Cisco Aironet 1100 シリーズ アクセス ポイント インストレーション コンフィギュレーション ガイド, 12.2(4)JA
アクセス ポイントの管理
アクセス ポイントの管理
発行日;2012/01/15 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

アクセス ポイントの管理

アクセス ポイントへの不正アクセスの防止

イネーブル EXEC コマンドへのアクセスの保護

パスワードおよび権限レベルのデフォルト設定

スタティック イネーブル パスワードの設定または変更

暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護

ユーザ名とパスワードの組み合わせの設定

複数の権限レベルの設定

コマンドの権限レベルの設定

権限レベルへのログインおよび終了

RADIUS によるアクセス ポイント アクセスの制御

RADIUS のデフォルト設定

RADIUS ログイン認証の設定

AAA サーバ グループの定義

ユーザ イネーブル アクセスおよびネットワーク サービス用の RADIUS 許可の設定

RADIUS 設定の表示

ローカル認証および許可用のアクセス ポイントの設定

Secure Shell 用のアクセス ポイントの設定

SSH の概要

SSH の設定

システム日時の管理

システム クロックの概要

Network Time Protocol の概要

NTP の設定

NTP のデフォルト設定

NTP認証の設定

NTP アソシエーションの設定

NTP ブロードキャスト サービスの設定

NTP アクセス制限の設定

NTP パケット用の送信元 IP アドレスの設定

NTP 設定の表示

手動での日時の設定

システム クロックの設定

日時設定の表示

タイムゾーンの設定

夏時間の設定

システム名とプロンプトの設定

デフォルトのシステム名およびプロンプトの設定

システム名の設定

DNS の概要

DNS のデフォルト設定

DNS のセットアップ

DNS 設定の表示

バナーの生成

バナー のデフォルト設定

MOTD ログイン バナーの設定

ログイン バナーの設定

アクセス ポイントへの不正アクセスの防止

不正ユーザによる、アクセス ポイントの再設定や設定情報の閲覧を防止できます。 一般的には、ネットワーク管理者にはアクセス ポイントへのアクセスを許可する一方、ローカル ネットワーク内の端末またはワークステーションから接続するユーザからのアクセスを制限します。

アクセス ポイントへの不正アクセスを防止するには、次のセキュリティ機能のうち 1 つを設定します。

アクセス ポイントにローカル保存されているユーザ名とパスワードの組み合わせ。この組み合わせで各ユーザの認証が行われたあと、そのユーザはアクセス ポイントへアクセスできます。 ユーザ名とパスワードの各組み合わせに対して、特定の権限レベル(読み出しのみ、または読み出し/書込み)を割り当てることができます。 詳細については、「ユーザ名とパスワードの組み合わせの設定」を参照してください。 デフォルトのユーザ名はCiscoで、デフォルトのパスワードはCiscoです。 ユーザ名とパスワードは大文字/小文字の区別があります。

セキュリティ サーバのデータベースに集約的に保存されているユーザ名とパスワードの組み合わせ。 詳細については、「RADIUS によるアクセス ポイント アクセスの制御」を参照してください。

イネーブル EXEC コマンドへのアクセスの保護

ネットワークで端末のアクセス制御を行う簡単な方法は、パスワードを使用して権限レベルを割り当てることです。 パスワード保護によって、ネットワークまたはネットワーク デバイスへのアクセスが制限されます。 権限レベルによって、ネットワーク デバイスにログイン後、ユーザがどのようなコマンドを発行できるかが定義されます。


) ここで説明するコマンドの完全な構文および使用方法の詳細については、『Cisco IOS Security Command Reference for Release 12.1』を参照してください。


ここでは、コンフィギュレーション ファイルおよびイネーブル EXEC コマンドへのアクセスを制御する方法について説明します。 次の設定情報が含まれています。

「パスワードおよび権限レベルのデフォルト設定」

「スタティック イネーブル パスワードの設定または変更」

「暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護」

「ユーザ名とパスワードの組み合わせの設定」

「複数の権限レベルの設定」

パスワードおよび権限レベルのデフォルト設定

表 6-1 に、デフォルトのパスワードと権限レベル設定を示します。

 

表 6-1 デフォルトのパスワードおよび権限レベル

機能
デフォルト設定

ユーザ名とパスワード

デフォルトのユーザ名はCiscoで、デフォルトのパスワードはCisco。

イネーブル パスワードと権限レベル

デフォルトのパスワードは Cisco。 デフォルトはレベル 15 です(イネーブル EXEC レベル)。 パスワードは、コンフィギュレーション ファイル内では暗号化されています。

イネーブル シークレット パスワードと権限レベル

デフォルトのイネーブル パスワードは Cisco。 デフォルトはレベル 15 です(イネーブル EXEC レベル)。 パスワードは、暗号化されてからコンフィギュレーション ファイルに書き込まれます。

回線パスワード

デフォルトのパスワードは Cisco。 パスワードは、コンフィギュレーション ファイル内では暗号化されています。

スタティック イネーブル パスワードの設定または変更

イネーブル パスワードは、イネーブル EXEC モードへのアクセスを制御します。 スタティック イネーブル パスワードを設定または変更するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

enable password password

イネーブル EXEC モードのアクセス用に新しいパスワードを定義するか、既存のパスワードを変更します。

デフォルトのパスワードは Cisco です。

password には、1 ~ 25 の英数字の文字列を指定します。 文字列は数字で始めることはできません。大文字と小文字を区別します。スペースを使用できますが、先行スペースは無視されます。 疑問符(?)は、パスワードを作成する場合に、疑問符の前にキーの組み合わせ Ctrl+V を入力すれば使用できます。たとえば、パスワード abc?123 を作成するときは、次のようにします。

1. abc を入力します。

2. Ctrl+V キーを押します。

3. ?123 を入力します。

システムからイネーブル パスワードを入力するよう求められた場合、疑問符の前に Ctrl+V を入力する必要はなく、パスワードのプロンプトにそのまま abc?123 と入力することができます。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

イネーブル パスワードは暗号化されず、アクセス ポイントのコンフィギュレーション ファイル内では読み取ることができる状態です。


no enable password グローバル コンフィギュレーション コマンドは、イネーブル パスワードを削除しますが、このコマンドを使用する場合は細心の注意が必要です。 イネーブル パスワードを削除すると、EXEC モードからロックアウトされます。


次に、イネーブル パスワードを l1u2c3k4y5 に変更する例を示します。 パスワードは暗号化されておらず、レベル 15 のアクセスが与えられます(従来のイネーブル EXEC モード アクセス)。

AP(config)# enable password l1u2c3k4y5

暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護

追加のセキュリティ レイヤを、特にネットワークを越えるパスワードや Trivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)サーバに保存されているパスワードに対して設定する場合には、 enable password または enable secret グローバル コンフィギュレーション コマンドを使用できます。 両コマンドは共に同じ働きをします。このコマンドにより、暗号化パスワードを設定でき、ユーザがイネーブルEXECモード(デフォルト設定)または指定されている権限レベルにアクセスするには、このパスワードを入力する必要があります。

より高度な暗号化アルゴリズムを使用しているので、 enable secret コマンドを使用することを推奨します。

enable secret コマンドは enable password コマンドに優先します。2つのコマンドが同時に有効になることはありません。

イネーブルおよびイネーブル シークレット パスワードに暗号化を設定するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

enable password [ level level ] { password | encryption-type encrypted- password }

または

enable secret [ level level ] { password | encryption-type encrypted- password }

ステップ 3

service password-encryption

(任意)パスワードを定義するとき、またはコンフィギュレーションを書き込むときに、パスワードを暗号化します。

暗号化によって、コンフィギュレーション ファイルでパスワードが読み取り不能になります。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

イネーブルおよびイネーブル シークレット パスワードの両方が定義されている場合、ユーザはイネーブル シークレット パスワードを入力する必要があります。

特定の権限レベルのパスワードを定義する場合は、 level キーワードを使用します。 レベルを指定してパスワードを設定したら、そのレベルでアクセスする必要のあるユーザだけにそのパスワードを渡してください。 さまざまなレベルでアクセス可能なコマンドを指定する場合は、 privilege level グローバル コンフィギュレーション コマンドを使用します。 詳細については、「複数の権限レベルの設定」を参照してください。

