigmaのセキュリティ カードと共に使用してユーザを確認し、ネットワーク リソースのアクセスを許可します。

すでにRADIUSを使用中のネットワーク。RADIUSクライアント装備のシスコ製スイッチをネットワークに追加できます。これがTACACS+サーバへの移行の最初のステップとなることもあります。図 7-2を参照してください。

ユーザが1つのサービスにしかアクセスできないネットワーク。RADIUSを使用すると、ユーザのアクセスを1つのホスト、Telnetなどの1つのユーティリティ、またはIEEE 802.1xなどのプロトコルを使用するネットワークに制御できます。このプロトコルの詳細については、 第8章「802.1xポート ベース認証の設定」 を参照してください。

リソース アカウンティングが必要なネットワーク。RADIUS認証または許可とは別個に
RADIUSアカウンティングを使用できます。RADIUSアカウンティング機能によって、サービスの開始および終了時点でデータを送信し、このセッション中に使用されるリソース(時間、パケット、バイトなど)の量を表示できます。インターネット サービス プロバイダーは、RADIUSアクセス制御およびアカウンティング ソフトウェアのフリーウェア バージョンを使用して、特殊なセキュリティおよび課金に対するニーズを満たすこともできます。

RADIUSは、次のようなネットワーク セキュリティ状況には適していません。

マルチプロトコル アクセス環境。RADIUSは、AppleTalk Remote Access(ARA)、NetBIOS Frame Control Protocol(NBFCP; NetBIOS フレーム制御プロトコル)、NetWare Asynchronous Services Interface(NASI)、またはX.25 PAD接続をサポートしません。

スイッチ間またはルータ間。RADIUSは、双方向認証を行いません。RADIUSは、他社製の装置が認証を必要とする場合に、ある装置から他社製の装置への認証に使用できます。

各種のサービスを使用するネットワーク。RADIUSは、一般に1人のユーザを1つのサービス モデルにバインドします。

図 7-2 RADIUSサービスからTACACS+サービスへの移行

 

RADIUSの動作

RADIUSサーバによってアクセス制御されるスイッチに、ユーザがログインおよび認証を試みると、次のイベントが行われます。

1. ユーザ名およびパスワードの入力を要求するプロンプトが表示されます。

2. ユーザ名および暗号化されたパスワードが、ネットワーク経由でRADIUSサーバに送信されます。

3. ユーザはRADIUSサーバから、次のいずれかの応答を受信します。

a. ACCEPT ― ユーザが認証されたことを表します。

b. REJECT ― ユーザの認証が失敗し、ユーザ名およびパスワードの再入力が要求されるか、またはアクセスが拒否されます。

c. CHALLENGE ― ユーザに追加データを要求します。

d. CHALLENGE PASSWORD ― ユーザは新しいパスワードを選択するように要求されます。

ACCEPTまたはREJECT応答には、イネーブルEXECまたはネットワーク認証に使用する追加データがバンドルされています。ユーザは最初にRADIUS認証に成功してから、RADIUS許可(イネーブルに設定されている場合)に進まなければなりません。ACCEPTまたはREJECTパケットには次の追加データが含まれます。

Telnet、SSH、rlogin、またはイネーブルEXECサービス

接続パラメータ(ホストまたはクライアントのIPアドレス、アクセス リスト、およびユーザ タイムアウトを含む)

RADIUSの設定

ここでは、スイッチがRADIUSをサポートするように設定する方法について説明します。最低でも、RADIUSサーバ ソフトウェアが稼働するホスト(1つまたは複数)を特定し、RADIUS認証の方式リストを定義する必要があります。また、RADIUS許可およびアカウンティングの方式リストも任意に定義できます。

方式リストは、ユーザの認証、許可、およびアカウントを維持するための順序と方式を定義します。方式リストを使用して、1つまたは複数のセキュリティ プロトコル(TACACS+ 、ローカル ユーザ名検索など)を指定し、最初の方式が失敗した場合のバックアップ システムを確保することができます。ソフトウェアは、リスト内の最初の方式を使用してユーザの認証、許可、アカウントの維持を行います。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の方式を選択します。このプロセスは、リスト内の方式による通信が成功するか、方式リストの方式をすべて試し終わるまで続きます。

スイッチ上でRADIUS機能の設定を行う前に、RADIUSサーバにアクセスし、サーバを設定する必要があります。

ここでは、次の設定手順について説明します。

「RADIUSのデフォルト設定」

「RADIUSサーバ ホストの識別」(必須)

「RADIUSログイン認証の設定」(必須)

「AAAサーバ グループの定義」(任意)

「ユーザ イネーブル アクセスおよびネットワーク サービスに関するRADIUS許可の設定」(任意)

「RADIUSアカウンティングの起動」(任意)

「すべてのRADIUSサーバの設定」(任意)

「ベンダー固有のRADIUS属性を使用するスイッチ設定」(任意)

「ベンダー独自のRADIUSサーバとの通信に関するスイッチ設定」(任意)

RADIUSのデフォルト設定

RADIUSおよびAAAは、デフォルトではディセーブルに設定されています。

セキュリティ ホールを回避するため、ネットワーク管理アプリケーションを使用してRADIUSを設定することはできません。RADIUSをイネーブルに設定した場合、CLIを通じてスイッチにアクセスするユーザを認証できます。

RADIUSサーバ ホストの識別

スイッチとRADIUSサーバの通信には、いくつかの要素が関与します。

ホスト名またはIPアドレス

認証の宛先ポート

アカウンティングの宛先ポート

キー ストリング

タイムアウト時間

再送信回数

RADIUSセキュリティ サーバは、ホスト名またはIPアドレス、ホスト名と特定のUDPポート番号、またはIPアドレスと特定のUDPポート番号によって特定します。IPアドレスとUDPポート番号の組み合わせによって、一意のIDが作成され、特定のAAAサービスを提供するRADIUSホストとして個々のポートを定義できます。この一意のIDを使用することによって、同じIPアドレスにあるサーバ上の複数のUDPポートに、RADIUS要求を送信できます。

同じRADIUSサーバ上の異なる2つのホスト エントリに同じサービス(例えばアカウンティングなど)を設定した場合、2番目に設定したホスト エントリは、最初に設定したホスト エントリのフェールオーバー バックアップとして動作します。この例の場合、最初のホスト エントリがアカウンティング サービスを提供できなかった場合、スイッチは同じ装置上で2番目に設定されたホスト エントリでアカウンティング サービスを試みます(RADIUSホスト エントリは、設定した順序に従って試行されます)。

RADIUSサーバとスイッチは、共有するシークレット テキスト ストリングを使用して、パスワードの暗号化および応答の交換を行います。RADIUSでAAAセキュリティ コマンドを使用するように設定するには、RADIUSサーバ デーモンが稼働するホストと、そのホストがスイッチと共有するシークレット テキスト(キー)ストリングを指定しなければなりません。

タイムアウト、再送信回数、および暗号鍵の値は、すべてのRADIUSサーバに対してグローバルに設定することもできますし、サーバ単位で設定することもできます。また、グローバルな設定とサーバ単位での設定を組み合わせることもできます。スイッチと通信するすべてのRADIUSサーバに対して、これらの設定をグローバルに適用するには、グローバル コンフィギュレーション コマンド radius-server timeout radius-server retransmit 、および radius-server key を使用します。これらの設定を特定のRADIUSサーバに適用するには、 radius-server host グローバル コンフィギュレーション コマンドを使用します。


) スイッチ上にグローバルな機能とサーバ単位での機能(タイムアウト、再送信回数、およびキーコマンド)を設定した場合、サーバ単位で設定したタイムアウト、再送信回数、および鍵に関するコマンドは、グローバルに設定したタイムアウト、再送信回数、および鍵に関するコマンドを上書きします。すべてのRADIUSサーバに対してこれらの値を設定する方法については、「すべてのRADIUSサーバの設定」を参照してください。


既存のサーバ ホストを認証用にグループ化するため、AAAサーバ グループを使用するようにスイッチを設定できます。詳細は、「AAAサーバ グループの定義」を参照してください。

サーバ単位でRADIUSサーバとの通信を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { hostname | ip-address } [ auth-port port-number ] [ acct-port port-number ] [ timeout seconds ] [ retransmit retries ] [ key string ]

リモートRADIUSサーバ ホストのIPアドレスまたはホスト名を指定します。

(任意) auth-port port-number には、認証要求のUDP宛先ポートを指定します。

(任意) acct-port port-number には、アカウンティング要求のUDP宛先ポートを指定します。

(任意) timeout seconds には、スイッチがRADIUSサーバの応答を待機して再送信するまでの時間間隔を指定します。指定できる範囲は1~1000です。この設定は、 radius-server timeout グローバル コンフィギュレーション コマンドによる設定を上書きします。 radius-server host コマンドでタイムアウトを設定しない場合は、 radius-server timeout コマンドの設定が使用されます。

(任意) retransmit retries には、サーバが応答しない場合、または応答が遅い場合に、RADIUS要求をサーバに再送信する回数を指定します。指定できる範囲は1~1000です。 radius-server host コマンドで再送信回数を指定しない場合、 radius-server retransmit グローバル コンフィギュレーション コマンドの設定が使用されます。

(任意) key string には、RADIUSサーバ上で動作するRADIUSデーモンとスイッチの間で使用する認証および暗号鍵を指定します。


) 鍵は、RADIUSサーバで使用する暗号鍵に一致するテキスト ストリングでなければなりません。鍵は常に
radius-server host
コマンドの最後のアイテムとして設定してください。先行スペースは無視されますが、鍵の中間および末尾にあるスペースは有効です。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。


1つのIPアドレスに対応する複数のホスト エントリをスイッチが認識するように設定するには、それぞれ異なるUDPポート番号を使用して、このコマンドを必要な回数だけ入力します。スイッチ ソフトウェアは、指定された順序に従って、ホストを検索します。各RADIUSホストで使用するタイムアウト、再送信回数、および暗号鍵をそれぞれ設定してください。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

特定のRADIUSサーバを削除するには、 no radius-server host { hostname | ip-address }グローバル コンフィギュレーション コマンドを使用します。

次に、1つのRADIUSサーバを認証用に、もう1つのRADIUSサーバをアカウンティング用に設定する例を示します。

Switch(config)# radius-server host 172.29.36.49 auth-port 1612 key rad1
Switch(config)# radius-server host 172.20.36.50 acct-port 1618 key rad2
 

