Navbar-jp

Toolbar-jp

PDFGetAcro

アクセス ポイントの管理

この章では、アクセス ポイントを管理する方法について説明します。この章の内容は、次のとおりです。

アクセス ポイントへの不正アクセスの防止

権限のないユーザがアクセス ポイントの設定を変更したり、設定情報を表示したりするのを防ぐことができます。通常は、ネットワーク管理者からアクセス ポイントへのアクセスを許可し、ローカル ネットワーク内の端末またはワークステーションから接続するユーザからのアクセスは制限します。

アクセス ポイントへの不正なアクセスを防ぐには、次のいずれかのセキュリティ機能を設定してください。

イネーブル EXEC コマンドへのアクセス防止

ネットワークで端末のアクセスを制御する簡単な方法として、パスワードの使用と特権レベルの割り当てがあります。パスワード保護は、ネットワークまたはネットワーク デバイスへのアクセスを制限します。特権レベルは、ユーザがネットワーク デバイスにログインした後に発行できるコマンドを定義します。

この項では、コンフィギュレーション ファイルとイネーブル EXEC コマンドへのアクセスを制御する方法について説明します。内容は次のとおりです。

デフォルト パスワードと特権レベルの設定

デフォルト パスワードと特権レベル にデフォルト パスワードと特権レベルの設定を示します。

デフォルト パスワードと特権レベル

機能

デフォルト設定

ユーザ名とパスワード

デフォルトのユーザ名は Cisco、デフォルトのパスワードは Cisco です。

イネーブル パスワードと特権レベル

デフォルトのパスワードは Cisco です。デフォルトはレベル 15(イネーブル EXEC レベル)です。パスワードはコンフィギュレーション ファイルで暗号化されます。

イネーブル シークレット パスワードと特権レベル

デフォルトのイネーブル パスワードは Cisco です。デフォルトはレベル 15(イネーブル EXEC レベル)です。パスワードはコンフィギュレーション ファイルに書き込まれる前に暗号化されます。

回線パスワード

デフォルトのパスワードは Cisco です。パスワードはコンフィギュレーション ファイルで暗号化されます。

静的イネーブル パスワードの設定または変更

イネーブル パスワードは、イネーブル EXEC モードへのアクセスを制御します。

イネーブル EXEC モードから、次の手順に従って静的イネーブル パスワードを設定または変更します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

enable passwordpassword

イネーブル EXEC モードにアクセスするための新しいパスワードを定義するか、既存のパスワードを変更します。

デフォルトのパスワードは Cisco です。

password には 1 〜 25 文字の英数字からなる文字列を指定します。文字列を数字で始めることはできず、大文字と小文字は区別されます。また、スペースを使用できますが、先頭のスペースは無視されます。パスワードにクエスチョン マーク(?)を含めることができます。その場合はパスワードを作成するとき、クエスチョン マークを入力する前に Ctrl+V キーを押してください。たとえば、パスワード abc?123 を作成する場合は、次のように入力します。

  1. abc を入力します。
  2. Crtl+V を入力します。
  3. ?123 を入力します。

イネーブル パスワードの入力を求められたときは、クエスチョン マークの前で Ctrl+V キーを押す必要はありません。パスワード プロンプトで単純に abc?123 と入力します。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

イネーブル パスワードは暗号化されず、アクセス ポイントのコンフィギュレーション ファイルで読み取ることができます。

次の例は、イネーブル パスワードを l1u2c3k4y5 に変更する方法を示しています。パスワードは暗号化されず、レベル 15 へのアクセス(従来のイネーブル EXEC モードへのアクセス)を可能にします。

AP(config)# enable password l1u2c3k4y5

暗号化によるイネーブル パスワードとイネーブル シークレット パスワードの保護

セキュリティ レベルを強化するために、特にネットワークを越えるパスワードや Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバに保存されたパスワードについて、グローバル設定コマンド enable password または enable secret を使用できます。どちらのコマンドを使っても、ユーザがイネーブル EXEC モード(デフォルト)または指定した特権レベルにアクセスする場合に入力が要求される暗号化パスワードを設定できます。

より高度な暗号化アルゴリズムを使用しているので、enable secret コマンドの使用をお勧めします。

enable secret コマンドを設定する場合、enable password コマンドよりも優先されます。2 つのコマンドを同時に有効にはできません。

イネーブル EXEC モードから、次の手順に従ってイネーブル パスワードとイネーブル シークレット パスワードに暗号化を設定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

enable password [levellevel] {password |encryption-type encrypted-password}

または

enable secret [levellevel] {password |encryption-type encrypted-password}

イネーブル EXEC モードにアクセスするための新しいパスワードを定義するか、既存のパスワードを変更します。

または

シークレット パスワードを定義します。これは非可逆的暗号化方式を使用して保存されます。

  • (オプション)level の指定範囲は 0 〜 15 です。レベル 1 は通常のユーザ EXEC モードの特権です。デフォルトのレベルは 15(イネーブル EXEC モードの特権)です。
  • password には 1 〜 25 文字の英数字からなる文字列を指定します。文字列を数字で始めることはできず、大文字と小文字は区別されます。また、スペースを使用できますが、先頭のスペースは無視されます。デフォルトでは、パスワードは定義されていません。
  • (オプション)encryption-type には、タイプ 5(シスコ独自の暗号化アルゴリズム)だけが指定できます。暗号化タイプを指定する場合は、別のアクセス ポイントの設定からコピーした暗号化パスワードを指定する必要があります。
  • 暗号化タイプを指定し、クリア テキスト パスワードを入力すると、イネーブル EXEC モードを再開できません。失われた暗号化パスワードはどのような方法でも復元できません。

service password-encryption

(オプション)パスワードの定義時または設定の書き込み時にパスワードを暗号化します。

暗号化により、パスワードをコンフィギュレーション ファイルで読み取ることができなくなります。

end

イネーブル EXEC モードに戻ります。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

イネーブル パスワードとイネーブル シークレット パスワードが両方とも定義されている場合、ユーザはイネーブル シークレット パスワードの方を入力する必要があります。

特定の特権レベル用のパスワードを定義するには、level キーワードを指定します。レベルを指定し、パスワードを設定した後、このレベルでアクセスする必要のあるユーザだけにパスワードを与えてください。任意のレベルでアクセスできるコマンドを指定する場合は、グローバル設定コマンド privilege level を使用します。詳細は、複数の特権レベルの設定を参照してください。

パスワードの暗号化を有効にすると、ユーザ名パスワード、認証キー パスワード、イネーブル コマンド パスワード、コンソールと仮想端末の回線パスワードを含むすべてのパスワードに適用されます。

パスワードとレベルを削除するには、グローバル設定コマンド no enable password [levellevel] または no enable secret[levellevel] を使用します。パスワードの暗号化を無効にするには、グローバル設定コマンド no service password-encryption を使用します。

次の例は、特権レベル 2 の暗号化パスワード $1$FaD0$Xyti5Rkls3LoyxzS8 を設定する方法を示しています。

AP(config)# enable secret level 2 5 $1$FaD0$Xyti5Rkls3LoyxzS8

ユーザ名とパスワードの組み合わせの設定

ユーザ名とパスワードの組み合わせを設定できます。これは、アクセス ポイントにローカルに保存されます。ユーザ名とパスワードの組み合わせは、回線またはインターフェイスに割り当てられ、各ユーザがアクセス ポイントにアクセスする際の認証に使用されます。特権レベルを定義している場合、ユーザ名とパスワードのそれぞれの組み合わせに特定の特権レベル(関連する権利と特権を含む)を割り当てることができます。