パスワードの暗号化をイネーブルにすると、ユーザ名パスワード、認証鍵パスワード、イネーブル コマンド パスワード、コンソールおよび仮想端末回線パスワードなど、すべてのパスワードに適用されます。

パスワードとレベルを削除するには、 no enable password [ level level ] または no enable secret [ level level ] グローバル コンフィギュレーション コマンドを使用します。 パスワードの暗号化を無効にするには、 no service password-encryption グローバル コンフィギュレーション コマンドを使用します。

イネーブル レベル 2 に対して暗号化パスワード $1$FaD0$Xyti5Rkls3LoyxzS8 を設定する例を示します。

AP(config)# enable secret level 2 5 $1$FaD0$Xyti5Rkls3LoyxzS8

ユーザ名とパスワードの組み合わせの設定

ユーザ名とパスワードの組み合わせを設定できます。これらはアクセス ポイントにローカルに保存されます。 これらの組み合わせは、回線やインターフェイスに割り当てられて、ユーザを認証し、各ユーザがアクセス ポイントにアクセスできるようにします。 権限レベルを定義している場合は、ユーザ名とパスワードの各ペアに、(対応する権利および権限で)特定の権限レベルを割り当てることもできます。

ユーザ名ベースの認証システムを設定するには、イネーブル EXEC モードで次の手順を実行します。この認証システムでは、ログイン ユーザ名とパスワードを要求します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

username name [ privilege level ] { password encryption-type password }

各ユーザのユーザ名、権限レベル、パスワードを入力します。

name には、ユーザ ID を 1 ワードで指定します。 スペースや引用符は使用できません。

(任意) level には、アクセス後ユーザに設定する権限レベルを指定します。 指定できる範囲は 0~15 です。レベル 15 ではイネーブル EXEC モードでのアクセスが可能です。 レベル 1 では、ユーザ EXEC モードでのアクセスとなります。

encryption-type には、暗号化されていないパスワードがあとに続く場合は 0 を入力します。 暗号化されたパスワードがあとに続く場合は 7 を入力します。

password には、ユーザがアクセス ポイントにアクセスする際に入力が必要なパスワードを指定します。 パスワードは 1 ~ 25 文字で、埋め込みスペースを使用でき、 username コマンドの最後のオプションとして指定します。

ステップ 3

login local

ログイン時のローカル パスワード チェックを有効にします。 認証は、ステップ 2 で指定されたユーザ名に基づきます。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

入力を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

特定ユーザのユーザ名認証を無効にするには、 no username name グローバル コンフィギュレーション コマンドを使用します。

パスワード チェックを無効にし、パスワードなしでの接続を可能にするには、 no login ライン コンフィギュレーション コマンドを使用します。


) アクセス ポイントの Telnet セッションを開くには、少なくとも設定済みのユーザ名 1 つとログイン ローカル セットを保有していなければなりません。 一意のユーザ名に対してユーザ名を入力しないと、アクセス ポイントからロックアウトされる可能性があります。


複数の権限レベルの設定

IOS ソフトウェアは、デフォルトで、ユーザ EXEC とイネーブル EXEC という 2 種類のパスワード セキュリティ モードを備えています。 各モードについてコマンドの階層レベルを最大 16 まで設定できます。 複数のパスワードを設定することにより、さまざまなユーザ グループに対して特定のコマンドへのアクセスを許可することができます。

たとえば、多くのユーザに clear line コマンドへのアクセスを許可する場合、そのコマンドにレベル 2 のセキュリティを割り当てて、レベル 2 のパスワードを広範囲のユーザに配布することができます。 また、 configure コマンドへのアクセスは、より制限されたものにしたい場合は、レベル 3 のセキュリティを割り当て、そのパスワードを限られたユーザ グループに配布することもできます。

ここでは、次の設定について説明します。

「コマンドの権限レベルの設定」

「権限レベルへのログインおよび終了」

コマンドの権限レベルの設定

コマンド モードの権限レベルを設定するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

privilege mode level level command

コマンドの権限レベルを設定します。

mode には、グローバル コンフィギュレーション モードの場合は configure を、EXECモードの場合は exec を、インターフェイス コンフィギュレーション モードの場合は interface を、ライン コンフィギュレーション モードの場合は line を、それぞれ入力します。

level に指定できる範囲は 0 ~ 15 です。レベル 1 が通常のユーザ EXEC モード権限です。 レベル15は、 enable パスワードによって許可されるアクセス レベルです。

command には、アクセスを制限したいコマンドを指定します。

ステップ 3

enable password level level password

権限レベルのイネーブル パスワードを指定します。

level に指定できる範囲は 0 ~ 15 です。レベル 1 が通常のユーザ EXEC モード権限です。

password には、1 ~ 25 の英数字の文字列を指定します。 文字列は数字で始めることはできません。大文字と小文字を区別します。スペースを使用できますが、先行スペースは無視されます。 デフォルトでは、パスワードは定義されていません。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

または

show privilege

入力を確認します。

show running-config コマンドはパスワードとアクセス レベルの設定を表示します。 show previlege コマンドは、権限レベルの設定を表示します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

コマンドをある権限レベルに設定すると、構文がそのコマンドのサブセットであるコマンドはすべて、そのレベルに設定されます。 たとえば、 show ip route コマンドをレベル 15 に設定すると、 show コマンドおよび show ip コマンドは、個々に別のレベルに設定しないかぎり、自動的にレベル 15 に設定されます。

特定のコマンドについて、デフォルトの権限に戻すには、 no privilege mode level level command グローバル コンフィギュレーション コマンドを使用します。

configure コマンドをイネーブル レベル 14 に設定し、レベル 14 コマンドを使用する際にユーザが入力するパスワードとして SecretPswd14 を定義する例を示します。

AP(config)# privilege exec level 14 configure
AP(config)# enable password level 14 SecretPswd14

権限レベルへのログインおよび終了

指定された権限レベルにログインし、指定された権限レベルに戻るには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

enable level

指定された権限レベルにログインします。

level に指定できる範囲は 0 ~ 15 です。

ステップ 2

disable level

指定された権限レベルに戻ります。

level に指定できる範囲は 0 ~ 15 です。

RADIUS によるアクセス ポイント アクセスの制御

ここでは、Remote Authentication Dial-In User Service(RADIUS)を使って、管理者のアクセス ポイントへのアクセスを制御する方法について説明します。 RADIUS をサポートするアクセス ポイントの設定方法については、 第11章「RADIUS サーバの設定」 を参照してください。

RADIUS は、詳細なアカウンティング情報を収集し、認証および許可プロセスに対して柔軟な管理制御を行います。 RADIUS は、Authentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)を通じて促進され、AAA コマンドで、有効にできます。


) ここで説明するコマンドの完全な構文および使用方法の詳細については、『Cisco IOS Security Command Reference for Release 12.2』を参照してください。


ここでは、RADIUS の設定について説明します。

「RADIUS のデフォルト設定」

「RADIUS ログイン認証の設定」 (必須)

「AAA サーバ グループの定義」(任意)

「ユーザ イネーブル アクセスおよびネットワーク サービス用の RADIUS 許可の設定」(任意)

「RADIUS 設定の表示」

RADIUS のデフォルト設定

RADIUS および AAA はデフォルトでは無効になっています。

セキュリティが無効になるのを防ぐために、ネットワーク管理アプリケーションから RADIUS の設定はできないようになっています。 RADIUS が有効の場合、RADIUS は CLI を通じてアクセス ポイントにアクセスするユーザを認証できます。

RADIUS ログイン認証の設定

AAA 認証を設定するには、認証方式の名前付きリストを定義し、そのリストを様々なインターフェイスに適用します。 方式リストは実行される認証のタイプと実行順序を定義します。このリストを特定のインターフェイスに適用してから、定義済み認証方式を実行する必要があります。 唯一の例外はデフォルトの方式リスト(偶然に default と名前が付けられている)です。 デフォルトの方式リストは、名前付き方式リストを明示的に定義されたインターフェイスを除いて、自動的にすべてのインターフェイスに適用されます。