次に、 host1 をRADIUSサーバとして設定し、認証およびアカウンティングの両方にデフォルトのポートを使用するように設定する例を示します。

Switch(config)# radius-server host host1

) RADIUSサーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、スイッチのIPアドレス、およびサーバとスイッチの双方で共有するキー ストリングがあります。詳細については、RADIUSサーバのマニュアルを参照してください。


RADIUSログイン認証の設定

AAA認証を設定するには、認証方式の名前付きリストを作成してから、さまざまなインターフェイスにそのリストを適用します。方式リストは実行される認証のタイプと実行順序を定義します。このリストを特定のインターフェイスに適用してから、定義済み認証方式を実行する必要があります。唯一の例外はデフォルトの方式リスト(偶然に default と名前が付けられている)です。デフォルトの方式リストは、名前付き方式リストを明示的に定義されたインターフェイスを除いて、自動的にすべてのインターフェイスに適用されます。

方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。認証に使用する1つまたは複数のセキュリティ プロトコルを指定できるので、最初の方式が失敗した場合のバックアップ システムが確保されます。ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。この処理のある時点で認証が失敗した場合(つまり、セキュリティ サーバまたはローカルのユーザ名データベースがユーザ アクセスを拒否すると応答した場合)、認証プロセスは停止し、それ以上認証方式が試行されることはありません。

ログイン認証を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAAをイネーブルにします。

ステップ 3

aaa authentication login { default | list-name } method1 [ method2... ]

ログイン認証方式リストを作成します。

login authentication コマンドに名前付きリストが指定され ない 場合に使用されるデフォルトのリストを作成するには、 default キーワードの後ろにデフォルト状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのインターフェイスに適用されます。

list-name には、作成するリストの名前として使用する文字列を指定します。

method1... には、認証アルゴリズムが試行する実際の方式を指定します。追加の認証方式は、その前の方式でエラーが返された場合に限り使用されます。前の方式が失敗した場合は使用されません。

次のいずれかの方式を選択します。

enable ― イネーブル パスワードを認証に使用します。この認証方式を使用するには、先に enable password グローバル コンフィギュレーション コマンドを使用してイネーブル パスワードを定義しておく必要があります。

group radius ― RADIUS認証を使用します。この認証方式を使用するには、前もってRADIUSサーバを設定しておく必要があります。詳細は、「RADIUSサーバ ホストの識別」を参照してください。

line ― 回線パスワードを認証に使用します。この認証方式を使用するには、前もって回線パスワードを定義しておく必要があります。 password password ライン コンフィギュレーション コマンドを使用します。

local ― ローカル ユーザ名データベースを認証に使用します。データベースにユーザ名情報を入力しておく必要があります。 username name password グローバル コンフィギュレーション コマンドを使用します。

local-case ― 大文字/小文字が区別されるローカル ユーザ名データベースを認証に使用します。 username password グローバル コンフィギュレーション コマンドを使用して、ユーザ名情報をデータベースに入力する必要があります。

none ― ログインに認証を使用しません。

ステップ 4

line [ console | tty | vty ] line-number [ ending-line-number ]

ライン コンフィギュレーション モードを開始し、認証リストの適用対象とする回線を設定します。

ステップ 5

login authentication { default | list-name }

回線または回線セットに対して、認証リストを適用します。

default を指定する場合は、 aaa authentication login コマンドで作成したデフォルトのリストを使用します。

list-name には、 aaa authentication login コマンドで作成したリストを指定します。

ステップ 6

end

イネーブルEXECモードに戻ります。

ステップ 7

show running-config

設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

AAAをディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。AAA認証をディセーブルにするには、 no aaa authentication login {default | list-name } method1 [ method2... ]グローバル コンフィギュレーション コマンドを使用します。ログインに関するRADIUS認証をディセーブルにするか、あるいはデフォルト値に戻すには、 no login authentication { default | list-name }ライン コンフィギュレーション コマンドを使用します。

AAAサーバ グループの定義

既存のサーバ ホストを認証用にグループ化するため、AAAサーバ グループを使用するようにスイッチを設定できます。設定済みのサーバ ホストのサブセットを選択して、それを特定のサービスに使用します。サーバ グループを使用する場合は、グローバルなサーバ ホスト リスト(選択したサーバ ホストのIPアドレスのリスト)を用います。

サーバ グループには、同じサーバの複数のホスト エントリを含めることもできますが、各エントリが一意のID(IPアドレスとUDPポート番号の組み合わせ)を持っていることが条件です。この場合、個々のポートをそれぞれ特定のAAAサービスを提供するRADIUSホストとして定義することができます。同じRADIUSサーバ上の異なる2つのホスト エントリに同じサービス(例えばアカウンティングなど)を設定した場合、2番目に設定したホスト エントリは、最初に設定したホスト エントリのフェールオーバー バックアップとして動作します。

定義したグループ サーバに特定のサーバを対応づけるには、 server グループ サーバ コンフィギュレーション コマンドを使用します。サーバをIPアドレスで特定することもできますし、任意指定の auth-port および acct-port キーワードを使用して複数のホスト インスタンスまたはエントリを特定することもできます。

AAAサーバ グループを定義し、そのグループに特定のRADIUSサーバを対応づけるには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { hostname | ip-address } [ auth-port port-number ] [ acct-port port-number ] [ timeout seconds ] [ retransmit retries ] [ key string ]

リモートRADIUSサーバ ホストのIPアドレスまたはホスト名を指定します。

(任意) auth-port port-number には、認証要求のUDP宛先ポートを指定します。

(任意) acct-port port-number には、アカウンティング要求のUDP宛先ポートを指定します。

(任意) timeout seconds には、スイッチがRADIUSサーバの応答を待機して再送信するまでの時間間隔を指定します。指定できる範囲は1~1000です。この設定は、 radius-server timeout グローバル コンフィギュレーション コマンドによる設定を上書きします。 radius-server host コマンドでタイムアウトを設定しない場合は、 radius-server timeout コマンドの設定が使用されます。

(任意) retransmit retries には、サーバが応答しない場合、または応答が遅い場合に、RADIUS要求をサーバに再送信する回数を指定します。指定できる範囲は1~1000です。 radius-server host コマンドで再送信回数を指定しない場合、 radius-server retransmit グローバル コンフィギュレーション コマンドの設定が使用されます。

(任意) key string には、RADIUSサーバ上で動作するRADIUSデーモンとスイッチの間で使用する認証および暗号鍵を指定します。


) 鍵は、RADIUSサーバで使用する暗号鍵に一致するテキスト ストリングでなければなりません。鍵は常に
radius-server host
コマンドの最後のアイテムとして設定してください。先行スペースは無視されますが、鍵の中間および末尾にあるスペースは有効です。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。


1つのIPアドレスに対応する複数のホスト エントリをスイッチが認識するように設定するには、それぞれ異なるUDPポート番号を使用して、このコマンドを必要な回数だけ入力します。スイッチ ソフトウェアは、指定された順序に従って、ホストを検索します。各RADIUSホストで使用するタイムアウト、再送信回数、および暗号鍵をそれぞれ設定してください。

ステップ 3

aaa new-model

AAAをイネーブルにします。

ステップ 4

aaa group server radius group-name

AAAサーバ グループを、特定のグループ名で定義します。

このコマンドを使用すると、スイッチはサーバ グループ コンフィギュレーション モードになります。

ステップ 5

server ip-address

特定のRADIUSサーバを定義済みのサーバ グループに対応づけます。AAAサーバ グループのRADIUSサーバごとに、このステップを繰り返します。

グループの各サーバは、ステップ2で定義済みのものでなければなりません。

ステップ 6

end

イネーブルEXECモードに戻ります。

ステップ 7

show running-config

設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ステップ 9

RADIUSログイン認証をイネーブルにします。「RADIUSログイン認証の設定」を参照してください。

特定のRADIUSサーバを削除するには、 no radius-server host { hostname | ip-address }グローバル コンフィギュレーション コマンドを使用します。サーバ グループをコンフィギュレーション リストから削除するには、 no aaa group server radius group-name グローバル コンフィギュレーション コマンドを使用します。RADIUSサーバのIPアドレスを削除するには、 no server ip-address サーバ グループ コンフィギュレーション コマンドを使用します。

次の例では、2つの異なるRADIUSグループ サーバ( group1 および group2 )を認識するようにスイッチを設定します。group1では、同じRADIUSサーバ上の異なる2つのホスト エントリを、同じサービス用に設定しています。2番目のホスト エントリが、最初のエントリのフェールオーバー バックアップとして動作します。

Switch(config)# radius-server host 172.20.0.1 auth-port 1000 acct-port 1001
Switch(config)# radius-server host 172.10.0.1 auth-port 1645 acct-port 1646
Switch(config)# aaa new-model
Switch(config)# aaa group server radius group1
Switch(config-sg-radius)# server 172.20.0.1 auth-port 1000 acct-port 1001
Switch(config-sg-radius)# exit
Switch(config)# aaa group server radius group2
Switch(config-sg-radius)# server 172.20.0.1 auth-port 2000 acct-port 2001
Switch(config-sg-radius)# exit
 

ユーザ イネーブル アクセスおよびネットワーク サービスに関するRADIUS許可の設定

AAA許可によってユーザが利用できるサービスが制限されます。AAA許可をイネーブルにすると、スイッチは(ローカル ユーザ データベースまたはセキュリティ サーバ上に存在する)ユーザのプロファイルから取得した情報を使用して、ユーザのセッションを設定します。ユーザは、ユーザ プロファイル内の情報で認められている場合に限り、要求したサービスのアクセスが認可されます。

イネーブルEXECモードへのユーザのネットワーク アクセスを制限するパラメータを設定するには、 aaa authorization グローバル コンフィギュレーション コマンドとともに radius キーワードを使用します。

aaa authorization exec radius localコマンドは、次の許可パラメータを設定します。

RADIUSを使用して認証を行った場合は、RADIUSを使用してイネーブルEXECアクセスを許可します。

認証にRADIUSを使用しなかった場合は、ローカル データベースを使用します。


) 許可が設定されていても、CLIを使用してログインし、認証されたユーザに対しては、許可は省略されます。


イネーブルEXECアクセスおよびネットワーク サービスに関するRADIUS許可を指定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa authorization network radius