イネーブル EXEC モードから、次の手順に従って、ログイン ユーザ名とパスワードを要求するユーザ名ベースの認証システムを設定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

usernamename [privilegelevel] {passwordencryption-typepassword}

各ユーザのユーザ名、特権レベル、パスワードを入力します。

  • name には、ユーザ ID を 1 ワードで指定します。空白と引用符は使用できません。
  • (オプション)level には、ユーザがアクセス後に取得する特権レベルを指定します。指定範囲は 0 〜 15 です。レベル 15 はイネーブル EXEC モードのアクセスを許可します。レベル 1 はユーザ EXEC モードのアクセスを許可します。
  • encryption-type には、後ろに暗号化されていないパスワードが続くことを指定する場合は 0 を入力します。非表示のパスワードが続くことを指定するには 7 を入力します。
  • password には、アクセス ポイントにアクセスするためにユーザが入力しなければならないパスワードを指定します。パスワードは 1 〜 25 文字の間で指定します。空白を入れることもできます。また、パスワードは必ず username コマンドの最後のオプションとして指定してください。

login local

ログイン時にローカル パスワードのチェック機能を有効にします。認証はステップ 2 で指定したユーザ名に基づいて実行されます。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

特定のユーザに対してユーザ名の認証を無効にするには、グローバル設定コマンド no usernamename を使用します。

パスワード チェック機能を無効にし、パスワードを指定しない接続を許可する場合は、回線設定コマンド no login を使用します。

複数の特権レベルの設定

デフォルトでは、Cisco IOS ソフトウェアにはユーザ EXEC モードとイネーブル EXEC モードという 2 つのパスワード セキュリティのモードがあります。各モードにコマンドの階層を最大 16 レベルまで設定できます。複数のパスワードを設定すると、ユーザ グループ別に特定のコマンド群へのアクセスを許可できます。

たとえば、clear line コマンドへのアクセスを多くのユーザに許可する場合は、このコマンドにレベル 2 のセキュリティを指定し、レベル 2 のパスワードを広く配布します。一方、configure コマンドについては、アクセスをもう少し制限する場合、このコマンドにレベル 3 のセキュリティを指定し、より限られたユーザ グループにレベル 3 のパスワードを配布します。

この項では設定情報を扱います。

コマンドに対する特権レベルの設定

イネーブル EXEC モードから、次の手順に従って特定のコマンド モードに特権レベルを設定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

privilegemode levellevelcommand

コマンドに特権レベルを設定します。

  • mode には、グローバル設定モードの場合は configure を、EXEC モードの場合は exec を、インターフェイス設定モードの場合は interface を、回線設定モードの場合は line を入力します。
  • level の指定範囲は 0 〜 15 です。レベル 1 は通常のユーザ EXEC モードの特権です。レベル 15 はイネーブル パスワードで許可されるアクセス レベルです。
  • command にはアクセスを制限するコマンドを指定します。

enable password levellevelpassword

特権レベルにイネーブル パスワードを指定します。

  • level の指定範囲は 0 〜 15 です。レベル 1 は通常のユーザ EXEC モードの特権です。
  • password には 1 〜 25 文字の英数字からなる文字列を指定します。文字列を数字で始めることはできず、大文字と小文字は区別されます。また、スペースを使用できますが、先頭のスペースは無視されます。デフォルトでは、パスワードは定義されていません。

end

イネーブル EXEC モードに戻ります。

show running-config

または

show privilege

入力内容を確認します。

最初のコマンドは、パスワードとアクセス レベルの設定を表示します。2 番目のコマンドは、特権レベルの設定を表示します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

コマンドに特権レベルを設定すると、そのコマンドの一部を構文とするコマンドもすべてそのレベルに設定されます。たとえば、show ip route コマンドをレベル 15 に設定すると、個別に異なるレベルに設定しない限り、show コマンドと show ip コマンドも自動的にレベル 15 に設定されます。

特定のコマンドについてデフォルトの特権に戻すには、グローバル設定コマンド no privilegemodelevellevelcommand を使用します。

次の例は、configure コマンドを特権レベル 14 に設定し、ユーザがレベル 14 のコマンドを使用する場合に入力するパスワードとして SecretPswd14 を定義する方法を示しています。

AP(config)# privilege exec level 14 configure

AP(config)# enable password level 14 SecretPswd14

特権レベルへのログインと終了

イネーブル EXEC モードから、次の手順に従って、指定された特権レベルにログインし、指定された特権レベルに出ます。

コマンド

目的

enablelevel

指定した特権レベルにログインします。

level の指定範囲は 0 〜 15 です。

disable level

指定した特権レベルに出ます。

level の指定範囲は 0 〜 15 です。

RADIUS によるアクセス ポイントへのアクセスの制御

この項では、Remote Authentication Dial-In User Service(RADIUS)を使用してアクセス ポイントの管理者アクセス権を制御する手順について説明します。RADIUS をサポートするようにアクセス ポイントを設定する手順の詳細は、RADIUS と TACACS+ サーバの設定を参照してください。

RADIUS は詳細なアカウンティング情報を提供し、認証と許可のプロセスを柔軟に管理します。RADIUS は AAA を通じて効率化され、AAA コマンドでのみ有効に設定できます。

次の各項で RADIUS の設定について説明します。

デフォルトの RADIUS 設定

RADIUS と AAA は、デフォルトでは無効になっています。

セキュリティ上の危険を回避するため、ネットワーク管理アプリケーションから RADIUS を設定することはできません。RADIUS を有効にすると、CLI を通じてアクセス ポイントにアクセスするユーザを認証できます。

RADIUS ログイン認証の設定

AAA 認証を設定するには、認証方式の名前付きリストを定義し、そのリストを各種のインターフェイスに適用します。この方式リストは、実行される認証のタイプと実行順序を定義したものです。定義されたいずれかの認証方式が実行されるようにするには、この方式リストを特定のインターフェイスに適用しておく必要があります。唯一の例外はデフォルト方式リスト(名前は、default)です。デフォルトの方式リストは、明示的に定義された名前付きの方式リストを持つインターフェイスを除くすべてのインターフェイスに自動的に適用されます。

方式リストには、ユーザの認証時に照会されるシーケンスと認証方式が記述されています。認証に使用するセキュリティ プロトコルを 1 つまたは複数指定できるため、最初の方法が失敗した場合でも認証のバックアップ システムが確実に機能します。ソフトウェアは、まずリストの最初の方式を使用してユーザを認証します。その方式が応答しなければ、方式リストの次の認証方式を選択します。このプロセスは、リスト内の認証方式との通信が成功するか、定義済みの方式をすべて試行するまで続けられます。このサイクルでいずれの認証にも成功しない場合、つまりセキュリティ サーバまたはローカル ユーザ名データベースがユーザ アクセスを拒否する応答を返した場合、認証プロセスは停止し、他の認証方式は試行されません。

イネーブル EXEC モードから、次の手順に従ってログイン認証を設定します。この手順は必須です。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

aaa new-model

AAA を有効にします。

aaa authentication login {default |list-name}method1 [method2...]

