Cisco Aironet 1200 シリーズ アクセス ポイント インストレーション コンフィギュレーション ガイド, 12.2(8)JA
アクセス ポイントの管理
アクセス ポイントの管理
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

アクセス ポイントの管理

アクセス ポイントへの不正なアクセスの防止

イネーブル EXEC コマンドへのアクセス保護

デフォルト パスワードと権限レベルの設定

静的イネーブル パスワードの設定または変更

イネーブル パスワードとイネーブル シークレット パスワードの暗号化による保護

ユーザ名とパスワードの組み合わせの設定

複数の権限レベルの設定

コマンドへの権限レベルの設定

権限レベルへのログインと終了

RADIUS によるアクセス ポイントへのアクセスの制御

デフォルトの RADIUS 設定

RADIUS ログイン認証の設定

AAA サーバ グループの定義

ユーザ イネーブル アクセスとネットワーク サービスの RADIUS 許可の設定

RADIUS 設定の表示

TACACS+ によるアクセス ポイントへのアクセスの制御

デフォルトの TACACS+ 設定

TACACS+ ログイン認証の設定

イネーブル EXEC アクセスとネットワーク サービスの TACACS+ 許可の設定

TACACS+ 設定の表示

アクセス ポイントのローカル認証および許可の設定

アクセス ポイントの Secure Shell の設定

SSH の概要

SSH の設定

システムの日時の管理

システム クロックの概要

Network Time Protocol の概要

NTP の設定

デフォルトの NTP 設定

NTP 認証の設定

NTP アソシエーションの設定

NTP ブロードキャスト サービスの設定

NTP アクセス制限の設定

NTP パケットの送信元 IP アドレスの設定

NTP 設定の表示

時間と日付の手動設定

システム クロックの設定

時間と日付の設定の表示

タイム ゾーンの設定

サマー タイム(夏時間)の設定

システム名とプロンプトの設定

デフォルトのシステム名とプロンプトの設定

システム名の設定

DNS の概要

デフォルトの DNS 設定

DNS の設定

DNS 設定の表示

バナーの作成

デフォルトのバナー設定

Message-of-the-Day ログイン バナーの設定

ログイン バナーの設定

アクセス ポイントへの不正なアクセスの防止

権限のないユーザがアクセス ポイントの設定を変更し、設定情報を表示するのを防ぐことができます。 通常、ローカル ネットワークからターミナルまたはワークステーションを使用して接続するユーザにアクセスを制限しますが、ネットワーク管理者がアクセス ポイントにアクセスするのを許可できます。

アクセス ポイントへの不正なアクセスを防ぐには、次のセキュリティ機能のいずれかを設定します。

ユーザ名とパスワードの組み合わせ。アクセス ポイントにローカルに保存されます。 各ユーザはアクセス ポイントにアクセスする前に、このペアによって認証されます。 また特定の権限レベル(読み出し専用または読み出し/書き込み)をユーザ名とパスワードのそれぞれの組み合わせに指定できます。 詳細については、「ユーザ名とパスワードの組み合わせの設定」を参照してください。 デフォルトのユーザ名は Cisco、デフォルトのパスワードは Cisco です。 ユーザ名とパスワードは大文字と小文字を区別します。

セキュリティ サーバのデータベースに集中的に保存されたユーザ名とパスワードの組み合わ
せ。 詳細については、「RADIUS によるアクセス ポイントへのアクセスの制御」を参照してください。

イネーブル EXEC コマンドへのアクセス保護

ネットワークでターミナルのアクセスを制御する簡単な方法として、パスワードの使用と権限レベルの割り当てがあります。 パスワード保護は、ネットワークまたはネットワーク デバイスへのアクセスを制限します。 権限レベルは、ユーザがネットワーク デバイスにログインした後に発行できるコマンドを定義します。


) この項で使用するコマンドの構文と使用方法については、『Cisco IOS セキュリティ コマンド リファレンス Release 12.2』を参照してください。


この項では、コンフィギュレーション ファイルとイネーブル EXEC コマンドへのアクセス制御の方法について説明します。 次のコンフィギュレーション情報を説明します。

「デフォルト パスワードと権限レベルの設定」

「静的イネーブル パスワードの設定または変更」

「イネーブル パスワードとイネーブル シークレット パスワードの暗号化による保護」

「ユーザ名とパスワードの組み合わせの設定」

「複数の権限レベルの設定」

デフォルト パスワードと権限レベルの設定

表 6-1 にデフォルト パスワードと権限レベルの設定を示します。

 

表 6-1 デフォルト パスワードと権限レベル

機能
デフォルト設定

ユーザ名とパスワード

デフォルトのユーザ名は Cisco、デフォルトのパスワードは Cisco です。

イネーブル パスワードと権限レベル

デフォルトのパスワードは Cisco です。 デフォルトはレベル 15(イネーブル EXEC レベル)です。 パスワードは、コンフィギュレーション ファイルで暗号化されます。

イネーブル シークレット パスワードと権限レベル

デフォルトのイネーブル パスワードは Cisco です。 デフォルトはレベル 15(イネーブル EXEC レベル)です。 パスワードはコンフィギュレーション ファイルに書き込まれる前に暗号化されます。

ライン パスワード

デフォルトのパスワードは Cisco です。 パスワードは、コンフィギュレーション ファイルで暗号化されます。

静的イネーブル パスワードの設定または変更

イネーブル パスワードは、イネーブル EXEC モードへのアクセスを制御します。


no enable password グローバル コンフィギュレーション コマンドは、イネーブル パスワードを削除しますが、このコマンドを使用する場合は十分な注意が必要です。 イネーブル パスワードを削除すると、EXEC モードからロックアウトされます。


イネーブル EXEC モードから、次の手順に従って静的イネーブル パスワードを設定または変更します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

enable password password

イネーブル EXEC モードにアクセスするための新しいパスワードを定義するか、既存のパスワードを変更します。

デフォルトのパスワードは Cisco です。

password には 1 ~ 25 文字の英数字を指定します。 文字列は数字以外で始まり、大文字小文字を区別します。空白を入れることはできますが、先頭の空白は無視されます。 パスワードを作成する場合クエスチョン マーク(?)を指定できます。その場合、クエスチョン マークの前にキーの組み合わせ Ctrl-V を使用します。たとえば、パスワード abc?123 を作成する場合は、次のように指定します。

1. abc を入力します。

2. Crtl-V を入力します。

3. ?123 を入力します。

イネーブル パスワードを入力するように要求されたら、クエスチョン マークの前に Ctrl-V を指定する必要はありません。パスワード プロンプトで単純に abc?123 と入力します。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力内容を確認します。

ステップ 5

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

イネーブル パスワードは暗号化されず、アクセス ポイントのコンフィギュレーション ファイルで読み出すことができます。

次の例は、イネーブル パスワードを l1u2c3k4y5 に変更する手順を示しています。 パスワードは暗号化されず、レベル 15(従来のイネーブル EXEC モードのアクセス)のアクセスを可能にします。

AP(config)# enable password l1u2c3k4y5

イネーブル パスワードとイネーブル シークレット パスワードの暗号化による保護

セキュリティ層を強化するために、特にネットワークを越えるパスワードや Trivial File Transfer
Protocol(TFTP;簡易ファイル転送プロトコル)サーバに保存されたパスワードについては、 enable password または enable secret グローバル コンフィギュレーション コマンドを使用できます。 いずれのコマンドも同じ結果になります。すなわち、ユーザがイネーブル EXEC モード(デフォルト)または指定した権限レベルにアクセスする場合に入力が要求される、暗号化パスワードを設定できます。

改良型暗号アルゴリズムを使用する enable secret コマンドの使用をお勧めします。

enable secret コマンドを設定する場合、 enable password コマンドよりも優先されます。2 つのコマンドは同時に有効にできません。

イネーブル EXEC モードから、次の手順に従ってイネーブル パスワードとイネーブル シークレット パスワードに暗号化を設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

enable password [ level level ] { password | encryption-type encrypted- password }

または

enable secret [ level level ] { password |
encryption-type encrypted- password }

ステップ 3

service password-encryption

(オプション)パスワードの定義の際、または設定が書き込まれる際にパスワードを暗号化します。

暗号化により、パスワードはコンフィギュレーション ファイルで読み出すことができなくなります。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

イネーブル パスワードとイネーブル シークレット パスワードが同時に定義されている場合、ユーザはイネーブル シークレット パスワードを入力する必要があります。

特定の権限レベルでパスワードを定義する場合は、 level キーワードを指定します。 レベルを指定し、パスワードを設定した後、このレベルでアクセスするユーザに対してのみパスワードを許可します。 任意のレベルでアクセスできるコマンドを指定する場合は、 privilege level グローバル コンフィギュレーション コマンドを使用します。 詳細については、「複数の権限レベルの設定」を参照してください。

パスワードの暗号化を有効にすると、ユーザ名、パスワード、認証キー パスワード、イネーブル コマンド パスワード、コンソールと仮想ターミナルのライン パスワードを含むすべてのパスワードに適用されます。