ネットワーク関連のすべてのサービス要求に対するユーザRADIUS許可を、スイッチに設定します。

ステップ 3

aaa authorization exec radius

ユーザに対するイネーブルEXECアクセスの可否を、ユーザRADIUS許可によって判別するようにスイッチを設定します。

exec キーワードを指定すると、ユーザ プロファイル情報( autocommand 情報など)が返される場合があります。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

許可をディセーブルにするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。

RADIUSアカウンティングの起動

AAAアカウンティング機能は、ユーザがアクセスしたサービスと、消費したネットワーク リソース量を追跡します。AAAアカウンティングをイネーブルにすると、スイッチはユーザの活動状況をアカウンティング レコードの形式でRADIUSセキュリティ サーバに報告します。各アカウンティング レコードは、アカウンティングの属性/値(AV)ペアを含み、セキュリティ サーバに保管されます。このデータを解析して、ネットワーク管理、クライアントへの課金、または監査に役立てることができます。

Cisco IOSのイネーブル レベルおよびネットワーク サービスに関するRADIUSアカウンティングをイネーブルにするには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa accounting network start-stop radius

ネットワーク関連のすべてのサービス要求について、RADIUSアカウンティングをイネーブルにします。

ステップ 3

aaa accounting exec start-stop radius

RADIUSアカウンティングにより、イネーブルEXECプロセスの最初に記録開始アカウンティング通知、最後に記録停止通知を送信するように設定します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

アカウンティングをディセーブルにするには、 no aaa accounting { network | exec } { start-stop } method1... グローバル コンフィギュレーション コマンドを使用します。

すべてのRADIUSサーバの設定

スイッチとすべてのRADIUSサーバ間でグローバルに通信を設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server key string

スイッチとすべてのRADIUSサーバ間で共有されるシークレット テキスト ストリングを指定します。


) 鍵は、RADIUSサーバで使用する暗号鍵に一致するテキスト ストリングでなければなりません。先行スペースは無視されますが、鍵の中間および末尾にあるスペースは有効です。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。


ステップ 3

radius-server retransmit retries

スイッチがRADIUS要求をサーバに再送信する回数を指定します。デフォルトは3です。指定できる範囲は1~1000です。

ステップ 4

radius-server timeout seconds

スイッチがRADIUS要求に対する応答を待って、要求を再送信するまでの時間(秒)を指定します。デフォルトは5秒です。指定できる範囲は1~1000です。

ステップ 5

radius-server deadtime minutes

認証要求に応答しないRADIUSサーバをスキップする時間(分)を指定し、要求がタイムアウトするまで待機することなく、次に設定されているサーバを試行できるようにします。デフォルトは0です。指定できる範囲は0~1440分です。

ステップ 6

end

イネーブルEXECモードに戻ります。

ステップ 7

show running-config

設定値を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信回数、タイムアウト、および待機時間の設定をデフォルトに戻すには、これらのコマンドの no 形式を使用します。

ベンダー固有のRADIUS属性を使用するスイッチ設定

Internet Engineering Task Force(IETF)ドラフト規格に、ベンダー固有の属性(attribute 26)を使用して、スイッチとRADIUSサーバ間でベンダー固有の情報を通信するための方式が定められています。各ベンダーは、ベンダー固有の属性(VSA)を使用することによって、一般的な用途には適さない独自の拡張属性をサポートすることができます。シスコが実装するRADIUSでは、この仕様で推奨されるフォーマットを使用して、ベンダー固有のオプションを1つサポートしています。シスコのベンダーIDは9であり、サポート対象のオプションはベンダー タイプ1(名前は cisco-avpair )です。この値は、次のフォーマットのストリングです。

protocol : attribute sep value *
 

protocol は、特定の許可タイプに使用するシスコのプロトコル属性の値です。 attribute および value は、シスコのTACACS+仕様で定義されている適切な属性/値(AV)ペアです。 sep は、必須の属性の場合は = 、任意指定の属性の場合は * です。これにより、TACACS+許可で使用できるすべての機能が、RADIUSでも使用できます。

たとえば、次のAVペアを指定すると、IP許可(PPPによるIPCPアドレスの割り当て)時に、シスコの 複数の名前付きIPアドレス プール 機能が有効になります。

cisco-avpair= ”ip:addr-pool=first“
 

スイッチからイネーブルEXECコマンドへの即時アクセスが可能となるユーザ ログインを提供する例を示します。

cisco-avpair= ”shell:priv-lvl=15“
 

他のベンダーにも、それぞれ独自のベンダーID、オプション、および対応するVSAがあります。ベンダーIDおよびVSAの詳細については、RFC 2138「Remote Authentication Dial-In User Service(RADIUS)」を参照してください。

スイッチがVSAを認識して使用するように設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server vsa send [ accounting | authentication ]

スイッチがVSA(RADIUS IETF attribute 26で定義)を認識して使用できるようにします。

(任意)認識されるベンダー固有属性の集合をアカウンティング属性だけに限定するには、 accounting キーワードを使用します。

(任意)認識されるベンダー固有属性の集合を認証属性だけに限定するには、 authentication キーワードを使用します。

キーワードを指定せずにこのコマンドを入力すると、アカウンティングおよび認証のベンダー固有属性の両方が使用されます。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定値を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

RADIUS属性の一覧と、ベンダー固有のattribute 26の詳細については、『 Cisco IOS Security Configuration Guide for Release 12.1 』のAppendix「RADIUS Attributes」を参照してください。

ベンダー独自のRADIUSサーバとの通信に関するスイッチ設定

RADIUSに関するIETFドラフト規格では、スイッチとRADIUSサーバ間でベンダー独自仕様の情報を通信する方式について定められていますが、RADIUS属性セットを独自に機能拡張しているベンダーもあります。Cisco IOSソフトウェアは、ベンダー独自仕様のRADIUS属性のサブセットをサポートしています。

前述したように、RADIUS(ベンダーの独自仕様によるものか、IETFドラフトに準拠するものかを問わず)を設定するには、RADIUSサーバ デーモンが稼働しているホストと、そのホストがスイッチと共有するシークレット テキスト ストリングを指定しなければなりません。RADIUSホストおよびシークレット テキスト ストリングを指定するには、 radius-server グローバル コンフィギュレーション コマンドを使用します。

ベンダー独自仕様のRADIUSサーバ ホスト、および共有されるシークレット テキスト ストリングを指定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host {hostname | ip-address} non-standard

リモートRADIUSサーバ ホストのIPアドレスまたはホスト名を指定し、そのホストが、ベンダーが独自に実装したRADIUSを使用していることを指定します。

ステップ 3

radius-server key string

スイッチとベンダー独自仕様のRADIUSサーバとの間で共有されるシークレット テキスト ストリングを指定します。スイッチおよびRADIUSサーバは、このテキスト ストリングを使用して、パスワードの暗号化および応答の交換を行います。


) 鍵は、RADIUSサーバで使用する暗号鍵に一致するテキスト ストリングでなければなりません。先行スペースは無視されますが、鍵の中間および末尾にあるスペースは有効です。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。


ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

設定値を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ベンダー独自仕様のRADIUSホストを削除するには、 no radius-server host {hostname | ip-address} non-standard グローバル コンフィギュレーション コマンドを使用します。 鍵をディセーブルにするには、 no radius-server key グローバル コンフィギュレーション コマンドを使用します。

次に、ベンダー独自仕様のRADIUSホストを指定し、スイッチとサーバの間で rad124 という秘密鍵を使用する例を示します。

Switch(config)# radius-server host 172.20.30.15 nonstandard
Switch(config)# radius-server key rad124
 

RADIUSの設定の表示

RADIUSの設定を表示するには、 show running-config イネーブルEXECコマンドを使用します。

スイッチのローカル認証および許可の設定

ローカル モードでAAAを実装するようにスイッチを設定すると、サーバがなくても動作するようにAAAを設定できます。この場合、スイッチは認証および許可の処理を行います。この設定ではアカウンティング機能は利用できません。

スイッチをローカルAAA用に設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAAをイネーブルにします。

ステップ 3

aaa authentication login default local

ローカルのユーザ名データベースを使用するようにログイン認証を設定します。 default キーワードにより、ローカル ユーザ データベース認証がすべてのインターフェイスに適用されます。

ステップ 4

aaa authorization exec local

ユーザAAA許可を設定し、ローカル データベースを確認してそのユーザにEXECシェルの実行を許可するかどうかを判別します。

ステップ 5

aaa authorization network local

ネットワーク関連のすべてのサービス要求に対するユーザAAA許可を設定します。

ステップ 6

username name [ privilege level ] { password encryption-type password }

ローカル データベースを開始し、ユーザ名ベースの認証システムを設定します。

ユーザごとにコマンドを繰り返し入力します。

name には、ユーザIDを1ワードで指定します。スペースや引用符は使用できません。

(任意) level には、アクセス後ユーザに設定するイネーブル レベルを指定します。指定できる範囲は0~15です。レベル15ではイネーブルEXECモードでのアクセスが可能です。レベル0では、ユーザEXECモードでのアクセスとなります。

encryption-type には、暗号化されていないパスワードがあとに続く場合は0を、暗号化されたパスワードがあとに続く場合は7を指定します。

password には、ユーザがスイッチにアクセスする際に入力する必要のあるパスワードを指定します。パスワードは1~25文字で、埋め込みスペースを使用でき、 username コマンドの最後のオプションとして指定します。

ステップ 7

end

イネーブルEXECモードに戻ります。

ステップ 8

show running-config

設定を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

AAAをディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。許可をディセーブルにするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。

Secure Shellに関するスイッチの設定

ここでは、Secure Shell(SSH)の機能の設定方法について説明します。この機能を使用するには、暗号化マルチレイヤ ソフトウェア イメージがスイッチにインストールされている必要があります。Cisco.comからこのソフトウェア イメージをダウンロードする必要があります。詳細は、このリリースに対応するリリース ノートを参照してください。


) ここで使用するコマンドの構文および使用方法の詳細については、『Cisco IOS Security Command Reference for Release 12.1』の「Secure Shell Commands」を参照してください。


SSHの概要

SSHは、レイヤ2またはレイヤ3装置への安全なリモート接続を可能にするプロトコルです。SSHにはSSHバージョン1とSSHバージョン2の2つのバージョンがあります。このソフトウェア リリースではSSHバージョン1のみサポートしています。

装置が認証されている場合、強力な暗号化により、リモート接続に関してSSHはTelnetよりもセキュリティが向上しています。SSHの機能には、SSHサーバとSSH統合クライアントがあります。クライアントは次のユーザ認証方式をサポートしています。