方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。 認証に使用する 1 つまたは複数のセキュリティ プロトコルを指定できるので、最初の方式が失敗した場合のバックアップ システムが確保されます。 ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の方式を選択します。 このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式を使い果たすまで続きます。 この処理のある時点で認証が失敗した場合(つまり、セキュリティ サーバまたはローカルのユーザ名データベースがユーザ アクセスを拒否すると応答した場合)、認証プロセスは停止し、それ以上認証方式が試行されることはありません。

ログイン認証を設定するには、イネーブル EXEC モードで次の手順を実行します。 この手順は必須です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

aaa new-model

AAAを有効にします。

ステップ 3

aaa authentication login { default | list-name } method1 [ method2... ]

ログイン認証方式リストを作成します。

login authentication コマンドに名前付きリストが 指定されない 場合に使用されるデフォルトのリストを作成するには、 default キーワードの後ろにデフォルト状況で使用する方式を指定します。 デフォルトの方式リストは、自動的にすべてのインターフェイスに適用されます。

list-name には、 作成するリストの名前として使用する文字列を指定します

method1... には、認証アルゴリズムが試行する実際の方式を指定します。 追加の認証方式は、その前の方式でエラーが返された場合に限り使用されます。前の方式が失敗した場合は使用されません。

次のいずれかの方式を選択します。

local : ローカル ユーザ名データベースを認証に使用します。 データベースにユーザ名情報を入力しておく必要があります。 username password グローバル コンフィギュレーション コマンドを使用します。

radius : RADIUS 認証を使用します。 この認証方式を使用するには、事前に RADIUS サーバを設定しておく必要があります。 詳細については、「RADIUS サーバ ホストの識別」を参照してください。

ステップ 4

line [ console | tty | vty ] line-number [ ending-line-number ]

ライン コンフィギュレーション モードに入り、認証リストの適用対象とする回線を設定します。

ステップ 5

login authentication { default | list-name }

回線または回線セットに対して、認証リストを適用します。

default を指定する場合は、 aaa authentication login コマンドで作成したデフォルトのリストを使用します。

list-name には、 aaa authentication login コマンドで作成したリストを指定します。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show running-config

入力を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

AAA を無効にするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。 AAA 認証を無効にするには、 no aaa authentication login {default | list-name } method1
[ method2... ] グローバル コンフィギュレーション コマンドを使用します。 ログインの RADIUS 認証を無効にするかデフォルト値に戻す場合は、 no login authentication { default | list-name } ライン コンフィギュレーション コマンドを使用します

AAA サーバ グループの定義

AAA サーバ グループを使用して、認証用に既存のサーバ ホストをグループ化するようにアクセス ポイントを設定できます。 設定済みサーバ ホストのサブセットを選択し、それを特定のサービスに使用できます。 サーバ グループは、グローバル サーバホスト リストと共に使用します。これは、選択されたサーバ ホストの IP アドレスを一覧表示します。

サーバ グループも、各エントリの識別子(IP アドレスと UDP ポート番号の組み合わせ)が一意であれば、同じサーバに対して複数のホスト エントリを組み込み、特定の AAA サービスを提供する RADIUS ホストとして、さまざまなポートを個別に定義できます。 同一の RADIUS サーバ上の 2 つの異なるホスト エントリを同じサービス(たとえば、アカウンティング)に対して設定すると、設定された 2 番目のホスト エントリは、最初のエントリの代替バックアップとして機能します。

特定のサーバを定義済みのグループ サーバと関連づけるには、 server グループ サーバ コンフィギュレーション コマンドを使用します。 IP アドレスでサーバを特定したり、任意の auth-port および acct-port キーワードを使用して複数のホスト インスタンスまたはエントリを特定したりできます。

AAA サーバ グループを定義して特定の RADIUS サーバに関連づけるには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

aaa new-model

AAAを有効にします。

ステップ 3

radius-server host { hostname | ip-address } [ auth-port port-number ] [ acct-port port-number ] [ timeout seconds ] [ retransmit retries ] [ key string ]

リモート RADIUS サーバ ホストの IP アドレスまたはホスト名を指定します。

(任意) auth-port port-number には、認証要求の UDP 宛先ポートを指定します。

(任意) acct-port port-number には、アカウンティング要求の UDP 宛先ポートを指定します。

(任意) timeout seconds には、アクセス ポイントが再送信する前に、RADIUS サーバからの応答を待つタイム インターバルを指定します。 指定できる範囲は 1 ~ 1000 です。この設定は、 radius-server timeout グローバル コンフィギュレーション コマンドの設定を上書きします。 radius-server host コマンドでタイムアウトが設定されていない場合は、 radius-server timeout コマンドの設定が使用されます。

(任意) retransmit retries には、サーバが応答しないか、応答が遅い場合に、RADIUS 要求がそのサーバに再送信される回数を指定します。 指定できる範囲は 1 ~ 1000 です。 radius-server host コマンドで再送信の値が設定されていない場合は、
radius-server retransmit
グローバル コンフィギュレーション コマンドの設定が使用されます。

(任意) key string には、アクセス ポイントと RADIUS サーバ上で稼働する RADIUS デーモンとの間で使用する認証および暗号化鍵を指定します。


) 鍵は、RADIUS サーバ上で使用する暗号化鍵と照合する必要のある文字列です。 鍵は、必ずradius-server host コマンドの最後の項目として設定します。 先行スペースは無視されますが、鍵の内部および末尾のスペースは使用されます。 鍵にスペースを使用する場合は、鍵の一部として引用符を使用する場合を除いて、鍵を引用符で囲まないでください。


1つの IP アドレスに対応づけられた複数のホスト エントリをアクセス ポイントが認識するように設定するには、必要な回数だけこのコマンドを入力し、必ず各 UDP ポート番号を異なる番号にしてください。 アクセス ポイント ソフトウェアは、指定された順序でホストを検索します。 タイムアウト、再送信、および暗号化鍵の値を設定して、特定の RADIUS ホストで使用します。

ステップ 4

aaa group server radius group-name

グループ名で AAA サーバ グループを定義します。

このコマンドによって、アクセス ポイントはサーバ グループ コンフィギュレーション モードになります。

ステップ 5

server ip-address

特定の RADIUS サーバを定義済みサーバ グループに対応づけます。 AAA サーバ グループの各 RADIUS サーバに対してこのステップを繰り返します。

グループの各サーバは、ステップ 2 で定義済みのものでなければなりません。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show running-config

入力を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ステップ 9

RADIUS ログイン 認証を有効にします。 「RADIUS ログイン認証の設定」を参照してください。

指定されたRADIUSサーバを削除するには、 no radius-server host hostname | ip-address グローバル コンフィギュレーション コマンドを使用します。 設定リストからサーバ グループを削除するには no aaa group server radius group-name グローバル コンフィギュレーション コマンドを使用します。 RADIUS サーバの IP アドレスを削除するには、 no server ip-address サーバ グループ コンフィギュレーション コマンドを使用します。

次の例では、2 つの異なる RADIUS グループ サーバ( group1 and group2 )を認識するようにアクセス ポイントを設定しています。 Group1では、同一の RADIUS サーバ上の 2 つの異なるホスト エントリが、同一のサービスに対して設定されています。 2 番目のホスト エントリは、最初のエントリの代替バックアップとして機能します。

AP(config)# aaa new-model
AP(config)# radius-server host 172.20.0.1 auth-port 1000 acct-port 1001
AP(config)# radius-server host 172.10.0.1 auth-port 1645 acct-port 1646
AP(config)# aaa group server radius group1
AP(config-sg-radius)# server 172.20.0.1 auth-port 1000 acct-port 1001
AP(config-sg-radius)# exit
AP(config)# aaa group server radius group2
AP(config-sg-radius)# server 172.20.0.1 auth-port 2000 acct-port 2001
AP(config-sg-radius)# exit