パスワードとレベルを削除するには、 no enable password [ level level ] または no enable secret [ level level ] グローバル コンフィギュレーション コマンドを使用します。 パスワード暗号化を無効にするには、 no service password-encryption グローバル コンフィギュレーション コマンドを使用します。

次の例は、暗号化パスワード $1$FaD0$Xyti5Rkls3LoyxzS8 を権限レベル 2 で設定する方法を示しています。

AP(config)# enable secret level 2 5 $1$FaD0$Xyti5Rkls3LoyxzS8

ユーザ名とパスワードの組み合わせの設定

ユーザ名とパスワードの組み合わせを設定できます。これは、アクセス ポイントにローカルに保存されます。 このような組み合わせは、ラインまたはインターフェイスに指定され、各ユーザがアクセス ポイントにアクセスする前の認証に使用されます。 権限レベルを定義している場合、ユーザ名とパスワードのそれぞれの組み合わせに特定の権限レベル(関連する権利と権限を含む)を指定できます。

イネーブル EXEC モードから、次の手順に従ってログインユーザ名とパスワードを要求するユーザ名ベースの認証システムを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

username name [ privilege level ] { password encryption-type password }

各ユーザのユーザ名、権限レベル、パスワードを入力します。

name にはユーザ ID を 1 ワードで指定します。 空白とクエスチョン マークは使用できません。

(オプション) level には、ユーザがアクセスした後に取得する権限レベルを指定します。 指定範囲は 0 ~ 15 です。Level 15 はイネーブル EXEC モードのアクセスを許可します。 Level 1 はユーザ EXEC モードのアクセスを許可します。

encryption-type には、0 を入力して暗号化されていないパスワードが続くことを指定します。 後に非表示のパスワードが続くことを示す場合は、7 を入力します。

password には、アクセス ポイントにアクセスするためにユーザが入力しなければならないパスワードを指定します。 パスワードは 1 ~ 25 文字の間で指定し、空白を入れることができます。また username コマンドのオプションとして最後に指定する必要があります。

ステップ 3

login local

ログイン時にローカル パスワードのチェック機能を有効にします。 認証は手順 2 で指定したユーザ名に基づきます。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

入力内容を確認します。

ステップ 6

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

特定のユーザに対してユーザ名の認証を無効にするには、 no username name グローバル コンフィギュレーション コマンドを使用します。

パスワード チェック機能を無効にし、パスワードを指定しない接続を許可する場合は、 no login ライン コンフィギュレーション コマンドを使用します。


) ユーザ名は 1 つ以上設定しなければなりません。また login local をアクセス ポイントとの Telnet セッションを開くように設定する必要があります。 ユーザ名が 1 つだけの場合に入力しなければ、アクセス ポイントからロックアウトされることがあります。


複数の権限レベルの設定

デフォルトでは、IOS ソフトウェアはユーザ EXEC モードと イネーブル EXEC モードの 2 つパスワードを使用します。 各モードに最大 16 階層のコマンドを設定できます。 複数のパスワードを設定すると、異なるユーザ層が指定されたコマンドにアクセスするのを許可できます。

たとえば、多くのユーザが clear line コマンドにアクセスするのを許可する場合、このコマンドにレベル 2 セキュリティを指定し、レベル 2 のパスワードを広く公平に配布できます。 一方、 configure コマンドへのアクセスを上記よりも厳しくしたい場合、このコマンドにレベル 3 セキュリティを指定し、より限られたユーザ グループにレベル 3 のパスワードを配布します。

この項では次の設定情報を扱います。

「コマンドへの権限レベルの設定」

「権限レベルへのログインと終了」

コマンドへの権限レベルの設定

イネーブル EXEC モードから、次の手順に従って特定のコマンド モードに権限レベルを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

privilege mode level level command

コマンドに権限レベルを設定します。

mode にはグローバル コンフィギュレーション モードでは
configure を、EXEC モードでは exec を、インターフェイス コンフィギュレーション モードでは interface を、ライン コンフィギュレーション モードでは line を入力します。

level の指定範囲は 0 ~ 15 です。Level 1 は通常のユーザ EXEC モードの権限です。 Level 15 は イネーブル パスワードで許可されるアクセス レベルです。

command にはアクセスを制限するコマンドを指定します。

ステップ 3

enable password level level password

権限レベルにイネーブル パスワードを指定します。

level の指定範囲は 0 ~ 15 です。Level 1 は通常のユーザ EXEC モードの権限です。

password には 1 ~ 25 文字の英数字を指定します。 文字列は数字以外で始まり、大文字小文字を区別します。空白を入れることはできますが、先頭の空白は無視されます。 デフォルトでは、パスワードは定義されません。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

または

show privilege

入力内容を確認します。

最初のコマンドで、パスワードとアクセス レベルの設定が表示されます。 2 番目のコマンドは権限レベルの設定を表示します。

ステップ 6

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

権限レベルにコマンドを設定すると、そのコマンドを構成する構文を持つすべてのコマンドもそのレベルに設定されます。 たとえば、 show ip route コマンドを Level 15 に設定すると、 show コマンドと show ip コマンドは、個別に違うレベルに設定しなければ自動的に Level 15 の権限に設定されます。

特定のコマンドについて、デフォルトの権限に戻すには、 no privilege mode level level command グローバル コンフィギュレーション コマンドを使用します。

次の例は、 configure コマンドを権限 Level 14 に設定し、ユーザが Level 14 のコマンドを使用する場合に入力するパスワードとして SecretPswd14 を定義する方法を示します。

AP(config)# privilege exec level 14 configure
AP(config)# enable password level 14 SecretPswd14

権限レベルへのログインと終了

イネーブル EXEC モードから、次の手順に従って、指定された権限レベルにログインし、指定された権限レベルに出ます。

 

コマンド
目的

ステップ 1

enable level

指定された権限レベルにログインします。

level に指定する範囲は 0 ~ 15 です。

ステップ 2

disable level

指定された権限レベルに出ます。

level に指定する範囲は 0 ~ 15 です。

RADIUS によるアクセス ポイントへのアクセスの制御

この項では、管理者が Remote Authentication Dial-In User Service(RADIUS)を使用してアクセス ポイントにアクセスするのを制御する手順について説明します。 RADIUS をサポートするアクセス ポイントを設定する手順は、 第11章「RADIUS と TACACS+ サーバの設定」 を参照してください。

RADIUS は詳細なアカウンティング情報を提供し、認証と許可プロセスを柔軟に管理します。 RADIUS は AAA を通じて効率化され、AAA コマンドでのみ有効に設定できます。


) この項で使用するコマンドの構文と使用方法については、『Cisco IOS セキュリティ コマンド リファレンス Release 12.2』を参照してください。


次の項で RADIUS の設定について説明しています。

「デフォルトの RADIUS 設定」

「RADIUS ログイン認証の設定」(必須)

「AAA サーバ グループの定義」(オプション)

「ユーザ イネーブル アクセスとネットワーク サービスの RADIUS 許可の設定」(オプション)

「RADIUS 設定の表示」

デフォルトの RADIUS 設定

RADIUS と AAA はデフォルトで無効になっています。

セキュリティの失効を防ぐために、ネットワーク管理アプリケーションを通じて RADIUS を設定することはできません。 RADIUS を有効にすると、CLI を通じてアクセス ポイントにアクセスするユーザを認証します。

RADIUS ログイン認証の設定

AAA 認証を設定するには、認証方式のリストを名前を付けて定義し、そのリストを各種のインターフェイスに適用します。 方式リストには、実行される認証のタイプと実行される順序が定義されます。特定のインターフェイスで定義済みの認証方式のいずれかが実行される前に、そのインターフェイスにリストを適用する必要があります。 唯一の例外はデフォルト方式リスト(偶然にも default という名前)です。 デフォルトの方式リストは、明示的に定義された名前付きの方式リストを持つインターフェイスを除き、すべてのインターフェイスに自動的に適用されます。

方式リストは、ユーザの認証で照会されるシーケンスと認証方式を詳細に表します。 1 つまたは複数のセキュリティ プロトコルを認証用に指定できるため、最初の方法が失敗した場合に認証のバックアップシステムが確実に機能します。 ソフトウェアはリストの最初の方式を使用してユーザを認証します。その方式が応答しない場合、ソフトウェアは方式リストで次の認証方式を選択します。 このプロセスは、リスト内の認証方式との通信が成功するまで、または定義されたすべての方式が試行されるまで続きます。 このサイクルでいずれの認証にも成功しない場合、すなわちセキュリティ サーバまたはローカル ユーザ名データベースがユーザ アクセスの拒否を返した場合、認証プロセスは停止し、他の認証方式は試行されません。

イネーブル EXEC モードから、次の手順に従ってログイン認証を設定します。 この手順は必須です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA を有効にします。

ステップ 3

aaa authentication login { default | list-name } method1 [ method2... ]