ログイン認証方式リストを作成します。

  • login authentication コマンドで名前付きリストの指定をしない場合に使用されるデフォルトのリストを作成する場合は、default キーワードの後に、デフォルトで使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのインターフェイスに適用されます。
  • list-name には、作成するリストに付ける名前の文字列を指定します。
  • method1... には、認証アルゴリズムが試行する実際の方式を指定します。2 番目以降の認証方式が使用されるのは、その前の方式からエラーが返された場合に限られます。前の方式が失敗した場合ではありません。

次のいずれかの方式を選択します。

  • local:認証にローカル ユーザ名データベースを使用します。データベースにユーザ名情報を入力する必要があります。これには、グローバル設定コマンド usernamepassword を使用します。
  • radius:RADIUS 認証を使用します。この認証方式を使用するには、事前に RADIUS サーバを設定しておく必要があります。詳細は、RADIUS サーバ ホストの識別を参照してください。

line [console |tty |vty]line-number[ending-line-number]

回線設定モードを開始し、認証リストを適用する回線を設定します。

login authentication {default |list-name}

認証リストを 1 つまたは複数の回線に適用します。

  • default を指定すると、aaa authentication login コマンドで作成したデフォルトのリストが使用されます。
  • list-name には、aaa authentication login コマンドで作成したリストを指定します。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

AAA を無効にするには、グローバル設定コマンド no aaa new-model を使用します。AAA 認証を無効にするには、グローバル設定コマンド no aaa authentication login {default | list-name} method1 [method2...] を使用します。ログインの RADIUS 認証を無効にするか、デフォルト値に戻すには、回線設定コマンド no login authentication {default | list-name} を使用します。

AAA サーバ グループの定義

認証時用に AAA サーバ グループを使用して既存のサーバ ホストをグループ化するようアクセス ポイントを設定できます。設定されたサーバ ホストのサブセットを選択して、特定のサービスに使用します。このサーバ グループは、グローバル サーバ ホスト リストで使用されます。このリストには、選択されたサーバ ホストの IP アドレスのリストが示されています。

サーバ グループには、各ホスト エントリが一意の識別子(IP アドレスと UDP ポート番号の組み合わせ)を持っていれば、同一サーバに対する複数のホスト エントリを含めることも可能で、それによって、特定の AAA サービスを提供する RADIUS ホストとして異なるポートを個別に定義できます。同一の RADIUS サーバにアカウンティングなど同じサービスを実行する 2 つのホスト エントリを設定すると、2 番目に設定されたホスト エントリは最初のホスト エントリの故障時のバックアップとして機能します。

特定のサーバを定義済みグループ サーバにアソシエートするには、グループ サーバ設定コマンド server を使用します。IP アドレスでサーバを特定するか、オプションの auth-port および acct-port キーワードを使用して複数のホスト インスタンスまたはエントリを特定できます。

イネーブル EXEC モードから、次の手順に従って、AAA サーバ グループを定義し、特定の RADIUS サーバをそのグループにアソシエートします。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

aaa new-model

AAA を有効にします。

radius-server host {hostname | ip-address} [auth-portport-number] [acct-portport-number] [timeoutseconds] [retransmitretries] [keystring]

リモート RADIUS サーバ ホストの IP アドレスまたはホスト名を指定します。

  • (オプション)auth-portport-number には、認証要求の UDP 宛先ポートを指定します。
  • (オプション)acct-portport-number には、アカウンティング要求の UDP 宛先ポートを指定します。
  • (オプション)timeoutseconds には、アクセス ポイントが RADIUS サーバの返答を待ち、再送信するまでの時間を指定します。指定範囲は 1 〜 1000 です。この設定はグローバル設定コマンド radius-server timeout の設定よりも優先されます。radius-server host コマンドでこのタイムアウトを設定しない場合は、radius-server timeout コマンドの設定が使用されます。
  • (オプション)retransmitretries には、サーバが応答しない場合または応答が遅い場合に、RADIUS 要求をサーバに再送信する回数を指定します。範囲は 1 〜 1000 です。radius-server host コマンドでこの再送回数を設定しない場合は、グローバル設定コマンド radius-server retransmit の設定が使用されます。
  • (オプション)keystring には、RADIUS サーバで動作する RADIUS デーモンとアクセス ポイントの間で使用される認証と暗号キーを指定します。
  • このキーはテキスト文字列で、RADIUS サーバで使用される暗号キーと一致する必要があります。キーは必ず radius-server host コマンドの最後に設定してください。先頭の空白は無視されますが、キー内およびキーの末尾の空白は有効です。キーに空白を使用する場合、引用符がキーの一部である場合を除き、キーを引用符で囲まないでください。

アクセス ポイントが単一の IP アドレスと関連付けられた複数のホスト エントリを認識するように設定するには、このコマンドを必要な数だけ入力します。その際、各 UDP ポート番号が異なっていることを確認してください。アクセス ポイントのソフトウェアは、指定された順序でホストを検索します。個々の RADIUS ホストで使用するタイムアウト、再送信、暗号キーの値を設定します。

aaa group server radiusgroup-name

AAA サーバ グループをグループ名で定義します。

このコマンドを実行すると、アクセス ポイントはサーバ グループ設定モードへ移行します。

serverip-address

特定の RADIUS サーバを定義されたサーバ グループにアソシエートします。この手順を、AAA サーバ グループの各 RADIUS サーバについて繰り返します。

グループ内の各サーバは、手順 2 であらかじめ定義されている必要があります。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

RADIUS ログイン認証を有効にします。RADIUS ログイン認証の設定を参照してください。

特定の RADIUS サーバを削除するには、グローバル設定コマンド no radius-server hosthostname |ip-address を使用します。設定リストからサーバ グループを削除する場合は、グローバル設定コマンド no aaa group server radiusgroup-name を使用します。また、RADIUS サーバの IP アドレスを削除するには、サーバ グループ設定コマンド no server ip-address を使用します。

次の例では、アクセス ポイントは異なる 2 つの RADIUS グループ サーバ(group1group2)を認識するように設定されます。group1 には、同じ RADIUS サーバで同じサービス用に設定された異なる 2 つのホスト エントリがあります。2 番目のホスト エントリは、最初のエントリに対して故障時のバックアップとして機能します。

AP(config)# aaa new-model

AP(config)# radius-server host 172.20.0.1 auth-port 1000 acct-port 1001

AP(config)# radius-server host 172.10.0.1 auth-port 1645 acct-port 1646

AP(config)# aaa group server radius group1

AP(config-sg-radius)# server 172.20.0.1 auth-port 1000 acct-port 1001

AP(config-sg-radius)# exit

AP(config)# aaa group server radius group2

AP(config-sg-radius)# server 172.20.0.1 auth-port 2000 acct-port 2001

AP(config-sg-radius)# exit

ユーザ特権アクセスとネットワーク サービスの RADIUS 許可の設定

AAA 許可は、ユーザが使用できるサービスを制限します。AAA 許可が有効になっている場合、アクセス ポイントは、ローカル ユーザ データベースかセキュリティ サーバに保管されているユーザ プロファイルから取得した情報を使用して、ユーザのセッションを設定します。ユーザが要求したサービスへのアクセスを許可されるのは、ユーザ プロファイル内の情報により許可された場合だけです。

aaa authorization グローバル設定コマンドと radiusキーワードを使用すると、ユーザのネットワークへのアクセスをイネーブル EXEC モードに制限するパラメータを設定できます。

aaa authorization exec radius local コマンドは次の許可パラメータを設定します。

イネーブル EXEC モードから、次の手順に従ってイネーブル EXEC アクセスとネットワーク サービスに RADIUS 許可を指定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

aaa authorization network radius

ネットワーク関連のすべてのサービス要求に対して、ユーザが RADIUS 許可を受けるようにアクセス ポイントを設定します。

aaa authorization exec radius

ユーザの RADIUS 許可でユーザのイネーブル EXEC アクセス権の有無を判断するように、アクセス ポイントを設定します。

exec キーワードを指定すると、ユーザ プロファイル情報(autocommand 情報など)が返される場合があります。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

許可を無効にするには、グローバル設定コマンド no aaa authorization {network | exec} method1 を使用します。

RADIUS 設定の表示

RADIUS 設定を表示するには、show running-config イネーブル EXEC コマンドを使用します。

TACACS+ によるアクセス ポイントへのアクセスの制御

この項では、Terminal Access Controller Access Control System Plus(TACACS+)を使用してアクセス ポイントの管理者アクセス権を制御する手順について説明します。TACACS+ をサポートするようにアクセス ポイントを設定する手順の詳細は、RADIUS と TACACS+ サーバの設定を参照してください。