ユーザ イネーブル アクセスおよびネットワーク サービス用の RADIUS 許可の設定

AAA 許可によってユーザが利用できるサービスが制限されます。 AAA 許可が有効に設定されていると、アクセス ポイントはユーザのプロファイルから取得した情報を使用します。このプロファイルは、ローカルのユーザ データベースまたはセキュリティ サーバ上にあり、ユーザのセッションを設定します。 ユーザは、ユーザ プロファイル内の情報で認められている場合に限り、要求したサービスへのアクセスが許可されます。

aaa authorization グローバル コンフィギュレーション コマンドに radius キーワードを付けて使用すると、イネーブル EXEC モードへのユーザのネットワーク アクセスを制限するパラメータを設定できます。

aaa authorization exec radius local コマンドは、次の許可パラメータを設定します。

RADIUS を使用して認証を行った場合は、イネーブル EXEC アクセス許可に RADIUS を使用。

認証に RADIUS を使用しなかった場合は、ローカル データベースを使用。


) 許可が設定されていても、CLI を使用してログインする認証されたユーザに対しては、許可は省略されます。


イネーブル EXEC アクセスおよびネットワーク サービスに関する RADIUS 許可を指定するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

aaa authorization network radius

すべてのネットワーク関連サービス要求に対するユーザ RADIUS 許可用にアクセス ポイントを設定します。

ステップ 3

aaa authorization exec radius

イネーブル EXEC アクセスの有無を、ユーザ RADIUS 許可によって判別するようにアクセス ポイントを設定します。

exec キーワードを指定すると、ユーザ プロファイル情報( autocommand 情報など)が返されることがあります。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

入力を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

許可を無効にするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。

RADIUS 設定の表示

RADIUS 設定情報を表示するには、 show running-config イネーブル EXEC コマンドを使用します。

ローカル認証および許可用のアクセス ポイントの設定

ローカル モードで AAA を実装するようにアクセス ポイントを設定すると、サーバがなくても AAA が動作するように設定できます。 この場合、アクセス ポイントが認証および許可の処理を行います。 この設定ではアカウンティング機能は利用できません。

アクセス ポイントをローカル AAA 用に設定するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

aaa new-model

AAA を有効にします。

ステップ 3

aaa authentication login default local

ローカルのユーザ名データベースを使用するようにログイン認証を設定します。 default キーワードにより、ローカル ユーザ データベース認証がすべてのインターフェイスに適用されます。

ステップ 4

aaa authorization exec local

ユーザ AAA 許可を設定し、ローカル データベースを確認してそのユーザに EXEC シェルの実行を許可するかどうかを判別します。

ステップ 5

aaa authorization network local

すべてのネットワーク関連サービス要求に関する AAA 許可を設定します。

ステップ 6

username name [ privilege level ] { password encryption-type password }

ローカル データベースを入力し、ユーザ名ベースの認証システムを設定します。

ユーザごとにこのコマンド入力を繰り返します。

name には、ユーザ ID を 1 ワードで指定します。 スペースや引用符は使用できません。

(任意) level には、アクセス後ユーザに設定する権限レベルを指定します。 指定できる範囲は 0~15 です。レベル 15 ではイネーブル EXEC モードでのアクセスが可能です。 レベル 0 では、ユーザ EXEC モードでのアクセスとなります。

encryption-type には、暗号化されていないパスワードがあとに続く場合は 0 を入力します。 暗号化されたパスワードがあとに続く場合は 7 を入力します。

password には、ユーザがアクセス ポイントにアクセスする際に入力が必要なパスワードを指定します。 パスワードは 1 ~ 25 文字で、埋め込みスペースを使用でき、 username コマンドの最後のオプションとして指定します。

ステップ 7

end

イネーブル EXEC モードに戻ります。

ステップ 8

show running-config

入力を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

AAAを無効にするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。 許可を無効にするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。

Secure Shell 用のアクセス ポイントの設定

ここでは、Secure Shell(SSH)機能を設定する方法について説明します。


) ここで説明するコマンドの完全な構文および使用方法の詳細については、『Cisco IOS Security Command Reference for Release 12.2』の「Secure Shell Commands」を参照してください。


SSH の概要

SSHは、レイヤ 2 またはレイヤ 3 のデバイスに安全なリモート接続を行うプロトコルです。 SSH には、バージョン 1 とバージョン 2 の 2 つのバージョンがあります。 このソフトウェア リリースがサポートするのはバージョン 1 だけです。

SSH は、デバイスの認証時に強力な暗号化を行うことで、リモート接続について Telnet 以上のセキュリティを実現します。 SSH 機能には SSH サーバと SSH 統合クライアントがあります。 クライアントは、次のユーザ認証方式をサポートします。

RADIUS(詳細については、「RADIUS によるアクセス ポイント アクセスの制御」を参照)

ローカル認証および許可(詳細については、「ローカル認証および許可用のアクセス ポイントの設定」を参照)

SSH の詳細については、『 Cisco IOS Security Configuration Guide for Release 12.2 』の 「Configuring Secure Shell」 を参照してください。


) このソフトウェア リリースの SSH 機能は、IP Security(IPSec)をサポートしていません。


SSH の設定

SSH を設定する前に、Cisco.com から暗号化ソフトウェア イメージをダウンロードする必要があります。詳細については、このリリースに対応のリリース ノートを参照してください。

SSH の設定と SSH 設定の表示については、『 Cisco IOS Security Configuration Guide for Release 12.2 』の「 Configuring Secure Shell 」を参照してください。

システム日時の管理

Network Time Protocol(NTP)による自動設定方式、または手動設定方式を使用して、アクセス ポイントのシステム日時を管理します。


) ここで説明するコマンドの完全な構文および使用方法の詳細については、『Cisco IOS Security Command Reference for Release 12.2』を参照してください。


ここでは、次の設定情報について説明します。

「システム クロックの概要」

「Network Time Protocol の概要」

「NTP の設定」

「手動での日時の設定」

システム クロックの概要

時刻サービスの中核となるのはシステム クロックです。 このクロックはシステムがスタートアップした瞬間から稼働し、日時を常時監視します。

システム クロックは、次のソースから設定できます。

Network Time Protocol

手動設定

システム クロックは、次のサービスに時刻を提供します。

ユーザの show コマンド

ログおよびデバッグ メッセージ

システム クロックは、Universal Time Coordinated(UTC;協定世界時)(別名Greenwich Mean Time [GMT;グリニッジ標準時])に基づいてシステム内部の時刻を常時監視します。 ローカルのタイム ゾーンおよび夏時間に関する情報を設定することにより、時刻がローカルのタイム ゾーンに応じて正確に表示されるようにできます。

システム クロックは、時刻が 信頼できる かどうか(つまり、信頼できると見なされるタイム ソースによって時刻が設定されているか)常時監視します。 信頼できない場合は、時刻は表示目的で利用され、再配布されません。 設定の詳細は、「手動での日時の設定」を参照してください。

Network Time Protocol の概要

NTPは、ネットワーク上のデバイス間の、時刻の同期化を目的に設計されています。 NTP は User
Datagram Protocol(UDP)で稼働し、UDP は IP 上で稼働します。 NTP は RFC 1305 に規定されています。

NTP ネットワークは通常、ラジオ クロックやタイム サーバに接続された原子時計など、信頼できるタイム ソースからその時刻を取得します。 そのあと、NTP はネットワークにこの時刻を配信します。 NTP はきわめて効率的で、1 分間に 1 パケットを使用するだけで、2 つのデバイスを 1 ミリ秒以内に同期化することができます。

NTPは、 ストラタム(階層) という概念を使用して、信頼できるタイム ソースとデバイスが離れている NTP ホップ数を記述します。 ストラタム 1 タイム サーバには、ラジオ クロックまたは原子時計が直接接続されており、ストラタム 2 タイム サーバは、NTP を使用してストラタム 1 タイム サーバから時刻を取得します(以降のストラタムも同様です)。 NTP が稼働するデバイスは、タイム ソースとして、NTP を使用して通信するストラタム番号が最少のデバイスを自動的に選択します。 この方法によって、NTP 時刻配信の自動編成型ツリーが効率的に構築されます。