ログイン認証方式リストを作成します。

login authentication コマンドで名前付きのリストが指定されて いない 場合に使用するデフォルトのリストを作成する場合は、 default キーワードの後に、デフォルト状況で使用する方式を指定します。 デフォルトの方式リストは自動的にすべてのインターフェイスに適用されます。

list-name には、作成するリストに付ける名前の文字列を指定します。

method1... には、認証アルゴリズムが試行する実際の方式を指定します。 補足的な認証方式が使用されるのは、それまでの方式が失敗した場合ではなく、エラーを返した場合のみです。

次の方式のいずれかを選択します。

local :認証にローカル ユーザ名データベースを使用します。 データベースにユーザ名情報を入力します。 username
password グローバル コンフィギュレーション コマンドを使用します。

radius :RADIUS 認証を使用します。 この認証方式を使用する前に、RADIUS サーバを設定する必要があります。 詳細については、「RADIUS サーバ ホストの特定」を参照してください。

ステップ 4

line [ console | tty | vty ] line-number [ ending-line-number ]

ライン コンフィギュレーション モードを開始し、認証リストを適用する行を設定します。

ステップ 5

login authentication
{
default | list-name }

認証リストを 1 行または複数行に適用します。

default を指定した場合、 aaa authentication login コマンドで作成したデフォルト リストを使用します。

list-name には、 aaa authentication login コマンドで作成したリストを指定します。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show running-config

入力内容を確認します。

ステップ 8

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

AAA を無効にするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。 AAA 認証を無効にするには、 no aaa authentication login {default | list-name } method1 [ method2... ] グローバル コンフィギュレーション コマンドを使用します。 ログインの RADIUS 認証を無効にするか、デフォルト値に戻るには、 no login authentication { default | list-name } line コンフィギュレーション コマンドを使用します。

AAA サーバ グループの定義

AAA サーバ グループを使用して認証用に既存のサーバ ホストをグループ化するようにアクセス ポイントを設定できます。 設定されたサーバ ホストのサブセットを選択し、特定のサービスに使用します。 このサーバ グループは、グローバル サーバ-ホスト リストで使用されます。このリストには、特定のサーバ-ホストの IP アドレスが示されています。

サーバ グループには同じサーバに対して複数のホストがエントリされている場合がありますが、これは各エントリに一意の識別子があり(IP アドレスと UDP ポート番号の組み合わせ)、これを使ってそれぞれのポートを特定の AAA サービスを提供する RADIUS ホストとして個別に定義できる場合です。 同一の RADIUS サーバに同じサービス(アカウンティングなど)を行う 2 つのホストを設定している場合、2 番目に設定されたホストは最初のホストの故障時のバックアップとして機能します。

特定のサーバを定義済みグループ サーバに結合する場合は、 server グループ サーバ コンフィギュレーション コマンドを使用します。 IP アドレスでサーバを特定するか、オプションの auth-port acct-port キーワードを使用して複数のホスト インスタンスまたはエントリを特定できます。

イネーブル EXEC モードから、次の手順に従って、AAA サーバ グループを定義し、特定の RADIUS サーバをそのグループに結合します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA を有効にします。

ステップ 3

radius-server host { hostname |
ip-address } [ auth-port port-number ]
[ acct-port port-number ] [ timeout
seconds ] [ retransmit retries ] [ key string ]

リモート RADIUS サーバ ホストの IP アドレスまたはホスト名を指定します。

(オプション) auth-port port-number には認証要求の UDP 宛先ポートを指定します。

(オプション) acct-port port-number にはアカウンティング要求の UDP 宛先ポートを指定します。

(オプション) timeout seconds には、アクセス ポイントが
RADIUS サーバの返答を待機し、再度伝送するまでの時間を指定します。 範囲は 1 ~ 1000 です。この設定は radius-server timeout グローバル コンフィギュレーション コマンドの設定よりも優先されます。 radius-server host コマンドにタイムアウトが設定されていない場合、 radius-server timeout コマンドの設定が使用されます。

(オプション) retransmit retries には、サーバが返答しない場合、または返答が遅い場合に、RADIUS 要求をサーバに再送する回数を指定します。 範囲は 1 ~ 1000 です。 radius-server host コマンドに再伝送値が設定されていない場合、 radius-server retransmit グローバル コンフィギュレーション コマンドの設定が使用されます。

(オプション) key string には、アクセス ポイントと RADIUS サーバで実行される RADIUS デーモンの間で使用される認証と暗号化キーを指定します。


) このキーはテキスト文字列で、RADIUS サーバで使用される暗号化キーと一致する必要があります。 キーは常に
radius-server host コマンドで最後に設定してください。 先頭の空白は無視されますが、キー内およびキーの最後の空白は有効です。 キーに空白を使用する場合、引用符がキーの一部を構成する場合を除き、キーを引用符で囲まないでください。


単一の IP アドレスに対応する複数のホスト エントリをアクセス ポイントで認識するように設定するには、このコマンドを必要な数だけ入力し、各 UDP ポート番号が異なることを確認してください。 アクセス ポイントのソフトウェアは、指定した順序でホストを検索します。 個々の RADIUS ホストで使用するタイムアウト、再伝送、暗号化キーの値を設定します。

ステップ 4

aaa group server radius group-name

AAA サーバ-グループをグループ名で定義します。

このコマンドを指定すると、アクセス ポイントはサーバ グループ コンフィギュレーション モードに移行します。

ステップ 5

server ip-address

特定の RADIUS サーバを定義されたサーバ グループに結合します。 この手順を、AAA サーバ グループの各 RADIUS サーバについて繰り返します。

グループ内の各サーバは、手順 2 であらかじめ定義されていなければなりません。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show running-config

入力内容を確認します。

ステップ 8

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

ステップ 9

RADIUS ログイン認証を有効にします。 「RADIUS ログイン認証の設定」を参照してください。

特定の RADIUS サーバを削除するには、 no radius-server host hostname | ip-address グローバル コンフィギュレーション コマンドを使用します。 設定リストからサーバ グループを削除する場合は、 no aaa group server radius group-name グローバル コンフィギュレーション コマンドを使用します。 RADIUS サーバの IP アドレスを削除するには、 no server ip-address サーバ グループ コンフィギュレーション コマンドを使用します。

この例では、アクセス ポイントは異なる 2 つの RADIUS グループ サーバ( group1 group2 )を認識するように設定されます。 group1 には同じ RADIUS サーバに同じサービスが設定された 2 つのホストが入力されています。 2 番目のホスト エントリは最初のエントリの故障時のバックアップとして機能します。

AP(config)# aaa new-model
AP(config)# radius-server host 172.20.0.1 auth-port 1000 acct-port 1001
AP(config)# radius-server host 172.10.0.1 auth-port 1645 acct-port 1646
AP(config)# aaa group server radius group1
AP(config-sg-radius)# server 172.20.0.1 auth-port 1000 acct-port 1001
AP(config-sg-radius)# exit
AP(config)# aaa group server radius group2
AP(config-sg-radius)# server 172.20.0.1 auth-port 2000 acct-port 2001
AP(config-sg-radius)# exit

ユーザ イネーブル アクセスとネットワーク サービスの RADIUS 許可の設定

AAA 許可はユーザが使用できるサービスを制限します。 AAA 許可が有効になっている場合、アクセス ポイントはユーザのプロファイルから取り出した情報を使用してユーザのセッションを設定します。このプロファイルはローカル ユーザ データベースかセキュリティ サーバにあります。 ユーザが要求したサービスへのアクセスが許可されるのは、ユーザ プロファイル内の情報によってアクセスが許可される場合のみです。

aaa authorization グローバル コンフィギュレーション コマンドと radius キーワードを使用すると、ユーザのネットワークへのアクセスをイネーブル EXEC モードに制限するパラメータを設定できます。

これらの許可パラメータは、aaa authorization exec radius local コマンドで設定されます。

認証に RADIUS が使用された場合、イネーブル EXEC アクセス許可に RADIUS を使用します。

認証に RADIUS を使用していない場合は、ローカル データベースを使用します。


) 許可が設定されている場合でも、CLI からログインする認証ユーザに対しては、許可が省略されます。


イネーブル EXEX モードから、次の手順に従ってイネーブル EXEC アクセスとネットワーク サービスに RADIUS 許可を指定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa authorization network radius

ネットワーク関連のすべてのサービス要求に対して、ユーザが RADIUS 許可を受けるようにアクセス ポイントを設定します。

ステップ 3

aaa authorization exec radius

ユーザ RADIUS 許可でユーザのイネーブル EXEC アクセス権所有を判断するように、アクセス ポイントを設定します。

exec キーワードを指定すると、ユーザ プロファイル情報( autocommand 情報など)が返される場合があります。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

入力内容を確認します。

ステップ 6

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

許可を無効にするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。

RADIUS 設定の表示

RADIUS 設定を表示する場合は、 show running-config イネーブル EXEC コマンドを使用します。

TACACS+ によるアクセス ポイントへのアクセスの制御

この項では、管理者が Terminal Access Controller Access Control System Plus(TACACS+)を使用してアクセス ポイントにアクセスするのを制御する手順について説明します。 TACACS+ をサポートするアクセス ポイントを設定する手順は、 第11章「RADIUS と TACACS+ サーバの設定」 を参照してください。