TACACS+(詳細については、TACACS+によるスイッチ アクセスの制御を参照)

RADIUS(詳細については、RADIUSによるスイッチ アクセスの制御を参照)

ローカル認証および許可(詳細については、スイッチのローカル認証および許可の設定を参照)

SSHの詳細については、『 Cisco IOS Security Configuration Guide for Release 12.2 』の「Configuring Secure Shell」を参照してください。


) このソフトウェア リリースのSSH機能はIP Security(IPsec)のサポートはしていません。


SSHの設定

SSHを設定する際には、前もってCisco.comから暗号化ソフトウェア イメージをダウンロードしてください。詳細は、このリリースに対応するリリース ノートを参照してください。

SSHの設定およびSSH設定の表示については、『 Cisco IOS Security Configuration Guide for Release 12.2 』の「Configuring Secure Shell」を参照してください。

システム日時の管理

Network Time Protocol(NTP)などの自動設定方式、または手動設定方式を使用して、スイッチのシステム日時を管理します。


) この章で説明するコマンドの構文および使用方法の詳細については、『Cisco IOS Configuration Fundamentals Command Reference』Release 12.1を参照してください。


ここでは、次の設定手順について説明します。

「システム クロックの概要」

「NTPの概要」

「NTPの設定」

「手動での日時の設定」

システム クロックの概要

時刻サービスの中核となるのはシステム クロックです。このクロックはシステムがスタートアップした瞬間から稼働し、日時を常時監視します。

システム クロックは、次のソースにより設定できます。

NTP

手動設定

システム クロックは、次のサービスに時刻を提供します。

ユーザの show コマンド

ログおよびデバッグ メッセージ

システム クロックは、Universal Time Coordinated(UTC;協定世界時)(別名Greenwich Mean Time [GMT;グリニッジ標準時])に基づいてシステム内部の時刻を常時監視します。ローカルのタイム ゾーンおよび夏時間に関する情報を設定することにより、時刻がローカルのタイム ゾーンに応じて正確に表示されるようにできます。

システム クロックは、時刻に 信頼性がある かどうか(つまり、信頼できると見なされるタイム ソースによって時刻が設定されているか)を常時監視します。信頼性のない場合は、時刻は表示目的でのみ利用され、再配信されません。設定手順については、「手動での日時の設定」を参照してください。

NTPの概要

NTPは、ネットワーク上の装置間の時刻の同期化を目的に設計されています。NTPはUDPで稼働し、UDPはIP上で稼働します。NTPはRFC 1305に規定されています。

NTPネットワークは通常、ラジオ クロックやタイム サーバに接続された原子時計など、信頼できるタイム ソースからその時刻を取得します。そのあと、NTPはネットワークにこの時刻を配信します。NTPはきわめて効率的で、1分間に1パケットを使用するだけで、2台の装置を1ミリ秒以内に同期化することができます。

NTPは、 ストラタム(階層) という概念を使用して、信頼できるタイム ソースと装置が離れているNTPホップを記述します。ストラタム1タイム サーバには、ラジオ クロックまたは原子時計が直接接続されており、ストラタム2タイム サーバは、NTPを使用してストラタム1タイム サーバから時刻を取得します(以降のストラタムも同様です)。NTPが稼働する装置は、タイム ソースとして、NTPを使用して通信するストラタム番号が最小の装置を自動的に選択します。この方法によって、NTP時刻配信の自動編成型ツリーが効率的に構築されます。

NTPでは、同期化されていない装置と同期化しないことによって、時刻が正確でない装置との同期化を防ぎます。また、NTPでは、複数の装置から報告される時刻を比較して、ストラタムの番号が小さくても、時刻が他の装置と大幅に異なる装置とは同期化しません。

NTPが稼働する装置間の通信( アソシエーション )は、通常スタティックに設定されます。各装置には、アソシエーションを作成すべき全装置のIPアドレスが与えられます。アソシエーションのペアとなる装置間でNTPメッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN環境では、代わりにIPブロードキャスト メッセージを使用するようにNTPを設定できます。各装置を、単にブロードキャスト メッセージを送受信するように設定すればよいので、この代替手段によって設定の複雑さが緩和されます。ただし、この場合は、情報の流れは一方向に限られます。

装置上で維持される時刻は、重要なリソースです。NTPのセキュリティ機能を使用して、不正確な時刻が誤ってあるいは意図的に設定されることを防いでください。アクセス リストを使用して制限する方式および暗号化認証メカニズムの、2種類のメカニズムを利用できます。

シスコのNTPではストラタム1サービスをサポートしていないので、ラジオ クロックまたは原子時計に接続できません。ネットワークの時刻サービスは、IPインターネット上のパブリックNTPサーバから取得することを推奨します。図 7-3に、NTPを使用する一般的なネットワーク例を示します。

ネットワークがインターネットから切り離されている場合、シスコのNTPによって、実際には、他の方法で時刻が決定されているにもかかわらず、装置がNTPを使用して同期化しているように動作を設定できます。他の装置は、NTPによりこの装置と同期化されます。

複数のタイム ソースがある場合は、NTPは常に、より信頼性があるとみなされます。NTPの時刻は、他の方法による時刻に優先します。

自社のホスト システムにNTPソフトウェアを組み入れているメーカーが数社あり、また、UNIXシステム用のバージョンやその派生ソフトウェアも一般に入手できます。このソフトウェアによって、ホスト システムも時間が同期化されます。

図 7-3 一般的なNTPネットワークの構成

 

NTPの設定

Catalyst 2950スイッチはハードウェアサポート クロックを備えておらず、外部NTPソースが利用できないときに、ピアが自身を同期化するためのNTPマスター クロックとして機能できません。このスイッチは、カレンダーに対するハードウェアサポートも備えていません。そのため、ntp update-calendarおよび ntp master グローバル コンフィギュレーション コマンドが利用できません。

ここでは、次の設定手順について説明します。

「NTPのデフォルト設定」

「NTP認証の設定」

「NTPアソシエーションの設定」

「NTPブロードキャスト サービスの設定」

「NTPアクセス制限の設定」

「NTPパケット用の送信元IPアドレスの設定」

「NTP設定の表示」

NTPのデフォルト設定

表 7-2 に、NTPのデフォルト設定を示します。

 

表 7-2 NTPのデフォルト設定

機能
デフォルト値

NTP認証

ディセーブル認証鍵は指定されていません。

NTPピアまたはサーバ アソシエーション

設定なし

NTPブロードキャスト サービス

ディセーブル。どのインターフェイスもNTPブロードキャスト パケットを送受信しません。

NTPアクセス制限

アクセス制御は指定されていません。

NTPパケット送信元IPアドレス

送信元アドレスは、発信インターフェイスによって決定されます。

NTPは、すべてのインターフェイスでデフォルトでイネーブルに設定されています。すべてのインターフェイスは、NTPパケットを受信します。

NTP認証の設定

この手順は、NTPサーバの管理者と協調する必要があります。この手順で設定する情報は、時刻をNTPサーバと同期化するためにスイッチが使用するサーバに対応している必要があります。

セキュリティ目的で他の装置とのアソシエーション(正確な時間維持を行うNTP稼働装置間の通信)を認証するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ntp authenticate

デフォルトではディセーブルに設定されているNTP認証機能をイネーブルにします。

ステップ 3

ntp authentication-key number md5 value

認証鍵を定義します。デフォルト設定では何も定義されていません。

number には、鍵の番号を指定します。指定できる範囲は1~4294967295です。

md5 は、Message Digest Algorithm 5(MD5;メッセージ ダイジェスト アルゴリズム5)を使用してメッセージ認証サポートが行われることを指定します。

value には、鍵に対する8文字までの任意のストリングを入力します。

スイッチと装置の双方がいずれかの認証鍵を持ち、 ntp trusted-key key-number コマンドによって鍵番号が指定されていないかぎり、スイッチは装置と同期化しません。

ステップ 4

ntp trusted-key key-number

1つまたは複数の鍵番号(ステップ3で定義したもの)を指定します。ピアNTP装置は、このスイッチと同期化するため、このスイッチへのNTPパケット内にこの鍵番号を設定しなければなりません。

デフォルト設定では、信頼される鍵は定義されていません。

key-number には、ステップ3で定義された鍵を指定します。

このコマンドは、スイッチが、信頼されていない装置と誤って同期化することを防ぎます。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show running-config

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

NTP認証をディセーブルにするには、 no ntp authenticate グローバル コンフィギュレーション コマンドを使用します。認証鍵を削除するには、 no ntp authentication-key number グローバル コンフィギュレーション コマンドを使用します。装置IDの認証をディセーブルにするには、 no ntp trusted-key key-number グローバル コンフィギュレーション コマンドを使用します。

NTPパケットに認証鍵42を設定している装置とだけ同期するようにスイッチを設定する例を以下に示します。

Switch(config)# ntp authenticate
Switch(config)# ntp authentication-key 42 md5 aNiceKey
Switch(config)# ntp trusted-key 42

NTPアソシエーションの設定

NTPアソシエーションは、ピア アソシエーション(スイッチを他の装置に同期化するか、スイッチに対して他の装置を同期化させるかのどちらかが可能)に設定することも、サーバ アソシエーション(スイッチを他の装置に同期化させるのみで、その逆はできない)に設定することもできます。

別の装置とのNTPアソシエーションを形成するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ntp peer ip-address [ version number ] [ key keyid ] [ source interface ] [ prefer ]

または

ntp server ip-address [ version number ] [ key keyid ] [ source interface ] [ prefer ]

スイッチのシステム クロックをピアに同期化するか、ピアによって同期化する(ピア アソシエーション)ように設定します。

または

スイッチのシステム クロックをタイム サーバによって同期化する(サーバ アソシエーション)ように設定します。

ピアまたはサーバ アソシエーションはデフォルトでは定義されていません。

ピア アソシエーションの ip-address には、クロックの同期化を行うまたは同期化の対象となるピアのIPアドレスを指定します。サーバ アソシエーションでは、クロックの同期化を行うタイム サーバのIPアドレスを指定します。

(任意) number には、NTPのバージョン番号を指定します。指定できる範囲は1~3です。デフォルトではバージョン3が選択されています。

(任意) keyid には、 ntp authentication-key グローバル コンフィギュレーション コマンドで定義された認証鍵を入力します。

(任意) interface には、IPの送信元アドレスを取得するインターフェイスを指定します。デフォルトでは、送信元IPアドレスは発信インターフェイスから取得します。