NTP では、同期化されていないデバイスと同期化しないことによって、時刻が正確でないデバイスとの同期化を防ぎます。 また、NTP では、複数のデバイスから報告される時刻を比較して、ストラタムの番号が小さくても、時刻が他のデバイスと大幅に異なるデバイスとは同期化しません。

NTP が稼働するデバイス間の通信(associationsとも呼ばれる)は、通常スタティックに設定されます。各デバイスには、アソシエーションを形成すべき全デバイスの IP アドレスが与えられます。 アソシエーションのペアとなるデバイス間で NTP メッセージを交換することによって、正確な時刻の維持が可能になります。 ただし、LAN 環境では、代わりに IP ブロードキャスト メッセージを使用するように NTP を設定できます。 単にブロードキャスト メッセージを送受信するように各デバイスを設定すればよいので、この代替手段によって設定の複雑さが緩和されます。 ただし、この場合は、情報の流れは一方向に限られます。

デバイス上で維持される時刻は、重要なリソースです。NTP のセキュリティ機能を使用して、不正確な時刻が誤ってあるいは意図的に設定されることを防いでください。 アクセス リスト ベースの制約方式と、暗号化された認証メカニズムの 2 つのメカニズムが利用できます。

シスコの NTP の実装ではストラタム 1 サービスをサポートしていないので、ラジオ クロックまたは原子時計に接続できません。 ネットワークの時刻サービスは、IP インターネット上のパブリック NTP サーバから入手することを推奨します。図 6-1に、NTPを使用する一般的なネットワーク例を示します。

ネットワークがインターネットから切り離されている場合、シスコの NTP の実装によって、実際には、他の方法で時刻が決定されているにもかかわらず、デバイスが NTP を使用して同期しているかのように動作するよう設定できます。 他のデバイスは、NTP によりこのデバイスと同期化されます。

複数のタイム ソースがある場合は、NTP は常により信頼できると見なされます。 NTP の時刻は、他の方法による時刻に優先します。

複数のメーカーでは自社のホスト システムに NTP ソフトウェアを組み入れており、UNIX システム用のバージョンやその派生ソフトウェアも一般に入手できます。 このソフトウェアによって、ホスト システムも時間が同期化されます。

図 6-1 一般的な NTP ネットワーク構成

 

NTP の設定

Cisco Aironet 1100 シリーズ アクセス ポイントはハードウェアサポート クロックを備えておらず、外部 NTP ソースが利用できないときに、ピアが自身を同期化するための NTP マスター クロックとして機能できません。 このアクセス ポイントは、カレンダーに対するハードウェア サポートも備えていません。 そのため、ntp update-calendarおよび ntp master グローバル コンフィギュレーション コマンドが利用できません。

ここでは、次の設定情報について説明します。

「NTP のデフォルト設定」

「NTP認証の設定」

「NTP アソシエーションの設定」

「NTP ブロードキャスト サービスの設定」

「NTP アクセス制限の設定」

「NTP パケット用の送信元 IP アドレスの設定」

「NTP 設定の表示」

NTP のデフォルト設定

表 6-2 に、NTPのデフォルト設定を示します。

 

表 6-2 NTP のデフォルト設定

機能
デフォルト設定

NTP 認証

無効。 認証鍵は指定されていません。

NTP ピアまたはサーバ アソシエーション

設定なし。

NTP ブロードキャスト サービス

無効。どのインターフェイスも NTP ブロードキャスト パケットを送受信しません。

NTP アクセス制限

アクセス制御は指定されていない。

NTP パケット送信元 IP アドレス

送信元アドレスは、発信インターフェイスによって決定される。

NTPは、デフォルトで無効に設定されています。

NTP認証の設定

この手順は、NTP サーバの管理者と調整する必要があります。この手順で設定する情報は、時刻を NTP サーバと同期化するためにアクセス ポイントが使用するサーバに対応している必要があります。

セキュリティ目的で他のデバイスとのアソシエーション(正確な時間維持を行う NTP 稼働デバイス間の通信)を認証するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

ntp authenticate

デフォルトでは無効に設定されている NTP 認証機能を有効にします。

ステップ 3

ntp authentication-key number md5 value

認証鍵を定義します。 デフォルト設定では何も定義されていません。

number には、鍵の番号を指定します。 指定できる範囲は 1 ~ 4294967295 です。

md5 は、Message Digest Algorithm 5(MD5)を使用してメッセージ認証サポートが行われることを指定します。

value には、鍵に対する 8 文字までの任意の文字列を入力します。

アクセス ポイントとデバイスの双方がいずれかの認証鍵を持ち、 ntp trusted-key key-number コマンドによって鍵番号が指定されていないかぎり、アクセス ポイントはデバイスと同期化しません。

ステップ 4

ntp trusted-key key-number

1 つまたは複数の鍵番号(ステップ 3 で定義したもの)を指定します。ピア NTP デバイスは、このアクセス ポイントと同期化するため、このアクセス ポイント向けの NTP パケット内にこの鍵番号を設定しなければなりません。

デフォルト設定では、信頼される鍵は定義されていません。

key-number には、ステップ 3 で定義された鍵を指定します。

このコマンドは、アクセス ポイントを信頼されていないデバイスと誤って同期化することから保護します。

ステップ 5

end

イネーブル EXEC モードに戻ります。

ステップ 6

show running-config

入力を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

NTP 認証を無効にするには、 no ntp authenticate グローバル コンフィギュレーション コマンドを使用します。 認証鍵を削除するには、 no ntp authentication-key number グローバル コンフィギュレーション コマンドを使用します。 デバイス ID の認証を無効にするには、 no ntp trusted-key key-number グローバル コンフィギュレーション コマンドを使用します。

NTP パケットに認証鍵 42 を設定しているデバイスとだけ同期するようにアクセス ポイントを設定する例を次に示します。

AP(config)# ntp authenticate
AP(config)# ntp authentication-key 42 md5 aNiceKey
AP(config)# ntp trusted-key 42

NTP アソシエーションの設定

NTP アソシエーションは、ピア アソシエーション(アクセス ポイントを他のデバイスに同期化するか、アクセス ポイントに対して他のデバイスを同期化させるかのどちらかが可能)に設定することも、サーバ アソシエーション(アクセス ポイントを他のデバイスに同期化させるだけで、その逆はできない)に設定することもできます。

別のデバイスとの NTP アソシエーションを形成するには、イネーブル EXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

ntp peer ip-address [ version number ] [ key keyid ] [ source interface ] [ prefer ]

または

ntp server ip-address [ version number ] [ key keyid ] [ source interface ] [ prefer ]

アクセス ポイントのシステム クロックをピアに同期化するか、ピアによって同期化されるように設定します(ピア アソシエーション)。

または

アクセス ポイントのシステム クロックにタイム サーバが同期化するように設定します(サーバ アソシエーション)。

ピアまたはサーバ アソシエーションはデフォルトでは定義されていません。

ピア アソシエーションの ip-address には、クロックの同期化を行うまたは同期化の対象となるピアの IP アドレスを指定します。 サーバ アソシエーションでは、クロックの同期化を行うタイム サーバの IP アドレスを指定します。

(任意) number には、NTP のバージョン番号を指定します。 指定できる範囲は 1 ~ 3 です。デフォルトではバージョン 3 が選択されています。

(任意) keyid には、 ntp authentication-key グローバル コンフィギュレーション コマンドで定義された認証鍵を入力します。

(任意) interface には、IP の送信元アドレスを取得するインターフェイスを指定します。 デフォルトでは、送信元 IP アドレスを、発信インターフェイスから取得します。

(任意) prefer キーワードを指定して、このピアまたはサーバを、同期化を行う優先ピアまたはサーバにします。 このキーワードは、ピアとサーバ間の切り換えを減らします。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

アソシエーションの一端しか設定する必要がありません。もう一方のデバイスには自動的にアソシエーションが設定されます。 デフォルトの NTP バージョン(バージョン 3)を使用していて同期化が発生しない場合は、NTP のバージョン 2 を使用してみてください。インターネット上の多くの NTP サーバは、バージョン 2 で稼働しています。