TACACS+ は詳細なアカウンティング情報を提供し、認証と許可のプロセスを柔軟に管理します。 TACACS+ は AAA を通じて効率化され、AAA コマンドでのみ有効に設定できます。


) この項で使用するコマンドの構文と使用方法については、『Cisco IOS セキュリティ コマンド リファレンス Release 12.2』を参照してください。


次の項で TACACS+ の設定について説明しています。

「デフォルトの TACACS+ 設定」

「TACACS+ ログイン認証の設定」

「イネーブル EXEC アクセスとネットワーク サービスの TACACS+ 許可の設定」

「TACACS+ 設定の表示」

デフォルトの TACACS+ 設定

TACACS+ と AAA はデフォルトで無効になっています。

セキュリティの失効を防ぐために、ネットワーク管理アプリケーションを通じて TACACS+ を設定することはできません。TACACS+ を有効にすると、CLI を通じてアクセス ポイントにアクセスする管理者を認証できます。

TACACS+ ログイン認証の設定

AAA 認証を設定するには、認証方式のリストを名前を付けて定義し、そのリストを各種のインターフェイスに適用します。 方式リストには、実行される認証のタイプと実行される順序が定義されます。特定のインターフェイスで定義済みの認証方式のいずれかが実行される前に、そのインターフェイスにリストを適用する必要があります。 唯一の例外はデフォルト方式リスト(偶然にも default という名前)です。 デフォルトの方式リストは、明示的に定義された名前付きの方式リストを持つインターフェイスを除き、すべてのインターフェイスに自動的に適用されます。 定義された方式リストは、デフォルトの方式リストよりも優先されます。

方式リストは、ユーザの認証で照会されるシーケンスと認証方式を詳細に表します。 1 つまたは複数のセキュリティ プロトコルを認証用に指定できるため、最初の方法が失敗した場合に認証のバックアップシステムが確実に機能します。 ソフトウェアはリストの最初の方式を使用してユーザを認証します。その方式が失敗した場合、ソフトウェアは方式リストで次の認証方式を選択します。 このプロセスは、リスト内の認証方式との通信が成功するまで、または定義されたすべての方式が試行されるまで続きます。 このサイクルでいずれの認証にも成功しない場合、すなわちセキュリティ サーバまたはローカル ユーザ名データベースがユーザ アクセスの拒否を返した場合、認証プロセスは停止し、他の認証方式は試行されません。

イネーブル EXEC モードから、次の手順に従ってログイン認証を設定します。 この手順は必須です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA を有効にします。

ステップ 3

aaa authentication login { default | list-name } method1 [ method2... ]

ログイン認証方式リストを作成します。

login authentication コマンドで名前付きのリストが指定されて いない 場合に使用するデフォルトのリストを作成する場合は、 default キーワードの後に、デフォルト状況で使用する方式を指定します。 デフォルトの方式リストは自動的にすべてのインターフェイスに適用されます。

list-name には、作成するリストに付ける名前の文字列を指定します。

method1... には、認証アルゴリズムが試行する実際の方式を指定します。 補足的な認証方式が使用されるのは、それまでの方式が失敗した場合ではなく、エラーを返した場合のみです。

次の方式のいずれかを選択します。

local :認証にローカル ユーザ名データベースを使用します。 データベースにユーザ名情報を入力します。 username
password グローバル コンフィギュレーション コマンドを使用します。

tacacs+ :TACACS+ 認証を使用します。 この認証方式を使用する前に、TACACS+ サーバを設定する必要があります。

ステップ 4

line [ console | tty | vty ] line-number [ ending-line-number ]

ライン コンフィギュレーション モードを開始し、認証リストを適用する行を設定します。

ステップ 5

login authentication
{
default | list-name }

認証リストを 1 行または複数行に適用します。

default を指定した場合、 aaa authentication login コマンドで作成したデフォルト リストを使用します。

list-name には、 aaa authentication login コマンドで作成したリストを指定します。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show running-config

入力内容を確認します。

ステップ 8

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

AAA を無効にするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。 AAA 認証を無効にするには、 no aaa authentication login {default | list-name } method1 [ method2... ] グローバル コンフィギュレーション コマンドを使用します。 ログインの TACACS+ 認証を無効にするか、デフォルト値に戻るには、 no login authentication { default | list-name } ライン コンフィギュレーション コマンドを使用します。

イネーブル EXEC アクセスとネットワーク サービスの TACACS+ 許可の設定

AAA 許可はユーザが使用できるサービスを制限します。 AAA 許可が有効になっている場合、アクセス ポイントはユーザのプロファイルから取り出した情報を使用してユーザのセッションを設定します。このプロファイルはローカル ユーザ データベースかセキュリティ サーバにあります。 ユーザが要求したサービスへのアクセスが許可されるのは、ユーザ プロファイル内の情報によってアクセスが許可される場合のみです。

aaa authorization グローバル コンフィギュレーション コマンドと tacacs+ キーワードを使用すると、ユーザのネットワークへのアクセスをイネーブル EXEC モードに制限するパラメータを設定できます。

これらの許可パラメータは、aaa authorization exec tacacs+ local コマンドで設定されます。

認証に TACACS+ が使用された場合、イネーブル EXEC アクセス許可に TACACS+ を使用します。

認証に TACACS+ を使用していない場合は、ローカル データベースを使用します。


) 許可が設定されている場合でも、CLI からログインする認証ユーザに対しては、許可が省略されます。


イネーブル EXEX モードから、次の手順に従ってイネーブル EXEC アクセスとネットワーク サービスに TACACS+ 許可を指定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa authorization network tacacs+

ネットワーク関連のすべてのサービス要求に対して、ユーザが TACACS+ 許可を受けるようにアクセス ポイントを設定します。

ステップ 3

aaa authorization exec tacacs+

ユーザ TACACS+ 許可でユーザのイネーブル EXEC アクセス権所有を判断するように、アクセス ポイントを設定します。

exec キーワードを指定すると、ユーザ プロファイル情報( autocommand 情報など)が返される場合があります。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

入力内容を確認します。

ステップ 6

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

許可を無効にするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。

TACACS+ 設定の表示

TACACS+ サーバ統計を表示するには、 show tacacs イネーブル EXEC コマンドを使用します。

アクセス ポイントのローカル認証および許可の設定

ローカル モードで AAA を実装するようにアクセス ポイントを設定すると、サーバを使用せずに作動する AAA を設定できます。 アクセス ポイントは認証と許可を処理します。 この設定ではアカウンティングは使用できません。

イネーブル EXEC モードから、次の手順に従ってローカル AAA にアクセス ポイントを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA を有効にします。

ステップ 3

aaa authentication login default local

ローカル ユーザ名データベースを使用するログイン認証を設定します。 default キーワードにより、ローカル ユーザ データベース認証がすべてのインターフェイスに適用されます。

ステップ 4

aaa authorization exec local

ローカル データベースのチェックにより、ユーザが EXEC シェルの実行を許可されているかどうかを判断するユーザ AAA 許可を設定します。

ステップ 5

aaa authorization network local

ネットワーク関連のすべてのサービス要求にユーザ AAA 許可を設定します。

ステップ 6

username name [ privilege level ] { password encryption-type password }

ローカル データベースを入力し、ユーザ名ベースの認証システムを設定します。

各ユーザについてこのコマンドを繰り返します。

name にはユーザ ID を 1 ワードで指定します。 空白とクエスチョン マークは使用できません。

(オプション) level には、ユーザがアクセスした後に取得する権限レベルを指定します。 指定範囲は 0 ~ 15 です。Level 15 はイネーブル EXEC モードのアクセスを許可します。 Level 0 はユーザ EXEC モードのアクセスを許可します。

encryption-type には、0 を入力して暗号化されていないパスワードが続くことを指定します。 後に非表示のパスワードが続くことを示す場合は、7 を入力します。

password には、アクセス ポイントにアクセスするためにユーザが入力しなければならないパスワードを指定します。 パスワードは 1 ~ 25 文字の間で指定し、空白を入れることができます。また username コマンドのオプションとして最後に指定する必要があります。

ステップ 7

end

イネーブル EXEC モードに戻ります。

ステップ 8

show running-config

入力内容を確認します。

ステップ 9

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

AAA を無効にするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。 許可を無効にするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。

アクセス ポイントの Secure Shell の設定

この項では、Secure Shell(SSH)機能の設定手順について説明します。


) この項で使用するコマンドの構文と使用方法については、『"Cisco IOS セキュリティ コマンド リファレンス Release 12.2』の"Secure Shell コマンド"の項を参照してください。


SSH の概要

SSH はレイヤ 2 またはレイヤ 3 デバイスへの安全なリモート接続を行うプロトコルです。 SSH には SSH バージョン 1 と SSH バージョン 2 の 2 つのタイプがあります。 このソフトウェア リリースでは、SSH バージョン 1 のみをサポートしています。

SSH は、リモート接続の場合、デバイスの認証時に強力な暗号化を実行するため、Telnet よりも安全性が高くなります。 SSH 機能では SSH サーバと SSH 統合クライアントを使用します。 クライアントは次のユーザ認証方式をサポートします。