(任意) prefer キーワードを指定すると、このピアまたはサーバが同期化を行う優先ピアまたはサーバになります。このキーワードは、ピアとサーバ間の切り替えを減らします。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

アソシエーションの一端しか設定する必要がありません。もう一方の装置には自動的にアソシエーションが設定されます。デフォルトのNTPバージョン(バージョン3)を使用していて、同期化が発生しない場合は、NTPのバージョン2を使用してください。インターネット上の多くのNTPサーバは、バージョン2で稼働しています。

ピアまたはサーバ アソシエーションを削除するには、 no ntp peer ip-address または no ntp server ip-address グローバル コンフィギュレーション コマンドを使用します。

NTPバージョン2を使用してIPアドレス172.16.22.44のピアのクロックに、システム クロックを同期化するようにスイッチを設定する方法を、以下の例に示します。

Switch(config)# ntp server 172.16.22.44 version 2
 

NTPブロードキャスト サービスの設定

NTPが稼働する装置間の通信( アソシエーション )は、通常静的に設定されます。各装置には、アソシエーションを作成すべき全装置のIPアドレスが与えられます。アソシエーションのペアとなる装置間でNTPメッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN環境では、代わりにIPブロードキャスト メッセージを使用するようにNTPを設定できます。各装置を、単にブロードキャスト メッセージを送受信するように設定すればよいので、この代替手段によって設定の複雑さが緩和されます。ただし、この場合は、情報の流れは一方向に限られます。

ルータのようにネットワーク上で時刻情報をブロードキャストするNTPブロードキャスト サーバがある場合、スイッチはインターフェイスごとにNTPブロードキャスト パケットを送受信できます。スイッチはNTPブロードキャスト パケットをピアへ送信できるので、ピアはそのスイッチに同期化できます。スイッチはNTPブロードキャスト パケットを受信して自身のクロックを同期化することもできます。ここでは、NTPブロードキャスト パケットの送信と受信の両方の手順について説明します。

NTPブロードキャスト パケットをピアに送信して、ピアが自身のクロックをスイッチに同期化するよう、スイッチを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

NTPブロードキャスト パケットを送信するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

ntp broadcast [ version number ] [ key keyid ] [ destination-address ]

NTPブロードキャスト パケットをピアに送信するインターフェイスをイネーブルにします。

デフォルトでは、この機能はすべてのインターフェイスでディセーブルです。

(任意) number には、NTPのバージョン番号を指定します。指定できる範囲は1~3です。バージョンを指定しなかった場合は、バージョン3が使用されます。

(任意) keyid には、ピアにパケットを送信するときに使用する認証鍵を指定します。

(任意) destination-address には、スイッチにクロックを同期化しているピアのIPアドレスを指定します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ステップ 7

次の手順で説明するように、接続されているピアがNTPブロードキャスト パケットを受信するように設定します。

インターフェイスによるNTPブロードキャスト パケットの送信をディセーブルにするには、 no ntp broadcast インターフェイス コンフィギュレーション コマンドを使用します。

インターフェイスがNTPバージョン2パケットを送信するように設定する例を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ntp broadcast version 2
 

接続したピアからNTPブロードキャスト パケットを受信するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

NTPブロードキャスト パケットを受信するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

ntp broadcast client

インターフェイスがNTPブロードキャスト パケットを受信できるようにします。

デフォルトでは、インターフェイスはNTPブロードキャスト パケットを受信しません。

ステップ 4

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 5

ntp broadcastdelay microseconds

(任意)スイッチとNTPブロードキャストサーバとの間の予測されるラウンドトリップ遅延を変更します。

デフォルトは3000マイクロ秒です。指定できる範囲は1~999999です。

ステップ 6

end

イネーブルEXECモードに戻ります。

ステップ 7

show running-config

設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

インターフェイスによるNTPブロードキャスト パケットの受信をディセーブルにするには、 no ntp broadcast client インターフェイス コンフィギュレーション コマンドを使用します。予測されるラウンドトリップ遅延をデフォルト設定に変更するには、 no ntp broadcastdelay グローバル コンフィギュレーション コマンドを使用します。

インターフェイスがNTPブロードキャスト パケットを受信するように設定する例を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ntp broadcast client
 

NTPアクセス制限の設定

以降で説明するように、2つのレベルでNTPアクセスを制御できます。

「アクセス グループの作成と基本IPアクセス リストの割り当て」

「特定のインターフェイスでのNTPサービスのディセーブル化」

アクセス グループの作成と基本IPアクセス リストの割り当て

アクセス リストを使用してNTPサービスへのアクセスを制御するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ntp access-group { query-only | serve-onl y | serve | peer } access-list-number

アクセス グループを作成し、基本IPアクセス リストを割り当てます。

キーワードの意味は次のとおりです。

query-only ― NTP制御クエリに限り許可します。

serve-only ― 時刻要求に限り許可します。

serve ― 時刻要求とNTP制御クエリは許可しますが、スイッチがリモート装置と同期化することは許可しません。

peer ― 時刻要求とNTP制御クエリを許可し、スイッチがリモート装置と同期化することを許可します。

access-list-number には、1~99の範囲で標準のIPアクセス リスト番号を入力します。

ステップ 3

access-list access-list-number permit source [ source-wildcard ]

アクセス リストを作成します。

access-list-number には、ステップ2で指定した番号を入力します。

permit キーワードを入力すると、条件が一致した場合にアクセスを許可します。

source には、スイッチへのアクセスが許可された装置のIPアドレスを入力します。

(任意) source-wildcard には、送信元に適用するワイルドカード ビットを入力します。


) アクセス リストを作成するときは、アクセス リストの末尾に暗黙の拒否(deny)ステートメントがデフォルトで存在し、それ以前のステートメントで一致が見つからなかったすべてのパケットに適用されることに注意してください。


ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

アクセス グループのキーワードは、最小の制限から最大の制限に、次の順序でスキャンされます。

1. peer ― 時刻要求とNTP制御クエリを許可し、さらに、スイッチが、アクセス リストの基準を満たすアドレスを持つ装置と同期化することを許可します。

2. serve ― 時刻要求とNTP制御クエリを許可しますが、スイッチが、アクセス リストの基準を満たすアドレスを持つ装置と同期化することを許可しません。

3. serve-only ― アクセス リストの基準を満たすアドレスを持つ装置からの時刻要求に限り許可します。

4. query-only ― アクセス リストの基準を満たすアドレスを持つ装置からのNTP制御クエリに限り許可します。

複数のアクセス タイプについて送信元IPアドレスがアクセス リストに一致する場合は、最初のタイプが認可されます。アクセス グループが指定されなかった場合は、すべてのアクセス タイプがすべての装置に認可されます。いずれかのアクセス グループが指定されている場合は、指定されたアクセス タイプに限り認可されます。

スイッチNTPサービスに対するアクセス制御を削除するには、 no ntp access-group { query-only | serve-only | serve | peer }グローバル コンフィギュレーション コマンドを使用します。

次に、スイッチがアクセス リスト99からのピアに同期化できるように設定する例を示します。ただし、スイッチはアクセス リスト42に対してはアクセスを制限し、時刻要求に限り許可します。

Switch# configure terminal
Switch(config)# ntp access-group peer 99
Switch(config)# ntp access-group serve-only 42
Switch(config)# access-list 99 permit 172.20.130.5
Switch(config)# access list 42 permit 172.20.130.6
 

特定のインターフェイスでのNTPサービスのディセーブル化

NTPサービスは、すべてのインターフェイスでデフォルトでイネーブルに設定されています。

インターフェイス上でNTPパケットの受信をディセーブルにするには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

インターフェイス コンフィギュレーション モードを開始し、ディセーブルにするインターフェイスを指定します。

ステップ 3

ntp disable

インターフェイス上でNTPパケットの受信をディセーブルにします。

デフォルトでは、すべてのインターフェイスはNTPパケットを受信します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

インターフェイス上でNTPパケットの受信を再度イネーブルにするには、 no ntp disable インターフェイス コンフィギュレーション コマンドを使用します。

NTPパケット用の送信元IPアドレスの設定

スイッチがNTPパケットを送信すると、送信元IPアドレスは、通常NTPパケットが送信されたインターフェイスのアドレスに設定されます。すべてのNTPパケットに特定の送信元IPアドレスを使用する場合は、 ntp source グローバル コンフィギュレーション コマンドを使用します。アドレスは指定されたインターフェイスから取得します。インターフェイス上のアドレスを返信パケット用の宛先として使用できない場合に、このコマンドは便利です。

送信元IPアドレスを取得する特定のインターフェイスを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ntp source type number

IP送信元アドレスを取得するインターフェイスのタイプと番号を指定します。

デフォルトでは、送信元アドレスは、発信インターフェイスによって決定されます。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

指定されたインターフェイスは、すべての宛先に送信されるすべてのパケットの送信元アドレスに使用されます。送信元アドレスを特定のアソシエーションに使用する場合は、「NTPアソシエーションの設定」に説明したように、 ntp peer または ntp server グローバル コンフィギュレーション コマンドの source キーワードを使用します。

NTP設定の表示

次の2つのイネーブルEXECコマンドを使用してNTP情報を表示できます。

show ntp associations [ detail ]

show ntp status

この出力に表示されるフィールドの詳細については、『 Cisco IOS Configuration Fundamentals Command Reference』Release 12.1 を参照してください。

手動での日時の設定

他のタイム ソースが利用できない場合は、システムの再起動後、手動で日時を設定できます。時刻は、次にシステムを再起動するまで正確です。手動設定は最後の手段としてのみ使用することを推奨します。スイッチを同期化できる外部ソースがある場合は、手動でシステム クロックを設定する必要はありません。

ここでは、次の設定手順について説明します。

「システム クロックの設定」

「日時設定の表示」

「タイム ゾーンの設定」

「夏時間の設定」

システム クロックの設定

ネットワーク上に、NTPなどの時刻サービスを提供する外部ソースがある場合は、手動でシステム クロックを設定する必要がありません。

システム クロックを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

clock set hh : mm : ss day month year

または

clock set hh : mm : ss month day year

次のいずれかのフォーマットで、手動でシステム クロックを設定します。

hh : mm : ss には、時刻を時間(24時間形式)、分、秒で指定します。指定された時刻は、設定されたタイム ゾーンに基づきます。

day には、当月の日付で日を指定します。

month には、月を名前で指定します。

year には、年を指定します(省略なし)。

ステップ 2

show running-config

設定を確認します。

ステップ 3

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次の例は、システム クロックを手動で2001年の7月23日午後1時32分に設定する方法を示します。