TACACS+ は詳細なアカウンティング情報を提供し、認証と許可のプロセスを柔軟に管理します。TACACS+ は AAA を通じて効率化され、AAA コマンドでのみ有効に設定できます。

次の項で TACACS+ の設定について説明します。

デフォルトの TACACS+ 設定

TACACS+ と AAA は、デフォルトでは無効になっています。

セキュリティ上の危険を回避するため、ネットワーク管理アプリケーションから TACACS+ を設定することはできません。TACACS+ を有効にすると、CLI 経由でアクセス ポイントにアクセスする管理者を認証できます。

TACACS+ ログイン認証の設定

AAA 認証を設定するには、認証方式の名前付きリストを定義し、そのリストを各種のインターフェイスに適用します。この方式リストは、実行される認証のタイプと実行順序を定義したものです。定義されたいずれかの認証方式が実行されるようにするには、この方式リストを特定のインターフェイスに適用しておく必要があります。唯一の例外はデフォルト方式リスト(名前は、default)です。デフォルトの方式リストは、明示的に定義された名前付きの方式リストを持つインターフェイスを除くすべてのインターフェイスに自動的に適用されます。定義された方式リストは、デフォルトの方式リストよりも優先されます。

方式リストには、ユーザの認証時に照会されるシーケンスと認証方式が記述されています。認証に使用するセキュリティ プロトコルを 1 つまたは複数指定できるため、最初の方法が失敗した場合でも認証のバックアップ システムが確実に機能します。ソフトウェアは、まずリストの最初の方式を使用してユーザを認証します。その方式が応答しなければ、方式リストの次の認証方式を選択します。このプロセスは、リスト内の認証方式との通信が成功するか、定義済みの方式をすべて試行するまで続けられます。このサイクルでいずれの認証にも成功しない場合、つまりセキュリティ サーバまたはローカル ユーザ名データベースがユーザ アクセスを拒否する応答を返した場合、認証プロセスは停止し、他の認証方式は試行されません。

イネーブル EXEC モードから、次の手順に従ってログイン認証を設定します。この手順は必須です。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

aaa new-model

AAA を有効にします。

aaa authentication login {default |list-name}method1 [method2...]

ログイン認証方式リストを作成します。

  • login authentication コマンドで名前付きリストの指定をしない場合に使用されるデフォルトのリストを作成する場合は、default キーワードの後に、デフォルトで使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのインターフェイスに適用されます。
  • list-name には、作成するリストに付ける名前の文字列を指定します。
  • method1... には、認証アルゴリズムが試行する実際の方式を指定します。2 番目以降の認証方式が使用されるのは、その前の方式からエラーが返された場合に限られます。前の方式が失敗した場合ではありません。

次のいずれかの方式を選択します。

  • local:認証にローカル ユーザ名データベースを使用します。データベースにユーザ名情報を入力する必要があります。これには、グローバル設定コマンド usernamepassword を使用します。
  • tacacs+:TACACS+ 認証を使用します。この認証方式を使用するには、事前に TACACS+ サーバを設定しておく必要があります。

line [console |tty |vty]line-number[ending-line-number]

回線設定モードを開始し、認証リストを適用する回線を設定します。

login authentication {default |list-name}

認証リストを 1 つまたは複数の回線に適用します。

  • defaultを指定すると、aaa authentication login コマンドで作成したデフォルトのリストが使用されます。
  • list-name には、aaa authentication loginコマンドで作成したリストを指定します。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

AAA を無効にするには、グローバル設定コマンド no aaa new-model を使用します。AAA 認証を無効にするには、グローバル設定コマンド no aaa authentication login {default | list-name} method1 [method2...] を使用します。ログインの TACACS+ 認証を無効にするか、デフォルト値に戻すには、回線設定コマンド no login authentication {default | list-name} を使用します。

イネーブル EXEC アクセスとネットワーク サービスの TACACS+ 許可の設定

AAA 許可は、ユーザが使用できるサービスを制限します。AAA 許可が有効になっている場合、アクセス ポイントは、ローカル ユーザ データベースかセキュリティ サーバにあるユーザ プロファイルから取得した情報を使用して、ユーザのセッションを設定します。ユーザが要求したサービスへのアクセスを許可されるのは、ユーザ プロファイル内の情報により許可された場合だけです。

aaa authorization グローバル設定コマンドと tacacs+ キーワードを使用すると、ユーザのネットワークへのアクセスをイネーブル EXEC モードに制限するパラメータを設定できます。

aaa authorization exec tacacs+ local コマンドは次の許可パラメータを設定します。

イネーブル EXEC モードから、次の手順に従ってイネーブル EXEC アクセスとネットワーク サービスに TACACS+ 許可を指定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

aaa authorization network tacacs+

ネットワーク関連のすべてのサービス要求に対して、ユーザが TACACS+ 許可を受けるようにアクセス ポイントを設定します。

aaa authorization exec tacacs+

ユーザ TACACS+ 許可でユーザのイネーブル EXEC アクセス権の有無を判断するように、アクセス ポイントを設定します。

execキーワードを指定すると、ユーザ プロファイル情報(autocommand 情報など)が返される場合があります。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

許可を無効にするには、グローバル設定コマンド no aaa authorization {network | exec} method1 を使用します。

TACACS+ 設定の表示

TACACS+ サーバ統計を表示するには、show tacacs イネーブル EXEC コマンドを使用します。

アクセス ポイントの無線ネットワーク管理の設定

アクセス ポイントを無線ネットワーク管理に対して有効にできます。Wireless Network Manager(WNM; 無線ネットワーク マネージャ)は無線 LAN 上のデバイスを管理します。

アクセス ポイントが WNM と対話するように設定するには、次のコマンドを入力します。

AP(config)# wlccp wnm ip address ip-address

WDS アクセス ポイントと WNM の間の認証ステータスをチェックするには、次のコマンドを入力します。

AP# show wlccp wnm status

not authenticated、authentication in progress, authentication fail、authenticated、security keys setup のいずれかのステータスをとります。

アクセス ポイントのローカル認証および許可の設定

ローカル モードで AAA を実装するようにアクセス ポイントを設定すると、サーバを使用せずに作動するように AAA を設定できます。アクセス ポイントは認証と許可を処理します。この設定ではアカウンティングは使用できません。

イネーブル EXEC モードから、次の手順に従ってローカル AAA にアクセス ポイントを設定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

aaa new-model

AAA を有効にします。

aaa authentication login default local

ローカル ユーザ名データベースを使用するログイン認証を設定します。default キーワードにより、ローカル ユーザ データベース認証がすべてのインターフェイスに適用されます。

aaa authorization exec local

ローカル データベースをチェックして、ユーザが EXEC シェルの実行を許可されているかどうかを判断するようにユーザ AAA 許可を設定します。

aaa authorization network local

ネットワーク関連のすべてのサービス要求に対してユーザ AAA 許可を設定します。

usernamename [privilegelevel] {passwordencryption-typepassword}

ローカル データベースを入力し、ユーザ名ベースの認証システムを設定します。

このコマンドを各ユーザについて繰り返します。

  • name には、ユーザ ID を 1 ワードで指定します。空白と引用符は使用できません。
  • (オプション)level には、ユーザがアクセス後に取得する特権レベルを指定します。指定範囲は 0 〜 15 です。レベル 15 はイネーブル EXEC モードのアクセスを許可します。レベル 0 はユーザ EXEC モードのアクセスを許可します。
  • encryption-type には、後ろに暗号化されていないパスワードが続くことを指定する場合は 0 を入力します。非表示のパスワードが続くことを指定するには 7 を入力します。
  • password には、アクセス ポイントにアクセスするためにユーザが入力しなければならないパスワードを指定します。パスワードは 1 〜 25 文字の間で指定します。空白を入れることもできます。また、パスワードは必ず username コマンドの最後のオプションとして指定してください。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