RADIUS(詳細については、「RADIUS によるアクセス ポイントへのアクセスの制御」を参照)

ローカル認証と許可(詳細については、「アクセス ポイントのローカル認証および許可の設定」を参照)

SSH についての詳細は、『 Cisco IOS セキュリティ コンフィギュレーション ガイド 12.2 』の "Secure Shell の設定" の項を参照してください。


) このソフトウェア リリースの SSH 機能は、IP Security(IPSec;IP セキュリティ)をサポートしません。


SSH の設定

SSH を設定する前に、Cisco.com からクリプト ソフトウェア イメージをダウンロードします。詳細については、このリリースのリリース ノートを参照してください。

SSH の設定についての詳細は、『 Cisco IOS セキュリティ コンフィギュレーション ガイド 12.2 』の" Secure Shell の設定 "の項を参照してください。

システムの日時の管理

アクセス ポイントのシステムの日時を管理する場合は、Network Time Protocol(NTP)を使用して自動的に行うか、またはアクセス ポイントに時間と日付を手動で設定します。


) この項で使用するコマンドの構文と使用方法については、『Cisco IOS Configuration Fundamentals Command Reference for Release 12.2』を参照してください。


この項では次の設定情報を扱います。

「システム クロックの概要」

「Network Time Protocol の概要」

「NTP の設定」

「時間と日付の手動設定」

システム クロックの概要

時間サービスの中心になるのはシステム クロックです。 このクロックは、システムの起動時から始動し、日時を追跡します。

システム クロックは次のソースから設定できます。

Network Time Protocol

手動設定

システム クロックは次のサービスに時間を提供します。

ユーザ show コマンド

メッセージのロギングとデバッグ

システム クロックは、Greenwich Mean Time(GMT;グリニッジ標準時)として知られる、Universal Time Coordinated(UTC;協定世界時)に基づいて内部的に判断されます。 ローカル タイム ゾーンとサマー タイム(夏時間)の情報を設定して、ローカル タイム ゾーンの時間が正しく表示されるようにできます。

システム クロックは時間が 信頼できる か否か(すなわち、信頼性のある時刻ソースから設定されているかどうか)を追跡します。 信頼できない場合、時間は表示用にのみ使用され、配布することはできません。 詳細については、「時間と日付の手動設定」を参照してください。

Network Time Protocol の概要

NTP はネットワーク内のデバイスの時間を同期するように設計されています。 NTPは IP を使用する User Datagram Protocol(UDP)で実行されます。 NTP は RFC 1305 で文書化されています。

NTP ネットワークは通常は、無線クロックやタイム サーバに付属する原子時計などの信頼できる時刻ソースから時間を入手します。 NTP はこの時間をネットワークに配布します。 NTP はきわめて効率的で、2 台の装置をミリ秒以内の誤差で同期するのに、毎分 1 パケットも必要としません。

NTP は ストラタム の概念を用いて、デバイスが信頼できる時刻ソースから離れている NTP ホップ数を説明します。 ストラタム 1 のタイム サーバには無線または原子時計が直接接続し、ストラタム 2 タイム サーバはストラタム 1 タイム サーバから NTP を通じて時間を受け取り、これが連続します。 NTP を実行する装置は、NTP を通じて通信するデバイスで最もストラタム数の小さい装置を、自動的に時刻ソースとして選択します。 この方式により NTP スピーカから自己組織化ツリーが効率的に構築されます。

NTP は同期化されていない装置との同期化は決して行わないなど、時間が確かではない装置との同期を避けます。 また NTP は複数の装置から報告された時間を比べ、ストラタムが低い場合でも、他の装置と大きく時間がずれている装置との同期は行いません。

NTP を実行する装置間の通信( アソシエーション として知られる)は、通常は静的に設定され、各装置にはアソシエーションを構成するすべての装置の IP アドレスが割り当てられます。 正確な時間維持は、2 台の装置間の NTP メッセージをアソシエーションと交換することで可能になります。 ただし、LAN 環境では、NTP メッセージの代わりに IP ブロードキャスト メッセージを使用するように NTP を設定することができます。 この代用により、ブロードキャスト メッセージを送受信するように各装置を簡単に設定できるため、設定が複雑になるのが抑えられます。 ただし、その場合情報フローは一方向のみになります。

装置で維持される時間は重要なリソースです。NTP のセキュリティ機能を使用して、間違った時間が故意にまたは悪意を持って設定されるのを防ぐ必要があります。 アクセスリストベースの制限方式と暗号化認証メカニズムの 2 つのメカニズムが使用できます。

シスコの NTP の実装では、ストラタム 1 サービスはサポートしません。無線または原子クロックに接続することはできません。 ネットワークの時刻サービスは、IP インターネットで使用できる一般の NTP サーバから入手することをお勧めします。NTP を使用した通常のネットワークの例を図 6-1に示しています。

インターネットからネットワークが切り離されている場合、シスコの NTP 実装では、各装置が NTP を通じて同期されているように振る舞いますが、実際には他の方法で時間を判断しています。 他の装置は NTP を通じてその装置と同期を行います。

複数の時刻ソースが使用できる場合、NTP が常に信頼性の高いソースとして見なされます。 NTP の時間は他の方法で設定される時間よりも優先されます。

社内のホスト システムに NTP ソフトウェアを採用しているメーカーは多く、UNIX および UNIX 系を実行するシステム用の一般的なバージョンも使用できます。 このソフトウェアでは、ホスト システムの時間の同期も行えます。

図 6-1 一般的な NTP ネットワークの構成

 

NTP の設定

Cisco Aironet 1100 シリーズ アクセス ポイントはハードウェアでクロックをサポートしません。また外部 NTP ソースが使用できないときにピアが同期に使用する NTP マスタ クロックとして機能しません。 これらのアクセス ポイントはハードウェアでカレンダもサポートしません。 このため、ntp update-calendar と ntp master グローバル コンフィギュレーション コマンドは使用できません。

この項では次の設定情報を扱います。

「デフォルトの NTP 設定」

「NTP 認証の設定」

「NTP アソシエーションの設定」

「NTP ブロードキャスト サービスの設定」

「NTP アクセス制限の設定」

「NTP パケットの送信元 IP アドレスの設定」

「NTP 設定の表示」

デフォルトの NTP 設定

表 6-2 にデフォルトの NTP 設定を示します。

 

表 6-2 デフォルトの NTP 設定

機能
デフォルト設定

NTP 認証

無効。 認証キーが指定されていません。

NTP ピアまたはサーバ アソシエーション

設定されていません。

NTP ブロードキャスト サービス

無効。NTP ブロードキャスト パケットを送受信するインターフェイスはありません。

NTP アクセス制限

アクセス制御が指定されていません。

NTP パケット発信元 IP アドレス

発信元アドレスは発信側インターフェイスで判断されます。

NTP はデフォルトで無効に設定されています。

NTP 認証の設定

この手順は NTP サーバの管理者と調整する必要があります。この手順で設定する情報は、アクセス ポイントが NTP サーバに時間を同期する際に使用するサーバにより照合されなければなりません。

イネーブル EXEC モードから、次の手順に従ってセキュリティ用の他の装置とのアソシエーション(NTP を実行する装置間の通信、正確な時間を維持します)を認証します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ntp authenticate

デフォルトでは無効に設定されている NTP 認証機能を有効にします。

ステップ 3

ntp authentication-key number md5 value

認証キーを定義します。 デフォルトではキーは定義されていません。

number にはキー番号を指定します。 指定範囲は 1 ~
4294967295 です。

md5 は、message digest algorithm(MD5)を使用するメッセージ認証がサポートされることを指定します。

value には、キーに使用する 8 文字までの任意の文字列を入力します。

アクセス ポイントは、双方が認証キーのいずれかを保有していなければ装置を同期しません。キー番号は ntp trusted-key
key-number コマンドで指定します。

ステップ 4

ntp trusted-key key-number

ピア NTP 装置がアクセス ポイントの同期のために NTP パケットで指定しなければならないキー番号(手順 3 で定義)を 1 つまたは複数指定します。

デフォルトでは、信頼されるキーは定義されていません。

key-number には手順 3 で定義したキーを指定します。

このコマンドは、アクセス ポイントが信頼できない装置に故意に同期されるのを防ぎます。

ステップ 5

end

イネーブル EXEC モードに戻ります。

ステップ 6

show running-config

入力内容を確認します。

ステップ 7

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

NTP 認証を無効にするには、 no ntp authenticate グローバル コンフィギュレーション コマンドを使用します。 認証キーを削除するには、 no ntp authentication-key number グローバル コンフィギュレーション コマンドを使用します。 装置の ID の認証を無効にするには、 no ntp trusted-key key-number グローバル コンフィギュレーション コマンドを使用します。

次の例では、装置の NTP パケットに認証キー 42 が指定された装置のみを基準に、アクセス ポイントが同期を行うように設定する手順を示します。

AP(config)# ntp authenticate
AP(config)# ntp authentication-key 42 md5 aNiceKey
AP(config)# ntp trusted-key 42