ピアまたはサーバ アソシエーションを削除するには、 no ntp peer ip-address または no ntp server ip-address グローバル コンフィギュレーション コマンドを使用します。

NTP バージョン 2 を使用して IP アドレス 172.16.22.44 のピアのクロックに、システム クロックを同期化するようにアクセス ポイントを設定する方法を、次の例に示します。

AP(config)# ntp server 172.16.22.44 version 2

NTP ブロードキャスト サービスの設定

NTP が稼働するデバイス間の通信( associations とも呼ばれる)は、通常スタティックに設定されます。各デバイスには、アソシエーションを形成すべき全デバイスの IP アドレスが与えられます。 アソシエーションのペアとなるデバイス間で NTP メッセージを交換することによって、正確な時刻の維持が可能になります。 ただし、LAN 環境では、代わりに IP ブロードキャスト メッセージを使用するように NTP を設定できます。 単にブロードキャスト メッセージを送受信するように各デバイスを設定すればよいので、この代替手段によって設定の複雑さが緩和されます。 ただし、情報の流れは一方向に限られます。

ルータのようにネットワーク上で時刻情報をブロードキャストする NTP ブロードキャスト サーバがある場合、アクセス ポイントはインターフェイスごとに NTP ブロードキャスト パケットを送受信できます。 アクセス ポイントは、NTP ブロードキャスト パケットをピアへ送信できるので、ピアはそれに同期化できます。 アクセス ポイントは NTP ブロードキャスト パケットを受信して、自身のクロックを同期化することもできます。 ここでは、NTP ブロードキャスト パケットの送信と受信の両方の手順について説明します。

NTP ブロードキャスト パケットをピアに送信して、ピアが自身のクロックをアクセス ポイントに同期化するよう、アクセス ポイントを設定するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

interface interface-id

インターフェイス コンフィギュレーション モードに入り、NTP ブロードキャスト パケットを送信するインターフェイスを指定します。

ステップ 3

ntp broadcast [ version number ] [ key keyid ] [ destination-address ]

NTP ブロードキャスト パケットをピアに送信するインターフェイスを有効にします。

デフォルトでは、この機能はすべてのインターフェイスで無効に設定されています。

(任意) number には、NTP のバージョン番号を指定します。 指定できる範囲は 1 ~ 3 です。バージョンを指定しなかった場合は、バージョン 3 が使用されます。

(任意) keyid には、ピアにパケットを送信するときに使用する認証鍵を指定します。

(任意) destination-address には、アクセス ポイントにクロックを同期化しているピアの IP アドレスを指定します。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

入力を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ステップ 7

次の手順で説明するように、接続されているピアが NTP ブロードキャスト パケットを受信するように設定します。

インターフェイスによる NTP ブロードキャスト パケットの送信を無効にするには、 no ntp broadcast インターフェイス コンフィギュレーション コマンドを使用します。

次に、インターフェイスが NTP バージョン 2 パケットを送信するように設定する例を示します。

AP(config)# interface gigabitethernet0/1
AP(config-if)# ntp broadcast version 2
 

接続したピアから NTP ブロードキャスト パケットを受信するようにアクセス ポイントを設定するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

interface interface-id

インターフェイス コンフィギュレーション モードに入り、NTP ブロードキャスト パケットを受信するインターフェイスを指定します。

ステップ 3

ntp broadcast client

インターフェイスが NTP ブロードキャスト パケットを受信できるようにします。

デフォルトでは、インターフェイスは NTP ブロードキャスト パケットを受信しません。

ステップ 4

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 5

ntp broadcastdelay microseconds

(任意)アクセス ポイントと NTP ブロードキャスト サーバとの間の予測されるラウンドトリップ遅延を変更します。

デフォルトは 3000 ミリ秒です。指定できる範囲は 1 ~ 999999 です。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show running-config

入力を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

インターフェイスによる NTP ブロードキャスト パケットの受信を無効にするには、 no ntp broadcast client インターフェイス コンフィギュレーション コマンドを使用します。 予測されるラウンドトリップ遅延をデフォルト設定に変更するには、 no ntp broadcastdelay グローバル コンフィギュレーション コマンドを使用します。

次に、インターフェイスが NTP ブロードキャスト パケットを受信するように設定する例を示します。

AP(config)# interface gigabitethernet0/1
AP(config-if)# ntp broadcast client

NTP アクセス制限の設定

次に説明するように、2 つのレベルで NTP アクセスを制御できます。

「アクセス グループの生成と基本 IP アクセス リストの割り当て」

「特定のインターフェイスでの NTP サービスの無効化」

アクセス グループの生成と基本 IP アクセス リストの割り当て

アクセス リストを使用して NTP サービスへのアクセスを制御するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

ntp access-group { query-only | serve-onl y | serve | peer } access-list-number

アクセス グループを生成し、基本 IP アクセス リストを割り当てます。

キーワードの意味は次のとおりです。

query-only : NTP制御クエリに限り許可します。

serve-only : 時刻要求に限り許可します。

serve : 時刻要求と NTP 制御クエリは許可しますが、アクセス ポイントがリモート デバイスと同期化することは許可しません。

peer : 時刻要求とNTP制御クエリを許可し、アクセス ポイントがリモート デバイスと同期化することを許可します。

access-list-number には、1 ~ 99 の範囲で標準の IP アクセス リスト番号を入力します。

ステップ 3

access-list access-list-number permit source [ source-wildcard ]

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

入力を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

アクセス グループのキーワードは、最少の制限から最大の制限に、次の順序でスキャンされます。

1. peer : 時刻要求と NTP 制御クエリを許可し、さらに、アクセス ポイントが、アクセス リストの基準を満たすアドレスを持つデバイスと同期化することを許可します。

2. serve : 時刻要求と NTP 制御クエリを許可しますが、アクセス ポイントが、アクセス リストの基準を満たすアドレスを持つデバイスと同期化することを許可しません。

3. serve-only : アクセス リストの基準を満たすアドレスを持つデバイスからの時刻要求に限り許可します。

4. query-only : アクセス リストの基準を満たすアドレスを持つデバイスからのNTP 制御クエリに限り許可します。

複数のアクセス タイプについて送信元 IP アドレスがアクセス リストに一致する場合は、最初のタイプが許可されます。 アクセス グループが指定されなかった場合は、すべてのアクセス タイプがすべてのデバイスに許可されます。 いずれかのアクセス グループが指定されている場合は、指定されたアクセス タイプに限り許可されます。

アクセス ポイント NTP サービスに対するアクセス制御を削除するには、 no ntp access-group { query-only | serve-only | serve | peer }グローバル コンフィギュレーション コマンドを使用します。

次に、アクセス ポイントがアクセス リスト 99 からのピアに同期化できるように設定する例を示します。ただし、アクセス ポイントはアクセス リスト 42 に対してはアクセスを制限し、時刻要求に限り許可します。

AP# configure terminal
AP(config)# ntp access-group peer 99
AP(config)# ntp access-group serve-only 42
AP(config)# access-list 99 permit 172.20.130.5
AP(config)# access list 42 permit 172.20.130.6

特定のインターフェイスでの NTP サービスの無効化

NTP サービスは、すべてのインターフェイスで、デフォルトで有効に設定されています。

インターフェイス上で NTP パケットの受信を無効にするには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

interface interface-id

インターフェイス コンフィギュレーション モードに入り、無効にするインターフェイスを指定します。

ステップ 3

ntp disable

インターフェイス上で NTP パケットの受信を無効にします。

デフォルトでは、すべてのインターフェイスは NTP パケットを受信します。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

入力を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

インターフェイス上で NTP パケットの受信を再度有効にするには、 no ntp disable インターフェイス コンフィギュレーション コマンドを使用します。

NTP パケット用の送信元 IP アドレスの設定

アクセス ポイントが NTP パケットを送信すると、送信元 IP アドレスは、通常 NTP パケットが送信されたインターフェイスのアドレスに設定されます。 すべての NTP パケットに特定の送信元 IP アドレスを使用する場合は、 ntp source グローバル コンフィギュレーション コマンドを使用します。 アドレスは指定されたインターフェイスから取得します。 インターフェイス上のアドレスを返信パケット用の宛先として使用できない場合に、このコマンドは便利です。