AAA を無効にするには、グローバル設定コマンド no aaa new-model を使用します。許可を無効にするには、グローバル設定コマンド no aaa authorization {network | exec} method1 を使用します。

DHCP サービスを提供するためのアクセス ポイントの設定

次の項では、アクセス ポイントを DHCP サーバとして機能させる方法について説明します。

DHCP サーバの設定

デフォルトでは、アクセス ポイントは、ネットワーク上の DHCP サーバから IP 設定を受信するように設定されています。アクセス ポイントを DHCP サーバとして機能するように設定し、IP 設定を、有線 LAN と無線 LAN 両方のデバイスに割り当てることもできます。

1100 シリーズのアクセス ポイントは、工場出荷時のデフォルト設定では ミニ DHCP サーバとして機能し、DHCP サーバから IP 設定を受信できません。ミニ DHCP サーバとして、1100 シリーズのアクセス ポイントは、そのイーサネット ポートに接続されている 1 台の PC、および SSID を使用しないか tsunami を SSID として使用するように設定されている無線クライアント デバイスに、10.0.0.11 〜 10.0.0.30 の範囲の最大 20 個の IP アドレスを提供します。このミニ DHCP サーバの機能は、1100 シリーズのアクセス ポイントに静的 IP アドレスを割り当てると、自動的に無効になります。1200 シリーズのアクセス ポイントは初期セットアップを簡単にするためのコンソール ポートがあるので、自動的に DHCP サーバにはなりません。

DHCP 関連のコマンドとオプションの詳細は、『Cisco IOS IP Configuration Guide, Release 12.2』の「Configuring DHCP」の章を参照してください。次のリンクをクリックすると、「Configuring DHCP」の章を参照できます。

http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800ca75c.html

イネーブル EXEC モードから、次の手順に従って、アクセス ポイントが DHCP サービスを提供するように設定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

ip dhcp excluded-address low_address [high_address ]

アクセス ポイントが割り当てるアドレス範囲から、アクセス ポイントの IP アドレスを除外します。アドレスを、10.91.6.158 のように 4 つのグループに区切って入力します。

DHCP アドレス プール サブネット中のすべての IP アドレスを DHCP クライアントへの割り当てに使用できると、アクセス ポイントは仮定します。DHCP サーバがクライアントに割り当てるべきでない IP アドレスを指定する必要があります。

(オプション)除外するアドレスの範囲を指定するには、範囲の下限のアドレスの後に、範囲の上限のアドレスを入力します。

ip dhcp pool pool_name

DHCP 要求に応じてアクセス ポイントが割り当てる IP アドレスのプールの名前を生成し、DHCP 設定モードを開始します。

network subnet_number
[ mask | prefix-length ]

アドレス プールにサブネット番号を割り当てます。アクセス ポイントは、このサブネット内の IP アドレスを割り当てます。

(オプション)アドレス プールにサブネット マスクを割り当てるか、アドレス接頭辞を構成するビット数を指定します。接頭辞はネットワーク マスクを割り当てる代替法です。接頭辞の長さの前には必ずスラッシュ(/)を入力してください。

lease { days [ hours ] [ minutes ] | infinite }

アクセス ポイントによって割り当てられた IP アドレスのリース期間を設定します。

  • days:日数でリース期間を設定します。
  • (オプション)hours:時間数でリース期間を設定します。
  • (オプション)minutes:分数でリース期間を設定します。
  • infinite:リース期間を無限に設定します。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

デフォルト設定に戻すには、これらのコマンドの no フォームを使用します。

次の例に、アクセス ポイントを DHCP サーバとして設定する方法を示します。

AP# configure terminal

AP(config)# ip dhcp excluded-address 172.16.1.100 172.16.1.117

AP(config)# ip dhcp pool wishbone

AP(dhcp-config)# network 172.16.1.0 255.255.255.0

AP(dhcp-config)# lease 10

AP(dhcp-config)# end

DHCP サーバ アクセス ポイントの監視と維持

次の項では、DHCP サーバ アクセス ポイントの監視と維持に使用できるコマンドについて説明します。

Show コマンド

DHCP サーバとしてのアクセス ポイントに関する情報を表示するには、EXEC モードでDHCP サーバ用の Show コマンド 中のコマンドを入力します。

DHCP サーバ用の Show コマンド

コマンド

目的

show ip dhcp conflict [ address ]

特定の DHCP サーバによって記録されているすべてのアドレス競合のリストを表示します。アクセス ポイントの IP アドレスを入力すると、アクセス ポイントによって記録されている競合が表示されます。

show ip dhcp database [ url ]

DHCP データベースでの最近のアクティビティを表示します。

  • このコマンドはイネーブル EXEC モードで使用してください。

show ip dhcp server statistics

送受信されたサーバの統計情報やメッセージに関するカウント情報を表示します。

Clear コマンド

DHCP サーバ変数を消去するには、イネーブル EXEC モードでDHCP サーバ用の Clear コマンド 中のコマンドを使用します。

DHCP サーバ用の Clear コマンド

コマンド

目的

clear ip dhcp binding
{ address | * }

DHCP データベースから自動アドレス バインディングを削除します。address 引数を指定すると、特定の(クライアント)IP アドレスの自動バインディングが消去されます。アスタリスク(*)を指定すると、すべての自動バインディングが消去されます。

clear ip dhcp conflict
{ address | * }

DHCP データベースからアドレス競合を消去します。address 引数を指定すると、特定の IP アドレスの競合が消去されます。アスタリスク(*)を指定すると、すべてのアドレスの競合が消去されます。

clear ip dhcp server statistics

すべての DHCP サーバのカウンタを 0 にリセットします。

Debug コマンド

DHCP サーバのデバッグを有効にするには、イネーブル EXEC モードで次のコマンドを使用します。

debug ip dhcp server { events | packets | linkage }

アクセス ポイント DHCP サーバのデバッグを無効にするには、このコマンドの no フォームを使用します。

アクセス ポイントのSecure Shell の設定

この項では、Secure Shell(SSH)機能の設定方法について説明します。

SSH の概要

SSH はレイヤ 2 またはレイヤ 3 デバイスに安全なリモート接続を提供するプロトコルです。SSH には、SSH バージョン 1 と SSH バージョン 2 の 2 種類のバージョンがあります。このソフトウェア リリースは SSH バージョン 1 のみをサポートしています。

SSH はデバイスの認証時に強力な暗号化を行うため、Telnet よりもリモート接続の安全性が高くなります。SSH 機能では SSH サーバと SSH 統合クライアントを使用します。クライアントは次のユーザ認証方式をサポートしています。

SSH の詳細は、『Cisco IOS Security Configuration Guide for Release 12.2』の「Configuring Secure Shell」の項を参照してください。

SSH の設定

SSH を設定する前に、Cisco.com から暗号ソフトウェア イメージをダウンロードします。詳細は、このリリースのリリース ノートを参照してください。

SSH の設定と SSH 設定の表示については、リリース 12.2 用の『Cisco IOS Security Configuration Guide』の「Configuring Secure Shell」の項を参照してください。

クライアント ARP キャッシングの設定

アソシエートされたクライアント デバイスの ARP キャッシュを保持するように、アクセス ポイントを設定できます。アクセス ポイントで ARP キャッシュを保持すると、無線 LAN のトラフィック負荷が軽減されます。ARP キャッシングはデフォルトで無効に設定されています。