NTP アソシエーションの設定

NTP アソシエーションはピア アソシエーション(このアクセス ポイントでは他の装置との間でお互いの同期が可能です)か、またはサーバ アソシエーション(このアクセス ポイントが他の装置と同期を行い、他の装置からの同期は許可されません)になります。

イネーブル EXEC モードから、次の手順に従って他の装置との NTP アソシエーションを構成します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ntp peer ip-address [ version number ] [ key keyid ] [ source interface ] [ prefer ]

または

ntp server ip-address [ version number ] [ key keyid ] [ source interface ] [ prefer ]

アクセス ポイントでピアを同期するか、ピアが同期するかのいずれかにシステム クロックを設定します(ピア アソシエーション)。

または

アクセス ポイントのシステム クロックを、タイム サーバに同期させるように設定します(サーバ アソシエーション)。

デフォルトではピア アソシエーションもサーバ アソシエーションも定義されていません。

ピア アソシエーションの ip-address には、クロック同期を行うピアまたはクロック同期が行われるピアの IP アドレスを指定します。 サーバ アソシエーションでは、クロック同期を行うタイム サーバ サーバの IP アドレスを指定します。

(オプション) number には NTP バージョン番号を指定します。 範囲は 1 ~ 3 です。デフォルトではバージョン 3 が選択されています。

(オプション) keyid には、 ntp authentication-key グローバル コンフィギュレーション コマンドで定義された認証キーを入力します。

(オプション) interface には、IP 送信元アドレスを入手するインターフェイスを指定します。 デフォルトでは、送信元 IP アドレスは発信元インターフェイスから取得されます。

(オプション)このピアまたはサーバを同期を行う優先ピアまたはサーバに指定する場合は、 prefer キーワードを入力します。 このキーワードを指定すると、ピアとサーバ間での前後のスイッチングが低減します。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力内容を確認します。

ステップ 5

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

アソシエーションの一端のみを設定します。もう片方の装置が自動的にアソシエーションを形成します。 デフォルトの NTP バージョン(バージョン 3)を使用している場合、NTP 同期が行われなければ、NTP バージョン 2 を使用して同期を試みます。インターネット上の多くの NTP サーバはバージョン 2 を実行しています。

ピアまたはサーバ アソシエーションを削除するには、 no ntp peer ip-address または no ntp server ip-address グローバル コンフィギュレーション コマンドを使用します。

次の例は、NTP バージョン 2 を使用して IP アドレス 172.16.22.44 のピアのクロックにシステム クロックを同期するアクセス ポイントを設定する手順を示しています。

AP(config)# ntp server 172.16.22.44 version 2

NTP ブロードキャスト サービスの設定

NTP を実行する装置間の通信( アソシエーション として知られる)は、通常は静的に設定され、各装置にはアソシエーションを構成するすべての装置の IP アドレスが割り当てられます。 正確な時間維持は、2 台の装置間の NTP メッセージをアソシエーションと交換することで可能になります。 ただし、LAN 環境では、NTP メッセージの代わりに IP ブロードキャスト メッセージを使用するように NTP を設定することができます。 この代用により、ブロードキャスト メッセージを送受信するように各装置を簡単に設定できるため、設定が複雑になるのが抑えられます。 ただし、情報フローは一方向のみになります。

ネットワーク上に時間情報をブロードキャストするルータのような NTP ブロードキャスト サーバが存在する場合、アクセス ポイントはインターフェイス単位で NTP ブロードキャスト パケットを送受信します。 アクセス ポイントはピアに NTP ブロードキャスト パケットを送信でき、ピアはそのパケットと同期します。 またアクセス ポイントは NTP ブロードキャスト パケットを受信して内蔵クロックを同期することができます。 この項では、NTP ブロードキャスト パケットを送信および受信する手順について説明します。

イネーブル EXEC モードから、次の手順に従って、NTP ブロードキャスト パケットをピアに送信するアクセス ポイントを設定します。このようにすると、ピアはアクセス ポイントにクロックを同期できます。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

インターフェイス コンフィギュレーション モードを開始し、NTP ブロードキャスト パケットを送信するようにインターフェイスを指定します。

ステップ 3

ntp broadcast [ version number ]
[
key keyid ] [ destination-address ]

インターフェイスが NTP ブロードキャスト パケットをピアに送信するのを有効にします。

デフォルトでは、この機能はすべてのインターフェイスで無効になっています。

(オプション) number には NTP バージョン番号を指定します。 範囲は 1 ~ 3 です。バージョンを指定しなければ、バージョン 3 が使用されます。

(オプション) keyid には、ピアにパケットを送信するときに使用する認証キーを指定します。

(オプション) destination-address には、アクセス ポイントにクロックを同期しているピアの IP アドレスを指定します。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

入力内容を確認します。

ステップ 6

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

ステップ 7

次の手順で説明するように、接続されたピアに対して NTP ブロードキャスト パケットを受信するように設定します。

インターフェイスの NTP ブロードキャスト パケットの送信を無効にするには、 no ntp broadcast インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、NTP バージョン 2 パケットを送信するインターフェイスの設定手順を示します。

AP(config)# interface gigabitethernet0/1
AP(config-if)# ntp broadcast version 2
 

イネーブル EXEC モードから、次の手順に従って、接続されたピアから NTP ブロードキャスト パケットを受信するアクセス ポイントを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

インターフェイス コンフィギュレーション モードを開始し、NTP ブロードキャスト パケットを受信するようにインターフェイスを指定します。

ステップ 3

ntp broadcast client

インターフェイスの NTP ブロードキャスト パケットの受信を有効にします。

デフォルトでは、NTP ブロードキャスト パケットを受信するインターフェイスはありません。

ステップ 4

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 5

ntp broadcastdelay microseconds

(オプション)アクセス ポイントと NTP ブロードキャスト サーバ間で推定されるラウンドトリップ遅延を変更します。

デフォルトは 3000 マイクロ秒です。範囲は 1 ~ 999999 です。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show running-config

入力内容を確認します。

ステップ 8

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

インターフェイスの NTP ブロードキャスト パケットの受信を無効にするには、 no ntp broadcast client インターフェイス コンフィギュレーション コマンドを使用します。 推定されるラウンドトリップ遅延をデフォルトに変更するには、 no ntp broadcastdelay グローバル コンフィギュレーション コマンドを使用します。

次の例では、NTP ブロードキャスト パケットを受信するインターフェイスの設定手順を示します。

AP(config)# interface gigabitethernet0/1
AP(config-if)# ntp broadcast client

NTP アクセス制限の設定

NTP アクセスは次の項で説明するように、2 つのレベルで制御できます。

「アクセス グループの作成と基本的な IP アクセス リストの指定」

「特定のインターフェイスでの NTP サービスの無効化」

アクセス グループの作成と基本的な IP アクセス リストの指定

イネーブル EXEC モードから、次の手順に従って、NTP サービスへのアクセスをアクセス リストで制御します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ntp access-group { query-only | serve-onl y | serve | peer } access-list-number

アクセス グループを作成し、基本的な IP アセクス リストを適用します。

キーワードは次のような意味があります。

query-only :NTP 制御クエリのみを許可します。

serve-only :時間要求のみを許可します。

serve :時間要求と NTP 制御クエリを許可しますが、アクセス ポイントのリモート装置との同期を許可しません。

peer :時間要求と NTP 制御クエリを許可し、アクセス ポイントのリモート装置との同期も許可します。

access-list-number には、1 ~ 99 の標準的な IP アクセス リスト番号を入力します。

ステップ 3

access-list access-list-number permit source [ source-wildcard ]

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

入力内容を確認します。

ステップ 6

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

アクセス ポイントのキーワードは、最も信頼できないものから信頼できるものに順番にスキャンされます。

1. peer :時間要求と NTP 制御クエリを許可し、アドレスがアクセス リストの基準を満たす装置との同期をアクセス ポイントに許可します。

2. serve :時間要求と NTP 制御クエリを許可しますが、アドレスがアクセス リストの基準を満たす装置との同期をアクセス ポイントに許可しません。

3. serve-only :アドレスがアクセス リストの基準を満たす装置からのみ時間要求を受け付けます。

4. query-only :アドレスがアクセス リストの基準を満たす装置からのみ NTP 制御クエリを受け付けます。

送信元 IP アドレスがアクセス リストの複数のアクセス タイプに一致する場合は、最初のタイプが許可されます。 アクセス グループが指定されていない場合、すべての装置にすべてのアクセス タイプが許可されます。 アクセス グループが指定されている場合、指定されたアクセス タイプのみが許可されます。

アクセス ポイントの NTP サービスへのアクセス制御を削除するには、 no ntp access-group
{ query-only | serve-only | serve | peer } グローバル コンフィギュレーション コマンドを使用します。

次の例では、アクセス リスト 99 のピアとの同期が許可されるアクセス ポイントの設定手順を示します。ただしこのアクセス ポイントはアクセス リスト 42 からの時間要求のみを受け付けるようにアクセスを制限します。

AP# configure terminal
AP(config)# ntp access-group peer 99
AP(config)# ntp access-group serve-only 42
AP(config)# access-list 99 permit 172.20.130.5
AP(config)# access list 42 permit 172.20.130.6