Switch# clock set 13:32:00 23 July 2001
 

日時設定の表示

日時の設定を表示するには、 show clock [ detail ]イネーブルEXECコマンドを使用します。

システムク ロックは、信頼性がある(正確であると信じられる)かどうかを示す authoritative フラグを維持します。システム クロックがタイミング ソースによって設定されている場合は、フラグを設定します。時刻が信頼できないものである場合は、表示目的でのみ使用されます。クロックが信頼できず、 authoritative フラグも設定されていなければ、ピアの時刻が無効でも、フラグはピアがクロックと同期しないようにします。

show clock の表示の前にある記号は、次の意味があります。

* ― 時刻は信頼できません。

(空白) ― 時刻は信頼できます。

. ― 時刻は信頼できますが、NTPは同期していません。

タイム ゾーンの設定

手動でタイム ゾーンを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

clock timezone zone hours-offset [ minutes-offset ]

タイム ゾーンを設定します。

スイッチは内部時刻をUniversal Time Coordinated(UTC)で管理するので、このコマンドは表示目的の場合および手動で時刻を設定した場合に限って使用します。

zone には、標準時間が施行されているときに表示されるタイムゾーンの名前を入力します。デフォルトの設定はUTCです。

hours-offset には、UTCからの時差を入力します。

(任意) minutes-offset には、UTCからの分差を入力します。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

clock timezone グローバル コンフィギュレーション コマンドの minutes-offset 変数は、現地のタイム ゾーンとUTCとの時差が分単位である場合に利用できます。たとえば、カナダ大西洋沿岸のある区域のタイム ゾーン(AST[大西洋標準時])はUTC-3.5です。この場合、3は3時間、.5は50パーセントを意味します。この場合、必要なコマンドは clock timezone AST -3 30 です。

時刻をUTCに設定するには、 no clock timezone グローバル コンフィギュレーション コマンドを使用します。

夏時間の設定

毎年特定の曜日に夏時間が開始し終了する地域に夏時間を設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

clock summer-time zone recurring [ week day month hh : mm week day month hh : mm [ offset ]]

毎年指定された日に開始および終了する夏時間を設定します。

夏時間はデフォルトでディセーブルに設定されています。パラメータなしで clock summer-time zone recurring を指定すると、夏時間の規則は米国の規則をデフォルトにします。

zone には、夏時間が施行されているときに表示されるタイム ゾーンの名前(たとえばPDT)を入力します。

(任意) week には、月の何番目の週かを指定します(1~5、または last )。

(任意) day には、曜日を指定します(Sunday、Mondayなど)。

(任意) month には、月を指定します(January、Februaryなど)。

(任意) hh : mm には、時刻を時間(24時間形式)と分で指定します。

(任意) offset には、夏時間の間、追加する分の数を指定します。デフォルト値は60です。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2番目の部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりあとの場合は、システムでは南半球にいると見なされます。

次の例は、夏時間が4月の第一日曜の2時に始まり、10月の最終日曜の2時に終わるように指定する方法を示します。

Switch(config)# clock summer-time PDT recurring 1 Sunday April 2:00 last Sunday October 2:00
 

ユーザの居住地域の夏時間が定期的なパターンに従わない(次の夏時間のイベントの正確な日時を設定する)場合は、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

clock summer-time zone date [ month date year hh : mm month date year hh : mm [ offset ]]

または

clock summer-time zone date [ date month year hh : mm date month year hh : mm [ offset ]]

最初の日付で夏時間開始の日付を、2番目の日付で終了の日付を設定します。

夏時間はデフォルトでディセーブルに設定されています。

zone には、夏時間が施行されているときに表示されるタイム ゾーンの名前(たとえばPDT)を入力します。

(任意) week には、月の何番目の週かを指定します(1~5、または last )。

(任意) day には、曜日を指定します(Sunday、Mondayなど)。

(任意) month には、月を指定します(January、Februaryなど)。

(任意) hh : mm には、時刻を時間(24時間形式)と分で指定します。

(任意) offset には、夏時間の間、追加する分の数を指定します。デフォルト値は60です。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2番目の部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりあとの場合は、システムでは南半球にいると見なされます。

夏時間をディセーブルにするには、 no clock summer-time グローバル コンフィギュレーション コマンドを使用します。

次の例は、夏時間が2000年10月12日の2時に始まり、2001年4月26日の2時に終わるよう設定する方法を示します。

Switch(config)# clock summer-time pdt date 12 October 2000 2:00 26 April 2001 2:00
 

システム名およびプロンプトの設定

スイッチにシステム名を設定して特定します。デフォルトでは、システム名およびプロンプトは Switch です。

システム プロンプトを設定していない場合は、システム名の最初の20文字をシステム プロンプトとして使用します。不等号(>)が付加されます。システム名が変更されると、 prompt グローバル コンフィギュレーション コマンドを使用して手動でプロンプトを設定していないかぎり、プロンプトはいつでも更新されます。


) この章で説明するコマンドの構文および使用方法の詳細については、『Cisco IOS Configuration Fundamentals Command Reference』および『Cisco IOS IP and IP Routing Command Reference for Release 12.1』を参照してください。


ここでは、次の設定手順について説明します。

「デフォルトのシステム名およびプロンプトの設定」

「システム名の設定」

「システム プロンプトの設定」

「DNSの概要」

デフォルトのシステム名およびプロンプトの設定

デフォルトのスイッチのシステム名およびプロンプトは Switch です。

システム名の設定

手動でシステム名を設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

hostname name

手動でシステム名を設定します。

デフォルト設定は switch です。

名前はARPANETホスト名の規則に従う必要があります。この規則ではホスト名は文字で始まり、文字または数字で終わり、その間には文字、数字、またはハイフンしか使用できません。名前には63文字まで使用できます。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-confi g

(任意)コンフィギュレーション ファイルに設定を保存します。

システム名を設定すると、システム プロンプトとしても使用されます。 prompt グローバル コンフィギュレーション コマンドを使用すると、プロンプトの設定を上書きできます。

デフォルトのホスト名に戻すには、 no hostname グローバル コンフィギュレーション コマンドを使用します。

システム プロンプトの設定

手動でシステム プロンプトを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

prompt string

コマンドライン プロンプトを設定して、 hostname コマンドでの設定を上書きします。

デフォルトのプロンプトは、 switch または hostname グローバル コンフィギュレーション コマンドで定義された名前で、そのあとにユーザEXECモードの場合はかぎカッコ(>)、イネーブルEXECモードの場合はポンド記号(#)が続きます。

プロンプトは、すべての印刷文字およびエスケープ シーケンスで構成できます。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

デフォルトのプロンプトに戻すには、 no prompt [ string ]グローバル コンフィギュレーション コマンドを使用します。

DNSの概要

Domain Name System(DNS;ドメイン ネーム システム)プロトコルは、分散型データベースDNSを制御し、これによりホスト名をIPアドレスに対応づけできます。スイッチ上にDNSを設定すると、 ping telnet connect などのすべてのIPコマンドや、関連するTelnetサポート操作時に、IPアドレスの代わりにホスト名を使用できます。

IPによって定義される階層型の命名方式では、装置を場所またはドメインで特定することができます。ドメイン名の区切りとしては、ピリオド(.)を使用します。たとえば、シスコシステムズは、IPで com というドメイン名に分類される商業組織なので、ドメイン名は cisco.com となります。このドメイン内の特定のデバイス、たとえばFTP(ファイル転送プロトコル)システムは、 ftp.cisco.com で表されます。

IPではドメイン名を把握するために、ドメイン ネーム サーバという概念が定義されています。ドメイン ネーム サーバの役割は、名前からIPアドレスへのマッピングをキャッシュ(またはデータベース)に保存することです。ドメイン名をIPアドレスに対応づけるには、まず、ホスト名を明示し、ネットワーク上に存在するネーム サーバを指定し、DNSをイネーブルにします。

ここでは、次の設定手順について説明します。

「DNSのデフォルト設定」

「DNSの設定」

「DNSの設定の表示」

DNSのデフォルト設定

表 7-3 に、DNSのデフォルト設定を示します。

 

表 7-3 DNSのデフォルト設定

機能
デフォルト値

DNSイネーブル ステート

イネーブル

DNSデフォルト ドメイン名

設定なし

DNSサーバ

ネーム サーバのアドレスの設定なし

DNSの設定

DNSを使用するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip domain-name name

未修飾のホスト名(ドット付き10進表記ドメイン名のない名前)を完成させるためにソフトウェアが使用する、デフォルトのドメイン名を定義します。

ドメイン名を未修飾の名前から区切るために使用される最初のピリオドは入れないでください。

起動時にはドメイン名は設定されていませんが、BOOTPまたはDynamic Host Configuration Protocol(DHCP)サーバからスイッチ コンフィギュレーションを取得している場合は、BOOTPまたはDHCPサーバによってデフォルトのドメイン名が設定されることがあります(サーバにこの情報が設定されている場合)。

ステップ 3

ip name-server server-address1 [ server-address2 ... server-address6 ]

1つまたは複数のネーム サーバのアドレスを指定して、名前およびアドレスの解決に使用します。

最大6つのネーム サーバを指定できます。各サーバ アドレスはスペースで区切ります。最初に指定されたサーバが、プライマリ サーバです。スイッチは、最初にプライマリ サーバにDNSクエリを送信します。そのクエリが失敗した場合は、バックアップ サーバにクエリが送信されます。

ステップ 4

ip domain-lookup

(任意)スイッチ上で、DNSベースのホスト名のアドレスへの変換をイネーブルにします。この機能は、デフォルトでイネーブルに設定されています。

ユーザのネットワーク装置が、名前の割り当てを制御できないネットワーク内の装置と接続する必要がある場合、グローバルなインターネットのネーミング方式(DNS)を使用して、ユーザの装置を一意に特定する装置名を動的に割り当てることができます。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show running-config

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

スイッチのIPアドレスをそのホスト名として使用する場合は、IPアドレスが使用され、DNSクエリは発生しません。ピリオド(.)なしでホスト名を設定すると、ピリオドと、それに続くデフォルトのドメイン名がホスト名に追加され、そのあとでDNSクエリが行われ、名前をIPアドレスに対応づけます。デフォルトのドメイン名は、 ip domain-name グローバル コンフィギュレーション コマンドによって設定される値です。ホスト名にピリオド(.)がある場合は、IOSソフトウェアは、ホスト名にデフォルトのドメイン名を追加せずにIPアドレスを検索します。