この項で説明する内容は次のとおりです。

クライアント ARP キャッシングの概要

アクセス ポイントでの ARP キャッシングは、クライアント デバイスへの ARP 要求をアクセス ポイントで止めることによって、無線 LAN 上のトラフィックを軽減します。アクセス ポイントは、ARP 要求をクライアント デバイスへ転送する代わりに、アソシエートされたクライアント デバイスに代わって ARP 要求に応答します。

ARP キャッシングを無効にすると、アクセス ポイントはすべての ARP 要求をアソシエートされたクライアントに無線ポート経由で転送し、ARP 要求を受け取ったクライアントが応答します。一方、ARP キャッシングを有効にすると、アクセス ポイントはアソシエートされたクライアントに代わって ARP 要求に応答し、クライアントへは要求を転送しません。キャッシュにない IP アドレスに向けた ARP 要求を受け取ると、アクセス ポイントはその要求を廃棄して転送しません。

オプションの ARP キャッシング

アクセス ポイントにシスコ製以外のクライアント デバイスがアソシエートされ、そのデバイスがデータを通さない場合、アクセス ポイントがそのクライアントの IP アドレスを認識していない可能性が考えられます。無線 LAN でこの状況が頻発する場合は、オプションの ARP キャッシングを有効にできます。ARP キャッシングがオプションの場合、アクセス ポイントは既知の IP アドレスのクライアントについては、その代理として応答しますが、不明なクライアント宛ての ARP 要求はすべて無線ポートから転送します。アソシエートされた全クライアントの IP アドレスを記憶すると、アクセス ポイントはそれらのアソシエートされたクライアント以外に対する ARP 要求を廃棄します。

ARP キャッシングの設定

イネーブル EXEC モードから、次の手順に従って、アソシエートされたクライアントの ARP キャッシュを保持するようにアクセス ポイントを設定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

dot11 arp-cache [ optional ]

アクセス ポイントでの ARP キャッシングを有効にします。

  • (オプション)アクセス ポイントが認識している IP アドレスのクライアント デバイスに限って ARP キャッシングを有効にするには、optional キーワードを使用します。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

次の例に、アクセス ポイントで ARP キャッシングを設定する方法の例を示します。

AP# configure terminal

AP(config)# dot11 arp-cache

AP(config)# end

システムの日時の管理

アクセス ポイントのシステム時刻と日付は、Network Time Protocol(NTP; ネットワーク タイム プロトコル)を使用して自動的に管理することも、アクセス ポイントに時刻と日付を設定して手動で管理することもできます。

この項で説明する設定の内容は次のとおりです。

システム クロックの概要

時刻サービスの核になるのはシステム クロックです。このクロックはシステムの起動時に始動し、日付と時刻を常時監視します。

システム クロックは次の方法で設定できます。

システム クロックは次のサービスに時刻を提供します。

システム クロックは、Greenwich Mean Time(GMT; グリニッジ標準時)として知られる、UniversalTime Coordinated(UTC; 協定世界時)を基準にして内部的に時刻を決定します。ローカル タイム ゾーンの時刻が正しく表示されるように、ローカル タイム ゾーンとサマー タイム(夏時間)の情報を設定できます。

システム クロックは、時間が信頼できるか否か(つまり、信頼性のある時刻ソースから設定されたかどうか)を追跡します。信頼できない場合、時刻は表示のみに使用され、再配布はされません。時刻の設定方法については、時刻と日付の手動設定を参照してください。

Network Time Protocol の概要

NTP はデバイスのネットワークで時刻を同期させるためのプロトコルです。NTP は IP 上で動作する User Datagram Protocol(UDP; ユーザ データグラム プロトコル)上で実行されます。NTP は RFC 1305 で規定されています。

NTP ネットワークは通常、ラジオ クロックやタイム サーバに付属するアトミック クロックなどの信頼できる時刻ソースから時刻を取得します。NTP はこの時刻をネットワーク全体に配布します。NTP はきわめて効率的で、2 台のデバイスを 1 ミリ秒以内の誤差で同期するのに、毎分 1 パケットしか必要としません。

NTP はストラタム(層)の概念を使って、デバイスが信頼できる時刻ソースからどれだけ離れているかを NTP ホップ数で示します。ストラタム 1 のタイム サーバにはラジオ クロックまたはアトミック クロックが直接接続されており、ストラタム 2 のタイム サーバは NTP を通じてストラタム 1 のタイム サーバから時刻を受信します。同様に、以降のストラタムも時刻を受信します。NTP を実行するデバイスは、NTP で通信するデバイスのうち最もストラタム番号の小さいものを、時刻ソースとして自動的に選択します。この方式により、NTP スピーカの自動編成型ツリーが効果的に構築されます。

NTP は同期化されていないデバイスとの同期化は決して行わず、時刻が正確でない可能性のあるデバイスとの同期を回避します。また、複数のデバイスから報告された時刻を比較し、ストラタムが低くても、他のデバイスと時刻が大きくずれているデバイスとの同期は行いません。

NTP を実行するデバイス間の通信は、アソシエーションと呼ばれ、通常は静的に設定されます。つまり、アソシエーションを形成するすべてのデバイスの IP アドレスが各デバイスに割り当てられます。2 台のデバイス間の NTP メッセージをアソシエーションと交換することで、正確な時刻が維持されます。ただし、LAN 環境では、NTP メッセージの代わりに IP ブロードキャスト メッセージを使用するように NTP を設定することができます。この方法では、単純にブロードキャスト メッセージを送受信するように各デバイスを設定できるため、設定が複雑になるのが抑えられます。ただし、その場合、情報の流れは一方向に限定されます。

デバイスで維持される時刻は重要なリソースです。NTP のセキュリティ機能を使用して、間違った時刻が誤って、または悪意を持って設定されるのを防ぐ必要があります。アクセス リスト ベースの制限方式と暗号化認証メカニズムの 2 種類のメカニズムが使用できます。

シスコの NTP の実装では、ストラタム 1 サービスをサポートしていません。したがって、ラジオ クロックまたはアトミック クロックには接続できません。ネットワークの時刻サービスは、IP インターネット上で利用できる一般の NTP サーバから取得することをお勧めします。一般的な NTP ネットワークの構成 に NTP を使用した一般的なネットワークの例を示します。

インターネットからネットワークが切り離されている場合、シスコの NTP 実装では、各デバイスが NTP を通じて同期されているかのように振る舞いますが、実際には他の方法で時間を判断しています。他のデバイスは NTP を通じてそのデバイスと同期をとります。

複数の時刻ソースが使用できる場合、常に NTP がより信頼性の高いソースと見なされます。NTP の時刻は他の方法で設定される時刻よりも優先されます。

一部のホスト システムには NTP ソフトウェアが組み込まれています。また、UNIX および UNIX 系を実行するシステムの場合は、一般に利用できる NTP ソフトウェアも入手できます。こうした NTP ソフトウェアを使って、ホスト システムの時刻を同期化することもできます。

一般的な NTP ネットワークの構成

NTP の設定

Cisco Aironet 1100 シリーズのアクセス ポイントはハードウェア クロックを持っていません。また、外部 NTP ソースが使用できないときにピアが同期をとるのに使用する NTP マスタ クロックとしては機能しません。カレンダのハードウェアによるサポートもありません。このため、グローバル設定コマンド ntp update-calendar および ntp master は使用できません。