特定のインターフェイスでの NTP サービスの無効化

NTP サービスはデフォルトではすべてのインターフェイスで有効になっています。

イネーブル EXEC モードから、次の手順に従ってインターフェイスでの NTP パケットの受信を無効にします。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

インターフェイス コンフィギュレーション モードを開始し、インターフェイスを無効に指定します。

ステップ 3

ntp disable

インターフェイスでの NTP パケットの受信を無効にします。

デフォルトでは、すべてのインターフェイスで NTP パケットが受信されます。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

入力内容を確認します。

ステップ 6

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

インターフェイスで NTP パケットの受信を再度有効にするには、 no ntp disable インターフェイス コンフィギュレーション コマンドを使用します。

NTP パケットの送信元 IP アドレスの設定

アクセス ポイントが NTP パケットを送信する場合、通常、送信元 IP アドレスは NTP パケットを送信するインターフェイスのアドレスに設定されます。 すべての NTP パケットに特定の送信元 IP アドレスを使用する場合は、 ntp source グローバル コンフィギュレーション コマンドを使用します。 アドレスは指定されたインターフェイスのアドレスを使用します。 このコマンドは、インターフェイス上のアドレスを応答パケットの宛先として使用できない場合に便利です。

イネーブル EXEC モードから、次の手順に従って、IP 送信元アドレスとして使用する特定のインターフェイスを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ntp source type number

IP 送信元アドレスとして使用するインターフェイスのタイプと番号を指定します。

デフォルトでは、発信元アドレスは発信側インターフェイスで判断されます。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力内容を確認します。

ステップ 5

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

指定されるインターフェイスは、すべての宛先に送信されるすべてのパケットの送信元アドレスとして使用されます。 送信元アドレスを特定のアソシエーションに使用する場合、「NTP アソシエーションの設定」で説明するように、 ntp peer または n tp server グローバル コンフィギュレーション コマンドに source キーワードを使用します。

NTP 設定の表示

NTP 情報を表示する場合、2 つのイネーブル EXEC コマンドを使用できます。

show ntp associations [ detail ]

show ntp status

これらの表示のフィールドについては、『 Cisco IOS Configuration Fundamentals Command Reference for Release 12.1 』を参照してください。

時間と日付の手動設定

時刻ソースが使用できない場合、システムの再起動後に手動で時間と日付を設定できます。 時間は次のシステムの再起動まで正確に維持されます。 手動設定は最後の手段として行うことをお勧めします。 アクセス ポイントが同期できる外部ソースがある場合、システム クロックを手動で設定する必要はありません。

この項では次の設定情報を扱います。

「システム クロックの設定」

「時間と日付の設定の表示」

「タイム ゾーンの設定」

「サマー タイム(夏時間)の設定」

システム クロックの設定

ネットワークに NTP サーバなどの時間サービスを行う外部ソースが存在する場合、システム クロックを手動で設定する必要はありません。

イネーブル EXEC モードから、次の手順に従ってシステム クロックを設定します。

 

コマンド
目的

ステップ 1

clock set hh : mm : ss day month year

または

clock set hh : mm : ss month day year

次の形式のいずれかを使用してシステム クロックを手動で設定します。

hh : mm : ss には、時間(24 時間形式)、分、秒を指定します。 設定されたタイム ゾーンを基準に時間を指定します。

day には、当月の日にちで日付を指定します。

month には月を名前で指定します。

year には、年(略語ではない)を指定します。

ステップ 2

show running-config

入力内容を確認します。

ステップ 3

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

次の例では、システム クロックを 2001 年 7 月 23 日 1:32 p.m. に手動で設定する手順を示します。

AP# clock set 13:32:00 23 July 2001

時間と日付の設定の表示

時間と日付の設定を表示するには、 show clock [ detail ] イネーブル EXEC コマンドを使用します。

システム クロックは、時間の信頼性(正確性)を示す authoritative フラグを表示し続けます。 システム クロックが NTP などの時刻ソースで設定されている場合は、このフラグが設定されます。 時間が信頼できない場合、表示用にのみ使用されます。 ピアの時間が無効になった場合、クロックが信頼でき authoritative フラグが設定されるまで、このフラグがピアのクロックとの同期を防ぎます。

show clock の前に表示される記号は次のような意味があります。

*:時間が信頼できません。

(空白):時間が信頼できます。

.:時間は信頼できますが、NTP は同期が行われていません。

タイム ゾーンの設定

イネーブル EXEC モードから、次の手順に従ってタイム ゾーンを手動で設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

clock timezone zone hours-offset [ minutes-offset ]

タイム ゾーンを設定します。

アクセス ポイントは内部時間を Universal Time Coordinated(UTC;協定世界時)に維持するため、このコマンドは表示用、および時間が手動で設定された場合にのみ使用されます。

zone には、標準時間が有効な場合に表示されるタイム ゾーンの名前を入力します。 デフォルトは UTC です。

hours-offset には、UTC からオフセットした時間を入力します。

(オプション) minutes-offset には、UTC からオフセットした分を入力します。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力内容を確認します。

ステップ 5

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

clock timezone グローバル コンフィギュレーション コマンドの minutes-offset 変数は、ローカル タイム ゾーンが UTC と 1 時間以内の一定の率だけ違っている場合に使用できます。 たとえば、大西洋沿岸カナダ(AST)の一部地域のタイム ゾーンは UTC-3-5 です。3 は 3 時間、5 は 50 パーセントを意味します。 この場合、コマンドを clock timezone AST -3 30 と指定することになります。

時間を UTC に設定するには、 no clock timezone グローバル コンフィギュレーション コマンドを使用します。

サマー タイム(夏時間)の設定

イネーブル EXEX モードから、次の手順に従って、1 年の特定の日付で開始および終了するサマー タイム(夏時間)を設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

clock summer-time zone recurring
[ week day month hh : mm week day month hh : mm [ offset ]]

毎年指定された日付で開始および終了するサマー タイムを設定します。

サマー タイムはデフォルトでは無効になっています。 パラメータを指定しないで clock summer-time zone recurring を指定した場合、サマー タイムのルールは米国のルールをデフォルトとします。

zone には、サマー タイムが有効な場合に表示されるタイム
ゾーン(PDT など)の名前を入力します。

(オプション) week には、月の第何週かを指定します(1 ~ 5
または last )。

(オプション) day には、曜日(日曜、月曜...)を指定します。

(オプション) month には月を名前で指定します(january、
February...)。

(オプション) hh : mm には、時間(24 時間形式)を時間と分で指定します。

(オプション) offset には、サマー タイム期間中に追加する時間数(分)を指定します。 デフォルトは 60 です。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力内容を確認します。

ステップ 5

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

clock summer-time グローバル コンフィギュレーション コマンドの最初の部分は、サマー タイムの開始時を、2 番目の部分は終了時を指定します。 すべての時間は、ローカル タイム ゾーンを基準にします。 開始時間は標準時が基準になります。 終了時間はサマー タイムが基準になります。 開始月を終了月の後に指定した場合、システムで南半球と解釈されます。

次の例は、4 月の第 1 日曜日の 02:00 に開始し、10 月の最終日曜日の 02:00 に終了するサマー タイムを指定する手順を示しています。

AP(config)# clock summer-time PDT recurring 1 Sunday April 2:00 last Sunday October 2:00
 

居住地域のサマー タイムが再帰パターンに従っていない場合、イネーブル EXEC モードから、次の手順に従います(次のサマー タイム イベントの日付と時間を正確に設定します)。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

clock summer-time zone date [ month date year hh : mm month date year hh : mm [ offset ]]

または

clock summer-time zone date [ date month year hh : mm date month year hh : mm [ offset ]]

最初の日付で開始し、2 番目の日付で終了するサマー タイムを設定します。

サマー タイムはデフォルトでは無効になっています。

zone には、サマー タイムが有効な場合に表示されるタイム ゾーン(PDT など)の名前を入力します。

(オプション) week には、月の第何週かを指定します(1 ~ 5 または last )。

(オプション) day には、曜日(日曜、月曜...)を指定します。

(オプション) month には月を名前で指定します(january、February...)。

(オプション) hh : mm には、時間(24 時間形式)を時間と分で指定します。

(オプション) offset には、サマー タイム期間中に追加する時間数(分)を指定します。 デフォルトは 60 です。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力内容を確認します。

ステップ 5

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

clock summer-time グローバル コンフィギュレーション コマンドの最初の部分は、サマー タイムの開始時を、2 番目の部分は終了時を指定します。 すべての時間は、ローカル タイム ゾーンを基準にします。 開始時間は標準時が基準になります。 終了時間はサマー タイムが基準になります。 開始月を終了月の後に指定した場合、システムで南半球と解釈されます。