ドメイン名を削除するには、 no ip domain-name name グローバル コンフィギュレーション コマンドを使用します。ネームサーバのアドレスを削除するには、 no ip name-server server-address グローバル コンフィギュレーション コマンドを使用します。スイッチ上のDNSをディセーブルにするには、 no ip domain-lookup グローバル コンフィギュレーション コマンドを使用します。

DNSの設定の表示

DNS設定情報を表示するには、 show running-config イネーブルEXECコマンドを使用します。

バナーの作成

MoTD(Message-of-The-Day)バナーおよびログイン バナーを作成できます。MoTDバナーはログイン時に接続しているすべての端末で表示され、すべてのネットワーク ユーザを対象としたメッセージ(システム終了予告など)を送信するのに便利です。

ログイン バナーも、接続しているすべての端末で表示されます。表示されるのは、MoTDバナーのあとで、ログイン プロンプトが表示される前です。


) この章で説明するコマンドの構文および使用方法の詳細については、『Cisco IOS Configuration Fundamentals Command Reference』Release 12.1を参照してください。


ここでは、次の設定手順について説明します。

「バナーのデフォルト設定」

「MoTDログイン バナーの設定」

「ログイン バナーの設定」

バナーのデフォルト設定

MoTDおよびログイン バナーは設定されません。

MoTDログイン バナーの設定

あるユーザがスイッチにログインしたときに、画面に表示される1行または複数行のメッセージ バナーを作成できます。

MoTDログイン バナーを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

banner motd c message c

MoTDバナーを指定します。

c には、任意の区切り文字、たとえばポンド記号(#)を入力して、 Return キーを押します。区切り文字はバナー テキストの始まりと終わりを表します。終わりの区切り文字のあとの文字は廃棄されます。

message には、255文字までのバナー メッセージを入力します。メッセージ内には区切り文字を使用できません。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

MoTDバナーを削除するには、 no banner motd グローバル コンフィギュレーション コマンドを使用します。

次に、ポンド記号(#)を開始および終了の区切り文字として使用し、スイッチのMoTDバナーを設定する方法を示します。

Switch(config)# banner motd #
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
#
Switch(config)#
 

次に、前の設定により表示されたバナーを示します。

Unix> telnet 172.2.5.4
Trying 172.2.5.4...
Connected to 172.2.5.4.
Escape character is '^]'.
 
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
 
User Access Verification
 
Password:
 

ログイン バナーの設定

接続されたすべての端末でログイン バナーが表示されるように設定できます。バナーが表示されるのは、MoTDバナーのあとで、ログイン プロンプトが表示される前です。

ログイン バナーを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

banner login c message c

ログイン メッセージを指定します。

c には、任意の区切り文字、たとえばポンド記号(#)を入力して、 Return キーを押します。区切り文字はバナー テキストの始まりと終わりを表します。終わりの区切り文字のあとの文字は廃棄されます。

message には、255文字までのログイン メッセージを入力します。メッセージ内には区切り文字を使用できません。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ログイン バナーを削除するには、 no banner login グローバル コンフィギュレーション コマンドを使用します。

次の例は、ドル記号($)を開始および終了の区切り文字として使用し、スイッチのログイン バナーを設定する方法を示します。

Switch(config)# banner login $
Access for authorized users only. Please enter your username and password.
$
Switch(config)#
 

MACアドレス テーブルの管理

MAC(メディア アクセス制御)アドレス テーブルには、スイッチがポート間のトラフィック転送に使用するアドレス情報が含まれています。このアドレス テーブルに登録されたすべてのMACアドレスは、1つまたは複数のポートに対応しています。アドレス テーブルに含まれるアドレス タイプには、次のものがあります。

ダイナミック アドレス ― スイッチが学習し、使用されなくなった時点で期限切れとなる送信元MACアドレス

スタティック アドレス ― 手動で入力され、期限切れにならず、スイッチのリセット時にも消去されないユニキャストまたはマルチキャスト アドレス

アドレス テーブルは、宛先MACアドレス、対応するVLAN ID、およびアドレスに対応づけられたポート番号を保持します。


) この章で使用されるコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスを参照してください。


ここでは、次の設定手順について説明します。

「アドレス テーブルの作成」

「MACアドレスおよびVLAN」

「MACアドレス テーブルのデフォルト設定」

「アドレス エージング タイムの変更」

「ダイナミック アドレス エントリの削除」

「MACアドレス通知トラップの設定」

「スタティック アドレス エントリの追加および削除」

「セキュア アドレスの追加および削除」

「アドレス テーブル エントリの表示」

アドレス テーブルの作成

すべてのポートでサポートされる複数のMACアドレスによって、スイッチの任意のポートを各ワークステーション、リピータ、スイッチ、ルータ、あるいはその他のネットワーク装置に接続できます。各ポートで受信するパケットの送信元アドレスを取得し、アドレステ ーブルにアドレスとその対応するポート番号を追加することによって、スイッチは動的なアドレス指定を行います。ネットワークでステーションの増設または取り外しが行われると、スイッチはアドレス テーブルを更新し、新しいダイナミック アドレスを追加し、使用されていないアドレスは期限切れにします。

有効期間はスイッチごとに設定します。ただし、スイッチはVLANごとにアドレス テーブルをメンテナンスし、STPによってVLANごとの有効期間を短縮することができます。

スイッチは、受信したパケットの宛先アドレスに基づいて、任意の組み合わせのポート間でパケットを送信します。MACアドレス テーブルを使用することによって、スイッチは、宛先アドレスに対応づけられたポートにのみ、パケットを転送します。宛先アドレスがパケットを送信したポート上にある場合は、パケットはフィルタリング処理され、転送されません。スイッチは、常にストア アンド フォワード方式を使用します。このため、完全なパケットをいったん保管してエラーがないか検査してから伝送します。

MACアドレスおよびVLAN

アドレスはすべて、VLANと対応づけられます。1つのアドレスを複数のVLANに対応づけ、それぞれで異なる宛先を設定することができます。たとえば、VLAN 1のポート1、およびVLAN 5のポート9、10、11を宛先とするマルチキャスト アドレスを設定できます。

VLANごとに、独自の論理アドレス テーブルが維持されます。あるVLANで認識されているアドレスが別のVLANで認識されるには、別のVLAN内のポートによって学習されるか、または別のVLAN内のポートにスタティックに対応づけられる必要があります。あるVLANでスタティックとして入力するアドレスは、他のすべてのVLANでもスタティック アドレスで設定するか、他のVLANで認識されない状態のままでなければなりません。

MACアドレス テーブルのデフォルト設定

表 7-4 に、MACアドレス テーブルのデフォルト設定を示します。

 

表 7-4 MACアドレス テーブルのデフォルト設定

機能
デフォルト値

エージング タイム

300秒

ダイナミック アドレス

自動学習

スタティック アドレス

設定なし

アドレス エージング タイムの変更

ダイナミック アドレスは、スイッチが学習し、使用されなくなると期限切れになる送信元MACアドレスです。すべてのVLANまたは指定されたVLANに対して、エージング タイムの設定を変更できます。

エージング タイムを短く設定しすぎると、アドレスが活用されないままテーブルから削除される可能性があります。その場合、スイッチは宛先が不明のパケットを受信すると、受信ポートと同じVLAN内のすべてのポートに、そのパケットをフラッディングさせます。この不必要なフラッディングによって、パフォーマンスに悪影響を及ぼす可能性があります。また、エージング タイムを長く設定しすぎると、アドレステーブルが未使用のアドレスでいっぱいになり、これによって新しいアドレスを学習できなくなります。この結果フラッディングとなり、スイッチのパフォーマンスに悪影響を与える可能性があります。

ダイナミック アドレス テーブルのエージング タイムを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

mac address-table aging-time [ 0 | 10-1000000 ] [ vlan vlan-id ]

ダイナミック エントリが使用または更新されたあと、MACアドレステーブル内に保持される時間を設定します。

指定できる範囲は10~1000000秒です。デフォルトは300秒です。0を入力して期限切れをディセーブルにすることもできます。スタティック アドレスは、期限切れになることもテーブルから削除されることもありません。

vlan-id を指定する場合、有効なIDはEI(拡張ソフトウェア イメージ)がインストールされているときは1~4094で、SI(標準ソフトウェア イメージ)がインストールされているときは1~1005です。先行ゼロは入力しないでください。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show mac address-table aging-time

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

デフォルト値に戻すには、 no mac address-table aging-time グローバル コンフィギュレーション コマンドを使用します。

ダイナミック アドレス エントリの削除

ダイナミック エントリをすべて削除するには、イネーブルEXECモードで clear mac address-table dynamic コマンドを使用します。特定のMACアドレス( clear mac address-table dynamic address mac-address )、指定された物理ポートまたはポートチャネル上のすべてのアドレス( clear mac address-table dynamic interface interface-id )、または指定されたVLAN上のすべてのアドレス( clear mac address-table dynamic vlan vlan-id )の削除もできます。

ダイナミック エントリが削除されたことを確認するには、 show mac address-table dynamic イネーブルEXEC コマンドを使用します。

MACアドレス通知トラップの設定

MACアドレス通知によって、スイッチにMACアドレス アクティビティを保存することでネットワーク上のユーザを追跡できます。スイッチがMACアドレスを学習または削除すると常に、SNMP通知を生成してNMSに送信させることができます。ネットワークから多数のユーザの出入りがある場合は、トラップ インターバル タイムを設定して通知トラップを組み込み、ネットワーク トラフィックを削減できます。MAC通知履歴テーブルは、トラップがイネーブルに設定されたハードウェアのポートごとのMACアドレス アクティビティを保存します。MACアドレス通知は、動的でセキュアなMACアドレスについて生成されます。自己アドレス、マルチキャスト アドレス、またはその他のスタティック アドレスについては、イベントは生成されません。

NMSホストにMACアドレス通知トラップを送信するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

snmp-server host host-addr { traps | informs } { version { 1 | 2c | 3 }} community-string notification-type