この項で説明する設定の内容は次のとおりです。

デフォルトの NTP 設定

デフォルトの NTP 設定 にデフォルトの NTP 設定を示します。

デフォルトの NTP 設定

機能

デフォルト設定

NTP 認証

無効。認証キーが指定されていません。

NTP ピアまたはサーバ アソシエーション

設定されていません。

NTP ブロードキャスト サービス

無効。NTP ブロードキャスト パケットを送受信するインターフェイスはありません。

NTP アクセス制限

アクセス制限は指定されていません。

NTP パケットの送信元 IP アドレス

送信元アドレスは発信側インターフェイスで判断されます。

デフォルトでは、NTP は無効に設定されています。

NTP 認証の設定

この手順は NTP サーバの管理者と調整する必要があります。この手順で設定する情報は、アクセス ポイントが NTP サーバと時刻を同期するために使うサーバと照合されていなければなりません。

イネーブル EXEC モードから、次の手順に従って、セキュリティのために他のデバイスとのアソシエーション(NTP を実行するデバイス間の、正確な時間維持のための通信)を認証します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

ntp authenticate

NTP 認証機能を有効にします。デフォルトでは無効に設定されています。

ntp authentication-keynumbermd5value

認証キーを定義します。デフォルトでは定義されていません。

  • number には、キー番号を指定します。指定範囲は 1 〜 4294967295 です。
  • md5 を指定すると、Message Digest 5(MD5)を使用したメッセージ認証がサポートされます。
  • valueには、キーに使用する 8 文字までの任意の文字列を入力します。

アクセス ポイントとデバイスの双方がこれらの認証キーのいずれかを保有していなければ、アクセス ポイントはデバイスと同期をとりません。キー番号は ntp trusted-keykey-number コマンドで指定します。

ntp trusted-keykey-number

アクセス ポイントが同期をとるためにピア NTP デバイスが NTP パケットで指定しなければならないキー番号(ステップ 3 で定義したキー番号)を 1 つまたは複数指定します。

デフォルトでは、信頼するキーは定義されていません。

key-number には、ステップ 3 で定義したキーを指定します。

このコマンドは、誤ってアクセス ポイントが信頼できないデバイスに同期されるのを防ぎます。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

NTP 認証を無効にするには、グローバル設定コマンド no ntp authenticate を使用します。認証キーを削除するには、グローバル設定コマンド no ntp authentication-keynumber を使用します。デバイスの ID の認証を無効にするには、グローバル設定コマンド no ntp trusted-keykey-number を使用します。

次の例では、NTP パケットで認証キー 42 を提供するデバイスのみと同期をとるようにアクセス ポイントを設定する手順を示します。

AP(config)# ntp authenticate

AP(config)# ntp authentication-key 42 md5 aNiceKey

AP(config)# ntp trusted-key 42

NTP アソシエーションの設定

NTP アソシエーションには、ピア アソシエーション(アクセス ポイントを他のデバイスに同期させることも、他のデバイスをアクセス ポイントに同期させることも可能)またはサーバ アソシエーション(アクセス ポイントを他のデバイスに同期させることのみが可能、その逆は不可)のいずれかを指定できます。

イネーブル EXEC モードから、次の手順に従って他のデバイスと NTP アソシエーションを形成します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

ntp peerip-address [versionnumber] [keykeyid] [sourceinterface] [prefer]

または

ntp serverip-address [versionnumber] [keykeyid] [sourceinterface] [prefer]

アクセス ポイントがピアに同期するか、ピアがアクセス ポイントに同期するように、アクセス ポイントのシステム クロックを設定します(ピア アソシエーション)。

または

アクセス ポイントのシステム クロックをタイム サーバに同期するように設定します(サーバ アソシエーション)。

デフォルトではピア アソシエーションもサーバ アソシエーションも定義されていません。

  • ip-address には、ピア アソシエーションの場合はクロック同期をとるピアの IP アドレスを指定します。サーバ アソシエーションの場合は、クロック同期をとるタイム サーバの IP アドレスを指定します。
  • (オプション)number には NTP バージョン番号を指定します。指定範囲は 1 〜 3 です。デフォルトではバージョン 3 が選択されています。
  • (オプション)keyid には、グローバル設定コマンド
    ntp authentication-key で定義した認証キーを入力します。
  • (オプション)interface には、送信元 IP アドレスを取得するインターフェイスを指定します。デフォルトでは、送信元 IP アドレスは発信側インターフェイスから取得されます。
  • (オプション)このピアまたはサーバを優先的に同期をとるピアまたはサーバとして指定する場合は、prefer キーワードを入力します。このキーワードを指定すると、ピア間またはサーバ間の切り替えが減少します。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

アソシエーションは一方のデバイスにしか設定する必要がありません。もう一方のデバイスは自動的にアソシエーションを確立します。デフォルトの NTP バージョン(バージョン 3)を使用していて NTP 同期が実行されない場合は、NTP バージョン 2 を使用してみてください。インターネット上の多くの NTP サーバはバージョン 2 を実行しています。

ピア アソシエーションまたはサーバ アソシエーションを削除するには、グローバル設定コマンド no ntp peerip-address または no ntp serverip-address を使用します。

次の例では、NTP バージョン 2 を使用して、IP アドレス 172.16.22.44 のピアのクロックにシステム クロックが同期するように、アクセス ポイントを設定する方法を示します。

AP(config)# ntp server 172.16.22.44 version 2

NTP ブロードキャスト サービスの設定

NTP を実行するデバイス間の通信は、アソシエーションと呼ばれ、通常は静的に設定されます。つまり、アソシエーションを形成するすべてのデバイスの IP アドレスが各デバイスに割り当てられます。2 台のデバイス間の NTP メッセージをアソシエーションと交換することで、正確な時刻が維持されます。ただし、LAN 環境では、NTP メッセージの代わりに IP ブロードキャスト メッセージを使用するように NTP を設定することができます。この方法では、単純にブロードキャスト メッセージを送受信するように各デバイスを設定できるため、設定が複雑になるのが抑えられます。ただし、その場合、情報の流れは一方向に限定されます。

時刻情報をネットワーク上にブロードキャストするルータのような NTP ブロードキャスト サーバが存在する場合、アクセス ポイントはインターフェイス単位で NTP ブロードキャスト パケットを送受信します。アクセス ポイントは、ピアに NTP ブロードキャスト パケットを送信して、ピアがそのパケットと同期をとれるようにできます。また、NTP ブロードキャスト パケットを受信して内蔵クロックを同期することもできます。この項では、NTP ブロードキャスト パケットを送信および受信する手順について説明します。

イネーブル EXEC モードから、次の手順に従って、NTP ブロードキャスト パケットをピアに送信するようにアクセス ポイントを設定します。これにより、ピアはアクセス ポイントとクロックの同期をとることができます。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

interfaceinterface-id

インターフェイス設定モードを開始し、NTP ブロードキャスト パケットを送信するインターフェイスを指定します。

ntp broadcast [versionnumber] [keykeyid] [destination-address]

インターフェイスが NTP ブロードキャスト パケットをピアに送信できるようにします。

デフォルトでは、この機能はすべてのインターフェイスで無効になっています。

  • (オプション)number には NTP バージョン番号を指定します。指定範囲は 1 〜 3 です。バージョンの指定を省略すると、バージョン 3 が使用されます。
  • (オプション)keyid には、ピアにパケットを送信するときに使用する認証キーを指定します。
  • (オプション)destination-address には、クロックをアクセス ポイントに同期しているピアの IP アドレスを指定します。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