サマー タイムを無効にするには、 no clock summer-time グローバル コンフィギュレーション コマンドを使用します。

次の例は、2000 年 10 月 12 日 02:00 に開始し、2001 年 4 月 26 日 02:00 に終了するサマー タイムの設定手順を示しています。

AP(config)# clock summer-time pdt date 12 October 2000 2:00 26 April 2001 2:00

システム名とプロンプトの設定

システム名を特定する場合は、アクセス ポイントに設定します。 デフォルトでは、システム名とプロンプトは ap です。

システム プロンプトを設定しない場合、システム名の最初の 20 文字がシステム プロンプトとして使用されます。 大なり記号(>)が追加されます。 プロンプトは、システム名が変更されると必ず更新されますが、 prompt グローバル コンフィギュレーション コマンドを使用して手動でプロンプトを設定している場合は更新されません。


) この項で使用するコマンドの構文と使用方法については、『Cisco IOS Configuration Fundamentals Command Reference』と『Cisco IOS IP and IP Routing Command Reference for Release 12.1』を参照してください。


この項では次の設定情報を扱います。

「デフォルトのシステム名とプロンプトの設定」

「システム名の設定」

「DNS の概要」

デフォルトのシステム名とプロンプトの設定

アクセス ポイントのデフォルトのシステム名とプロンプトは ap です。

システム名の設定

イネーブル EXEC モードから、次の手順に従ってシステム名を手動で設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

hostname name

システム名を手動で設定します。

デフォルト設定は ap です。

この名前は ARPANET ホスト名の規則に従っていなければなりません。 すなわち、先頭は英字で、最後は英字または数字で終わります。その間の文字には英字、数字、ハイフンが使用できます。 長さは 63 文字以内です。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力内容を確認します。

ステップ 5

copy running-config startup-confi g

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

システム名を設定すると、システム プロンプトとしても使用されます。

デフォルトのホスト名に戻すには、 no hostname グローバル コンフィギュレーション コマンドを使用します。

DNS の概要

DNS プロトコルは Domain Name System(DNS;ドメイン ネーム システム)を制御します。これはホスト名を IP アドレスにマッピングする際に使用する分散型データベースです。 アクセス ポイントに DNS を設定すると、 ping telnet connect 、および関連する Telnet サポート操作で、IP アドレスの代わりに ホスト名を使用できます。

IP は階層命名方式を定義します。この方式では場所またはドメインで装置を特定することができます。 ドメイン名は区切り文字としてピリオド(.)でつなげられます。 たとえば、シスコ システムズは IP がドメイン名 com で特定される民間組織です。このためドメイン名は cisco.com になります。 このドメインの File Transfer Protocol(FTP;ファイル転送プロトコル)システムなどの個々の装置は ftp.cisco.com のように特定されます。

ドメイン名を追跡するために、IP は IP アドレスにマッピングした名前のキャッシュ(またはデータベース)を保持するドメイン ネーム サーバの概念を定義しています。 ドメイン名を IP アドレスにマッピングするには、まずホスト名を特定し、ネットワーク上に存在するネーム サーバを特定し、DNS を有効にします。

この項では次の設定情報を扱います。

「デフォルトの DNS 設定」

「DNS の設定」

「DNS 設定の表示」

デフォルトの DNS 設定

表 6-3 にデフォルトの DNS 設定を示します。

 

表 6-3 デフォルトの DNS 設定

機能
デフォルト設定

DNS が有効な状態

無効。

DNS デフォルト ドメイン名

設定されていません。

DNS サーバ

ネーム サーバ アドレスは設定されていません。

DNS の設定

イネーブル EXEC モードから、次の手順に従って DNS を使用するアクセス ポイントを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip domain-name name

ソフトウェアが非修飾ホスト名(ドット付き 10 進ドメイン名を含まない名前)を作成する場合に使用するデフォルトのドメイン名を定義します。

非修飾名をドメイン名と区切るピリオドを先頭に使用しないでください。

ブート時にはドメイン名は設定されていませんが、アクセス ポイントの設定が BOOTP または Dynamic Host Configuration Protocol(DHCP)サーバから行われている場合、(この情報が設定されている場合は)BOOTP または DHCP サーバがデフォルトのドメイン名を設定する場合があります。

ステップ 3

ip name-server server-address1 [ server-address2 ... server-address6 ]

名前とアドレスの解決に使用する 1 つまたは複数のネーム サーバのアドレスを指定します。

最大 6 基のネーム サーバを指定できます。 各サーバのアドレスは空白で区切ります。 最初に指定するサーバがプライマリ サーバになります。 アクセス ポイントは最初にプライマリ サーバに DNS クエリを送信します。 そのクエリが失敗した場合、バックアップ サーバが照会されます。

ステップ 4

ip domain-lookup

(オプション)アクセス ポイントで DNS ベースのホスト名からアドレスへの変換を有効にします。 この機能はデフォルトで有効に設定されています。

ネットワークの装置が名前の割り当てを制御していないネットワークの装置との接続を要求する場合、グローバル インターネット命名方式(DNS)を使用して、装置を一意に識別する装置名を動的に割り当てることができます。

ステップ 5

end

イネーブル EXEC モードに戻ります。

ステップ 6

show running-config

入力内容を確認します。

ステップ 7

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

アクセス ポイントの IP アドレスをホスト名として使用する場合、この IP アドレスが使用されるため DNS クエリは作成されません。 ピリオド(.)を含まないホスト名を設定すると、名前を IP アドレスにマッピングする DNS クエリが作成される前に、ホスト名にピリオドと、続いてドメイン名が追加されます。 デフォルトのドメイン名は、 ip domain-name グローバル コンフィギュレーションコマンドで設定される値です。 ホスト名にピリオド(.)が含まれている場合、IOS ソフトウェアはホスト名にデフォルトのドメイン名を追加せずに、IP アドレスを検索します。

ドメイン名を削除するには、 no ip domain-name name グローバル コンフィギュレーション コマンドを使用します。 ネーム サーバ アドレスを削除するには、 no ip name-server server-address グローバル コンフィギュレーション コマンドを使用します。 アクセス ポイントで DNS を無効にする場合は、 no ip domain-lookup グローバル コンフィギュレーション コマンドを使用します。

DNS 設定の表示

DNS 設定情報を表示する場合は、 show running-config イネーブル EXEC コマンドを使用します。

バナーの作成

message-of-the-day(MOTD)とログイン バナーを設定できます。 MOTD バナーは接続時に、接続されたすべてのターミナルに表示されます。すべてのネットワーク ユーザに行き渡るメッセージ(差し迫ったシステムのシャットダウンなど)を送信する場合に便利です。

ログイン バナーも接続されたすべてのターミナルに表示されます。 これは MOTD バナーの後、ログイン プロンプトの前に表示されます。


) この項で使用するコマンドの構文と使用方法については、『Cisco IOS Configuration Fundamentals Command Reference for Release 12.2』を参照してください。


この項では次の設定情報を扱います。

「デフォルトのバナー設定」

「Message-of-the-Day ログイン バナーの設定」

「ログイン バナーの設定」

デフォルトのバナー設定

デフォルトの MOTD とログイン バナーは設定されていません。

Message-of-the-Day ログイン バナーの設定

アクセス ポイントにログインしたときに画面に表示される 1 つまたは複数のメッセージ バナーを作成することができます。

イネーブル EXEC モードから、次の手順に従ってMOTD ログイン バナーを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

banner motd c message c

その日のメッセージを指定します。

c にはポンド記号(#)などの選択項目を区切る文字を入力し、 Return キーを押します。 区切り文字は、バナー テキストの最初と最後を指定します。 最後の区切り文字の後の文字は破棄されます。

message には、最大 255 文字のバナー メッセージを入力します。 メッセージには区切り文字は使用できません。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力内容を確認します。

ステップ 5

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

MOTD バナーを削除するには、 no banner motd グローバル コンフィギュレーション コマンドを使用します。

次の例は、開始および終了区切り文字にポンド記号(#)を使用して、アクセス ポイントに MOTD バナーを設定する手順を示しています。

AP(config)# banner motd #
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
#
AP(config)#
 

次の例は、前の設定で表示されるバナーを示しています。

Unix> telnet 172.2.5.4
Trying 172.2.5.4...
Connected to 172.2.5.4.
Escape character is '^]'.
 
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
 
User Access Verification
 
Password:

ログイン バナーの設定

接続したすべてのターミナルに表示されるログイン バナーを設定できます。 このバナーは、MOTD バナーの後、ログイン プロンプトの前に表示されます。

イネーブル EXEC モードから、次の手順に従ってログイン バナーを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

banner login c message c

ログイン メッセージを指定します。

c にはポンド記号(#)などの選択項目を区切る文字を入力し、 Return キーを押します。 区切り文字は、バナー テキストの最初と最後を指定します。 最後の区切り文字の後の文字は破棄されます。

message には、最大 255 文字のログイン メッセージを入力します。 メッセージには区切り文字は使用できません。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

入力内容を確認します。

ステップ 5

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

ログイン バナーを削除するには、 no banner login グローバル コンフィギュレーション コマンドを使用します。

次の例は、開始および終了区切り文字にドル記号($)を使用して、アクセス ポイントにログイン バナーを設定する手順を示しています。

AP(config)# banner login $
Access for authorized users only. Please enter your username and password.
$
AP(config)#