トラップ メッセージの受信側を指定します。

hos-addr には、NMSの名前またはIPアドレスを指定します。

SNMPトラップをホストに送信するには、 traps (デフォルト)を指定します。SNMP情報をホストに送信するには、 informs を指定します。

サポートするSNMPバージョンを指定します。informsにはバージョン1(デフォルト)を使用できません。

community-string には、通知動作時に送信するストリングを指定します。 snmp-server host コマンドを使用してこのストリングを設定できますが、このストリングを定義するには、 snmp-server community コマンドを使用し、次に snmp-server host コマンドを使用することを推奨します。

notification-type には、 mac-notification キーワードを使用します。

ステップ 3

snmp-server enable traps mac-notification

スイッチがMACアドレス トラップをNMSに送信できるようにします。

ステップ 4

mac address-table notification

MACアドレス通知機能をイネーブルにします。

ステップ 5

mac address-table notification [ interval value ] | [ history-size value ]

トラップ インターバル タイムと履歴テーブルのサイズを入力します。

(任意) interval value には、NMSに対して生成される各トラップ セット間の通知トラップ インターバルを秒単位で指定します。指定できる範囲は0~2147483647秒です。デフォルトは1秒です。

(任意) history-size value には、MAC通知履歴テーブルの最大エントリ数を指定します。指定できる範囲は0~500です。デフォルトは1です。

ステップ 6

interface interface-id

インターフェイス コンフィギュレーション モードを開始し、SNMP MACアドレス通知トラップをイネーブルにするインターフェイスを指定します。

ステップ 7

snmp trap mac-notification { added | removed }

MACアドレス通知トラップをイネーブルにします。

このインターフェイスにMACアドレスが 追加された(added) ときはいつでも、MACアドレス通知トラップをイネーブルにします。

このインターフェイスからMACアドレスが 削除された(removed) ときはいつでも、MACアドレス通知トラップをイネーブルにします。

ステップ 8

end

イネーブルEXECモードに戻ります。

ステップ 9

show mac address-table notification interface

show running-config

設定を確認します。

ステップ 10

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

スイッチによるMACアドレス通知トラップの送信をディセーブルにするには、 no snmp-server enable traps mac-notification グローバル コンフィギュレーション コマンドを使用します。特定のインターフェイス上でMACアドレス通知トラップをディセーブルにするには、 no snmp trap mac-notification { added | removed } インターフェイス コンフィギュレーション コマンドを使用します。MACアドレス通知機能をディセーブルにするには、 no mac address-table notification グローバル コンフィギュレーション コマンドを使用します。

次に、NMSとして172.20.10.10を指定し、スイッチによるNMSへのMACアドレス通知トラップの送信をイネーブルにし、MACアドレス通知機能をイネーブルにし、インターバルを60秒、履歴サイズを100エントリに設定し、インターフェイスFast Ethernet 0/4でMACアドレスが追加された場合のトラップをイネーブルにする例を示します。

Switch(config)# snmp-server host 172.20.10.10 traps private
Switch(config)# snmp-server enable traps mac-notification
Switch(config)# mac address-table notification
Switch(config)# mac address-table notification interval 60
Switch(config)# mac address-table notification history-size 100
Switch(config)# interface fastethernet0/4
Switch(config-if)# snmp trap mac-notification added
 

これまでのコマンドを確認するには、 show mac address-table notification interface および show mac address-table notification イネーブルEXECコマンドを入力します。

スタティック アドレス エントリの追加および削除

スタティック アドレスには、次の特性があります。

アドレス テーブルへの追加およびアドレス テーブルからの削除は、手動で行う必要があります。

ユニキャスト アドレスまたはマルチキャスト アドレスとして設定できます。

期限切れになることはなく、スイッチが再起動しても維持されます。

スタティック アドレスを追加および削除することができ、また、スタティック アドレスの転送動作を定義することができます。転送動作は、パケットを受信したポートが、別のポートにパケットを転送する動作を決定します。ポートは必ず最低1つのVLANと対応しているので、スイッチは指定されたポートから、アドレスに対応するVLAN IDを取得します。送信元ポートごとに、それぞれ異なる宛先ポートのリストを指定できます。

あるVLANにおけるスタティック アドレスは、他のVLANでもスタティック アドレスでなければなりません。特定のアドレスがスタティックとして入力されていないVLANに、そのスタティック アドレスを持つパケットが到着すると、すべてのポートにパケットがフラッディングされ、学習されません。

アドレス テーブルにスタティック アドレスを追加するには、宛先MACアドレス(ユニキャストまたはマルチキャスト)と、その宛先のVLANを指定します。この宛先アドレスで受信したパケットは、 interface-id オプションで指定されたインターフェイスに転送されます。

スタティック アドレスを追加するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

mac address-table static mac-addr vlan vlan-id interface interface-id

MACアドレス テーブルにスタティック アドレスを追加します。

mac-addr には、アドレス テーブルに追加する宛先MACアドレス(ユニキャストまたはマルチキャスト)を指定します。この宛先アドレスを持つパケットが指定したVLANに着信すると、指定したインターフェイスに転送されます。

vlan-id には、指定したMACアドレスを持つパケットを受信するVLANを指定します。EIがインストールされている場合、指定できるVLAN IDは1~4094です。SIがインストールされている場合は1~1005です。先行ゼロは入力しません。

interface-id には、受信したパケットの転送先インターフェイスを指定します。指定できるインターフェイスとして、物理ポートも含まれます。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show mac address-table static

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

アドレス テーブルからスタティック エントリを削除するには、no mac address-table static mac-addr vlan vlan-id interface interface-id グローバル コンフィギュレーション コマンドを使用します。

次の例は、MACアドレス テーブルにスタティック アドレスc2f3.220a.12f4を追加する方法を示します。VLAN 4でこのMACアドレスを宛先アドレスとしてパケットを受信すると、パケットは指定されたインターフェイスに転送されます。

Switch(config)# mac address-table static c2f3.220a.12f4 vlan 4 interface gigabitethernet0/1
 

セキュア アドレスの追加および削除

セキュア アドレスは、手動で入力されたユニキャスト アドレス、または動的に学習されたアドレスであり、VLANごとに1つのポートだけに転送されます。すでに別のポートに割り当てられているスタティック アドレスを入力すると、要求は拒否されます。

設定されたセキュア アドレス数がポートの上限に達していない場合、セキュア アドレスの動的な学習が可能です。

スティッキー ラーニング をイネーブルにすると、ダイナミックMACアドレスを スティッキー セキュアMACアドレスに変換して実行コンフィギュレーションに追加するように、インターフェイスを設定できます。スティッキー ラーニングがイネーブルの場合、インターフェイスはスティッキー ラーニングがイネーブルになる前に動的に学習したものを含め、あらゆるダイナミック セキュアMACアドレスをスティッキー セキュア MACアドレスに変換します。すべてにスティッキー セキュアMACアドレスが実行コンフィギュレーションに追加されます。詳細は、「セキュアMACアドレス」を参照してください。

セキュア アドレスを追加するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport port-security
mac-address
mac-address

セキュア アドレスを追加します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show port-security

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

セキュア アドレスを削除するには、 no switchport port-security mac-address mac-address グローバル コンフィギュレーション コマンドを使用します。

アドレス テーブル エントリの表示

表 7-5 に示す1つまたは複数のイネーブルEXECコマンドを使用すると、MACアドレス テーブルを表示できます。

 

表 7-5 MACアドレス テーブル表示用のコマンド

コマンド
説明

show mac address-table address

指定されたMACアドレスに対するMACアドレス テーブル情報を表示します。

show mac address-table aging-time

すべてのVLANまたは指定されたVLANの有効期間を表示します。

show mac address-table count

すべてのVLANまたは指定されたVLANに存在するアドレスの数を表示します。

show mac address-table dynamic

ダイナミックMACアドレス テーブル エントリのみを表示します。

show mac address-table interface

指定されたインターフェイスに対するMACアドレス テーブル情報を表示します。

show mac address-table multicast

すべてのVLANまたは指定されたVLANに対するレイヤ2マルチキャスト エントリを表示します。

show mac address-table static

スタティックMACアドレス テーブル エントリのみを表示します。

show mac address-table vlan

指定されたVLANに対するMACアドレス テーブル情報を表示します。

ARPテーブルの管理

装置(イーサネット上の装置など)と通信するには、最初にその装置の48ビットMACアドレス、またはローカル データ リンク アドレスを、ソフトウェアが判別する必要があります。IPアドレスからローカル データ リンク アドレスを判別するプロセスを、アドレス レゾリューションと呼びます。

Address Resolution Protocol(ARP)は、ホストIPアドレスを、該当するメディアまたはMACアドレスおよびVLAN IDに対応づけます。ARPは入力としてIPアドレスを受け取り、対応するMACアドレスを判別します。MACアドレスが判別されると、IPとMACアドレスとの対応をARPキャッシュに格納し、すばやく検索できるようにします。その後、IPデータグラムがリンク レイヤ フレームにカプセル化され、ネットワークを通じて送信されます。イーサネット以外のIEEE 802ネットワークにおけるIPデータグラムのカプセル化およびARP要求/応答については、Subnetwork Access Protocol(SNAP)で規定されています。IPインターフェイスでは、標準的なイーサネット形式のARPカプセル化( arpa キーワードで表される)がデフォルトでイネーブルに設定されています。

手動でテーブルに追加されたARPエントリは期限切れにならないので、手動で削除する必要があります。

CLIの手順については、Cisco.comのCisco IOS Release 12.1マニュアルを参照してください。

スイッチのソフトウェア リリース

スイッチのソフトウェアは、新機能とバグの修正で定期的に更新されており、最新のソフトウェア リリースでご使用のCatalyst 2950スイッチをアップグレードしたいことがあります。新規のソフトウェア リリースはCisco.comに投稿されており、認定代理店を通じて入手できます。シスコでもTFTPサーバを提供しており、Cisco.comからダウンロードできます。

スイッチをアップグレードするには、まずスイッチが実行するソフトウェアのバージョンを突き止める必要があります。それには、 Reports > Inventory を選択するか、 show version ユーザEXECコマンドを使用します。

ソフトウェアのバージョンを知っておくことは、次の場合特に重要です。

互換性(たとえば、スイッチ クラスタの)。

同じソフトウェア イメージを共用しないLREおよび非LRE Catalyst 2950スイッチ。LRE専用イメージは非LREスイッチにインストールできません。非LREイメージはLRE機能を装備していないので、LREスイッチにインストールしてはなりません。

次の事項については、Cisco.comでリリース ノートを参照してください。

スイッチの要件

スイッチのアップグレードの注意事項および手順