送信元 IP アドレスを取得する特定のインターフェイスを設定するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

ntp source type number

IP 送信元アドレスを取得するインターフェイスのタイプと番号を指定します。

デフォルトでは、送信元アドレスは、発信インターフェイスによって決定されます。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

指定されたインターフェイスは、すべての宛先に送信されるすべてのパケットの送信元アドレスに使用されます。 送信元アドレスを特定のアプリケーションに使用する場合は、「NTP アソシエーションの設定」に説明したように、 ntp peer 中の source キーワード、または n tp server グローバル コンフィギュレーション コマンドを使用します。

NTP 設定の表示

次の 2 つのイネーブル EXEC コマンドを使用して NTP 情報を表示できます。

show ntp associations [ detail ]

show ntp status

これらの表示におけるフィールドの詳細については、『 Cisco IOS Configuration Fundamentals Command Reference for Release 12.1 』を参照してください。

手動での日時の設定

他のタイム ソースが利用できない場合は、システムの再起動後、手動で日時を設定できます。 時刻は、次にシステムを再起動するまで正確です。 手動設定は最後の手段としてのみ使用することを推奨します。 アクセス ポイントを同期化できる外部ソースがある場合は、手動でシステム クロックを設定する必要はありません。

ここでは、次の設定情報について説明します。

「システム クロックの設定」

「日時設定の表示」

「タイムゾーンの設定」

「夏時間の設定」

システム クロックの設定

ネットワーク上に、NTP サーバなどの時刻サービスを提供する外部ソースがある場合は、手動でシステム クロックを設定する必要がありません

システム クロックを設定するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

clock set hh : mm : ss day month year

または

clock set hh : mm : ss month day year

次のいずれかのフォーマットで、手動でシステム クロックを設定します。

hh : mm : ss には、時刻を時間(24 時間形式)、分、秒で指定します。 指定された時刻は、設定されたタイム ゾーンに基づきます。

day には、当月の日付で日を指定します。

month には、月を名前で指定します。

year には、年を指定します(短縮不可)。

ステップ 2

show running-config

入力を確認します。

ステップ 3

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、システム クロックを手動で 2001 年の 7 月 23 日午後 1 時 32 分に設定する例を示します。

AP# clock set 13:32:00 23 July 2001

日時設定の表示

日時の設定を表示するには、 show clock [ detail ] イネーブル EXEC コマンドを使用します。

システムク ロックは、信頼できる(正確であると確信できる)かどうかを示す authoritative フラグを維持します。 システム クロックが NTP のようなタイミング ソースによって設定されている場合は、フラグを設定します。 時刻が信頼できないものである場合は、表示目的で使用されます。 クロックが信頼でき、 authoritative フラグが設定された状態になるまでは、ピアの時刻が無効な場合、フラグはピアがクロックと同期しないようにします。

show clock の表示の前にある記号は、次の意味があります。

* : 時刻は信頼できません。

(空白) : 時刻は信頼できます。

. : 時刻は信頼できますが、NTP は同期していません。

タイムゾーンの設定

タイム ゾーンを手動で設定するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

clock timezone zone hours-offset [ minutes-offset ]

タイム ゾーンを設定します。

アクセス ポイントは内部時刻を UTC で管理するので、このコマンドは表示目的の場合および手動で時刻を設定した場合に限って使用します。

zone には、標準時間が施行されているときに表示されるタイムゾーンの名前を入力します。 デフォルトは UTC です。

hours-offset には、UTC からの時差(時間)を入力します。

(任意) minutes-offset には、UTC からの時差(分)を入力します。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

clock timezone グローバル コンフィギュレーション コマンドの minutes-offset 変数は、現地のタイム ゾーンと UTC との時差が1時間に対する比率(パーセント)である場合に利用できます。 たとえば、カナダ大西洋沿岸のある区域のタイム ゾーン(AST[大西洋標準時])は UTC-3.5 です。ここでは、3 は 3 時間、.5 は 50 パーセントを意味します。 この場合、必要なコマンドは clock timezone AST -3 30 です。

時刻をUTCに設定するには、 no clock timezone グローバル コンフィギュレーション コマンドを使用します。

夏時間の設定

毎年特定の曜日に夏時間が開始および終了する地域に夏時間を設定するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

clock summer-time zone recurring [ week day month hh : mm week day month hh : mm [ offset ]]

毎年指定された日に開始および終了する夏時間を設定します。

夏時間はデフォルトで無効に設定されています。 パラメータなしで clock summer-time zone recurring を指定すると、夏時間のルールは米国のルールをデフォルト設定にします

zone には、夏時間が施行されているときに表示されるタイム ゾーンの名前(たとえば PDT)を入力します。

(任意) week には、月の何番目の週かを指定します(1 ~ 5、または last )。

(任意) day には、曜日を指定します(Sunday、Monday など)。

(任意) month には、月を名前で指定します(January、Februaryなど)。

hh : mm には、時刻を時間(24 時間形式)、分、秒で指定します。

(任意) offset には、夏時間の間、追加する時間(分単位)を指定します。 デフォルトは 60 です。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2 番目の部分では終了時期を指定します。 すべての時刻は、現地のタイム ゾーンを基準にしています。 開始時間は標準時を基準にしています。 終了時間は夏時間を基準にしています。 開始月が終了月よりあとの場合は、システムでは南半球にいると見なされます。

次に、夏時間が4月の第一日曜の午前2時に始まり、10月の最終日曜の午前2時に終わるように指定する例を示します

AP(config)# clock summer-time PDT recurring 1 Sunday April 2:00 last Sunday October 2:00
 

ユーザの居住地域の夏時間が定期的なパターンに従わない場合は(次の夏時間イベントの正確な日時を設定するには)、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

clock summer-time zone date [ month date year hh : mm month date year hh : mm [ offset ]]

または

clock summer-time zone date [ date month year hh : mm date month year hh : mm [ offset ]]

最初の日付で夏時間開始の日付を、2番目の日付で終了の日付を設定します。

夏時間はデフォルトで無効に設定されています。

zone には、夏時間が施行されているときに表示されるタイム ゾーンの名前(たとえば PDT)を入力します。

(任意) week には、月の何番目の週かを指定します(1 ~ 5、または last )。

(任意) day には、曜日を指定します(Sunday、Monday など)。

(任意) month には、月を名前で指定します(January、Februaryなど)。

hh : mm には、時刻を時間(24 時間形式)、分、秒で指定します。

(任意) offset には、夏時間の間、追加する時間(分単位)を指定します。 デフォルトは 60 です。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2 番目の部分では終了時期を指定します。 すべての時刻は、現地のタイム ゾーンを基準にしています。 開始時間は標準時を基準にしています。 終了時間は夏時間を基準にしています。 開始月が終了月よりあとの場合は、システムでは南半球にいると見なされます。

夏時間を無効にするには、 no clock summer-time グローバル コンフィギュレーション コマンドを使用します。

次に、夏時間が 2000 年 10 月 12 日の午前 2 時に始まり、2001 年 4 月 26 日の午前 2 時に終わるよう設定する例を示します。

AP(config)# clock summer-time pdt date 12 October 2000 2:00 26 April 2001 2:00

システム名とプロンプトの設定

アクセス ポイントにシステム名を設定して識別します。 デフォルトでは、システム名およびプロンプトは ap です。

システム プロンプトを設定していない場合は、システム名の最初の 20 文字をシステム プロンプトとして使用します。 大なり記号[>]が付加されます。 システム名が変更されると、 prompt グローバル コンフィギュレーション コマンドを使用して手動でプロンプトを設定していないかぎり、プロンプトはいつでも更新されます


) ここで説明するコマンドの構文および使用方法の詳細については、『Cisco IOS Configuration
Fundamentals Command Reference
』および『Cisco IOS IP and IP Routing Command Reference for Release 12.1』を参照してください。


ここでは、次の設定情報について説明します。

「デフォルトのシステム名およびプロンプトの設定」

「システム名の設定」

「DNS の概要」

デフォルトのシステム名およびプロンプトの設定

デフォルトでは、アクセス ポイント システム名およびプロンプトは ap です。

システム名の設定

システム名を手動で設定するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

hostname name

手動でシステム名を設定します。

デフォルト設定は、 ap です。

名前は ARPANET ホスト名のルールに従う必要があります。 このルールではホスト名は文字で始まり、文字または数字で終わり、その間には文字、数字、またはハイフンしか使用できません。 名前には 63 文字まで使用できます。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力を確認します。

ステップ 5

copy running-config startup-confi g

(任意)コンフィギュレーション ファイルに設定を保存します。

システム名を設定すると、システム プロンプトとしても使用されます。

デフォルトのホスト名に戻すには、 no hostname グローバル コンフィギュレーション コマンドを使用します。

DNS の概要

Domain Name System(DNS;ドメイン ネーム システム)プロトコルは、分散型データベース DNS を制御し、これによりホスト名を IP アドレスに対応づけできます。 アクセス ポイント上に DNS を設定すると、 ping telnet connect などのすべての IP コマンドや、関連する Telnet サポート操作時に、IP アドレスの代わりにホスト名を使用できます。

IP によって定義される階層型の名前指定は、デバイスを場所またはドメインで識別することができます。 ドメイン名の区切りとしては、ピリオド(.)を使用します。 たとえばシスコシステムズは、IP で com というドメイン名に分類される会社組織なので、ドメイン名は cisco.com です。 このドメイン内の特定のデバイス、たとえば File Transfer Protocol(FTP)システムは、 ftp.cisco.com で表されます。

IP でドメイン名を追跡するためにドメイン ネーム サーバという概念が定義されています。DNSは、IP アドレスにマッピングされた名前をキャッシュ(またはデータベース)に保管します。 ドメイン名を IP アドレスに関連づけるには、まず、ホスト名を明示し、ネットワーク上に存在するネーム サーバを指定し、DNS を有効にします。

ここでは、次の設定情報について説明します。

「DNS のデフォルト設定」

「DNS のセットアップ」

「DNS 設定の表示」

DNS のデフォルト設定

表 6-3 に、DNS のデフォルト設定を示します。

 

表 6-3 DNS のデフォルト設定

機能
デフォルト設定

DNS イネーブル ステート

無効。

DNS デフォルト ドメイン名

設定なし。

DNS サーバ

ネーム サーバのアドレスの設定なし。

DNS のセットアップ

DNS を使用するようにアクセス ポイントをセットアップするには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

ip domain-name name

制限のないホスト名(ドット付きの 10 進表記ドメイン名のない名前)を完成させるためにソフトウェアが使用する、デフォルトのドメイン名を定義します。

制限のない名前をドメイン名から区切るために使用される最初のピリオドは入れないでください

起動時にはドメイン名は設定されていませんが、BOOTP または
Dynamic Host Configuration Protocol(DHCP;動的ホスト構成プロトコル)サーバからアクセス ポイント コンフィギュレーションを取得している場合は、BOOTP または DHCP サーバによってデフォルトのドメイン名が設定されることがあります(サーバにこの情報が設定されている場合)。

ステップ 3

ip name-server server-address1 [ server-address2 ... server-address6 ]

1 つまたは複数のネーム サーバのアドレスを指定して、名前およびアドレスの解決に使用します。

最大 6 つのネーム サーバを指定できます。 各サーバ アドレスはスペースで区切ります。 最初に指定されたサーバが、プライマリ サーバです。 アクセス ポイントは、最初にプライマリ サーバに DNS クエリを送信します。 そのクエリが失敗した場合は、バックアップ サーバにクエリを送信します。

ステップ 4

ip domain-lookup

(任意)アクセス ポイント上での DNS ベースのホスト名のアドレスへの変換を有効にします。 この機能はデフォルトで有効に設定されています。

ユーザのネットワーク デバイスが、名前の割り当てを制御できないネットワーク内のデバイスと接続する必要がある場合、グローバルなインターネットのネーミング方式(DNS)を使用して、ユーザのデバイスを一意に識別するデバイス名を、動的に割り当てることができます。

ステップ 5

end

イネーブル EXEC モードに戻ります。

ステップ 6

show running-config

入力を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

アクセス ポイントの IP アドレスをそのホスト名として使用する場合は、IP アドレスが使用され、DNS クエリは発生しません。 ピリオド(.)なしでホスト名を設定すると、ピリオドと、それに続くデフォルトのドメイン名がホスト名に追加され、そのあとで DNS クエリが行われ、名前を IP アドレスに対応づけます。 デフォルトのドメイン名は、 ip domain-name グローバル コンフィギュレーション コマンドによって設定される値です。 ホスト名にピリオド(.)がある場合は、IOS ソフトウェアは、ホスト名にデフォルトのドメイン名を追加せずに IP アドレスを検索します。

ドメイン名を削除するには、 no ip domain-name name グローバル コンフィギュレーション コマンドを使用します。 ネームサーバのアドレスを削除するには、 no ip name-server server-address グローバル コンフィギュレーション コマンドを使用します。 アクセス ポイント上の DNS を無効にするには、 no ip domain-lookup グローバル コンフィギュレーション コマンドを使用します。

DNS 設定の表示

DNS 設定情報を表示するには、 show running-config イネーブル EXEC コマンドを使用します。

バナーの生成

Message-Of-The-Day(MOTD)およびログイン バナーを作成できます。 MOTD バナーはログイン時に接続しているすべての端末で表示され、すべてのネットワーク ユーザを対象としたメッセージ(システム終了予告など)を送信するのに便利です。

ログイン バナーも、接続しているすべての端末で表示されます。 表示されるのは、MOTD バナーのあとで、ログイン プロンプトが表示される前です。


) ここで説明するコマンドの完全な構文および使用方法の詳細については、『Cisco IOS Security Command Reference for Release 12.1』を参照してください。


ここでは、次の設定について説明します。

「バナー のデフォルト設定」

「MOTD ログイン バナーの設定」

「ログイン バナーの設定」

バナー のデフォルト設定

MOTD およびログイン バナーは設定されません。

MOTD ログイン バナーの設定

あるユーザがアクセス ポイントにログインしたときに、画面に表示される 1 行または複数行のメッセージ バナーを作成できます。

MOTD ログイン バナーを設定するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

banner motd c message c

MOTD メッセージを指定します。

c には、任意の区切り文字、たとえばポンド記号(#)を入力して、 Enter キーを押します。 その区切り文字はバナー テキストの始まりと終わりを表します。 終わりの区切り文字のあとの文字は廃棄されます。

message には、255 文字までのバナー メッセージを入力します。 メッセージ内には区切り文字を使用できません。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

MOTD バナーを削除するには、 no banner motd グローバル コンフィギュレーション コマンドを使用します。

次に、ポンド記号(#)を開始および終了の区切り文字として使用し、アクセス ポイントの MOTD バナーを設定する例を示します。

AP(config)# banner motd #
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
#
AP(config)#
 

次に、以前の設定によって表示されるバナーを示します。

Unix> telnet 172.2.5.4
Trying 172.2.5.4...
Connected to 172.2.5.4.
Escape character is '^]'.
 
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
 
User Access Verification
 
Password:

ログイン バナーの設定

接続されたすべての端末でログイン バナーが表示されるように設定できます。 バナーが表示されるのは、MOTD バナーのあとで、ログイン プロンプトが表示される前です。

ログイン バナーを設定するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

banner login c message c

ログイン メッセージを指定します。

c には、任意の区切り文字、たとえばポンド記号(#)を入力して、 Enter キーを押します。 その区切り文字はバナー テキストの始まりと終わりを表します。 終わりの区切り文字のあとの文字は廃棄されます。

message には、255 文字までのログイン メッセージを入力します。 メッセージ内には区切り文字を使用できません。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ログイン バナーを削除するには、 no banner login グローバル コンフィギュレーション コマンドを使用します。

次に、ポンド記号(#)を開始および終了の区切り文字として使用し、アクセス ポイントの ログイン バナーを設定する例を示します。

AP(config)# banner login $
Access for authorized users only. Please enter your username and password.
$
AP(config)#