次の手順で説明するように、接続されたピアが NTP ブロードキャスト パケットを受信するように設定します。

インターフェイスの NTP ブロードキャスト パケットの送信を無効にするには、インターフェイス設定コマンド no ntp broadcast を使用します。

次の例では、NTP バージョン 2 パケットを送信するインターフェイスの設定手順を示します。

AP(config)# interface gigabitethernet0/1

AP(config-if)# ntp broadcast version 2

イネーブル EXEC モードから、次の手順に従って、接続されたピアから NTP ブロードキャスト パケットを受信するようにアクセス ポイントを設定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

interfaceinterface-id

インターフェイス設定モードを開始し、NTP ブロードキャスト パケットを受信するインターフェイスを指定します。

ntp broadcast client

インターフェイスが NTP ブロードキャスト パケットを受信できるようにします。

デフォルトでは、どのインターフェイスも NTP ブロードキャスト パケットを受信しません。

exit

グローバル設定モードに戻ります。

ntp broadcastdelaymicroseconds

(オプション)アクセス ポイントと NTP ブロードキャスト サーバ間の推定されるラウンドトリップ遅延を変更します。

デフォルト値は 3000 マイクロ秒です。指定範囲は 1 〜 999999 です。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

インターフェイスの NTP ブロードキャスト パケットの受信を無効にするには、インターフェイス設定コマンド no ntp broadcast client を使用します。推定されるラウンドトリップ遅延をデフォルト値に戻すには、グローバル設定コマンド no ntp broadcastdelay を使用します。

次の例では、NTP バージョン 2 パケットを受信するインターフェイスの設定手順を示します。

AP(config)# interface gigabitethernet0/1

AP(config-if)# ntp broadcast client

NTP アクセス制限の設定

NTP アクセスは次の項で説明するように、2 つのレベルで制御できます。

アクセス グループの作成と基本的な IP アクセス リストの指定

イネーブル EXEC モードから、次の手順に従って、NTP サービスへのアクセスをアクセス リストで制御します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

ntp access-group {query-only |serve-only |serve |peer}access-list-number

アクセス グループを作成し、基本的な IP アクセス リストを適用します。

キーワードには、それぞれ次のような意味があります。

  • query-only:NTP 制御クエリのみを許可します。
  • serve-only:時間要求のみを許可します。
  • serve:時間要求と NTP 制御クエリを許可しますが、アクセス ポイントのリモート デバイスとの同期を許可しません。
  • peer:時間要求と NTP 制御クエリを許可し、アクセス ポイントのリモート デバイスとの同期も許可します。

access-list-number には、1 〜 99 までの標準的な IP アクセス リスト番号を指定します。

access-list access-list-numberpermitsource[source-wildcard]

アクセス リストを作成します。

  • access-list-number には、ステップ 2 で指定した番号を入力します。
  • 条件が一致すればアクセスを許可する場合は、permit キーワードを入力します。
  • source には、アクセス ポイントへのアクセスを許可するデバイスの IP アドレスを入力します。
  • (オプション)source-wildcardには、ソースに適用されるワイルドカード ビットを入力します。
  • アクセス リストを作成する場合は、デフォルトで、すべてのパケットに対する暗黙拒否ステートメントがアクセス リストの末尾に組み込まれていることに注意してください。アクセス リストの最後まで一致するアドレスが見つからないと、この拒否ステートメントが適用されます。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

アクセス グループのキーワードは、次のように制限が弱いものから強いものの順にスキャンされます。

  1. peer:時間要求と NTP 制御クエリを許可し、アドレスがアクセス リストの基準を満たすデバイスとの同期をアクセス ポイントに許可します。
  2. serve:時間要求と NTP 制御クエリを許可しますが、アドレスがアクセス リストの基準を満たすデバイスとの同期はアクセス ポイントに許可しません。
  3. serve-only:アドレスがアクセス リストの基準を満たすデバイスからの時間要求のみ受け付けます。
  4. query-only:アドレスがアクセス リストの基準を満たすデバイスからの NTP 制御クエリのみ受け付けます。

送信元 IP アドレスがアクセス リストの複数のアクセス タイプに一致する場合は、最初のタイプが許可されます。アクセス グループが指定されていない場合は、すべてのデバイスにすべてのアクセス タイプが許可されます。また、アクセス グループが指定されている場合は、指定されたアクセス タイプだけが許可されます。

アクセス ポイントの NTP サービスに対するアクセス制御を削除するには、グローバル設定コマンド no ntp access-group {query-only | serve-only | serve | peer} を使用します。

次の例では、アクセス リスト 99 のピアとの同期を許可するようにアクセス ポイントを設定する手順を示します。ただし、このアクセス ポイントはアクセス リスト 42 の時間要求のみを受け付けるようにアクセスを制限します。

AP# configure terminal

AP(config)# ntp access-group peer 99

AP(config)# ntp access-group serve-only 42

AP(config)# access-list 99 permit 172.20.130.5

AP(config)# access list 42 permit 172.20.130.6

特定のインターフェイスでの NTP サービスの無効化

デフォルトでは、NTP サービスはすべてのインターフェイスで有効になっています。

イネーブル EXEC モードから、次の手順に従ってインターフェイスでの NTP パケットの受信を無効にします。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

interfaceinterface-id

インターフェイス設定モードを開始し、無効にするインターフェイスを指定します。

ntp disable

インターフェイスでの NTP パケットの受信を無効にします。

デフォルトでは、すべてのインターフェイスで NTP パケットが受信されます。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

インターフェイスで NTP パケットの受信を再び有効にするには、インターフェイス設定コマンド no ntp disable を使用します。

NTP パケットの送信元 IP アドレスの設定

アクセス ポイントが NTP パケットを送信する場合、通常、送信元 IP アドレスは NTP パケットを送信するインターフェイスのアドレスに設定されます。すべての NTP パケットに特定の送信元 IP アドレスを使用する場合は、グローバル設定コマンド ntp source を使用します。これにより、指定したインターフェイスのアドレスが使用されます。このコマンドは、あるインターフェイス上のアドレスを応答パケットの宛先として使用できない場合に便利です。

イネーブル EXEC モードから、次の手順に従って、送信元 IP アドレスとして使用する特定のインターフェイスを設定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

ntp sourcetype number

送信元 IP アドレスとして使用するインターフェイスのタイプと番号を指定します。

デフォルトでは、送信元アドレスは発信側インターフェイスで判断されます。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

指定したインターフェイスは、すべての宛先に送信されるすべてのパケットの送信元アドレスとして使用されます。送信元アドレスを特定のアソシエーションに使用する場合は、NTP アソシエーションの設定で説明するように、グローバル設定コマンド ntp peer または ntp serversource キーワードを指定します。

NTP 設定の表示

次の 2 つのイネーブル EXEC コマンドを使って NTP 情報を表示できます。

これらのコマンドで表示されるフィールドについては、『Cisco IOS Configuration Fundamentals Command Reference for Release 12.1』を参照してください。

時刻と日付の手動設定

時刻ソースが利用できない場合は、システムの再起動後に手動で時刻と日付を設定できます。時刻は次回のシステム再起動まで正確に維持されます。手動設定は最後の手段として行うことをお勧めします。アクセス ポイントが同期できる外部ソースがある場合は、システム クロックを手動で設定する必要はありません。

この項で説明する設定の内容は次のとおりです。

システム クロックの設定

ネットワークに NTP サービスなどの時刻サービスを提供する外部ソースがある場合は、システム クロックを手動で設定する必要はありません。

イネーブル EXEC モードから、次の手順に従ってシステム クロックを設定します。

コマンド

目的

clock sethh:mm:ssdaymonthyear

または

clock sethh:mm:ssmonth day year

次のいずれかの書式を使ってシステム クロックを手動で設定します。

  • hh:mm:ssには、時間(24 時間形式)、分、秒を指定します。設定されたタイム ゾーンを基準に時間を指定します。
  • day には、日にちを指定します。
  • month には、月を名前で指定します。
  • year には、年を 4 桁で指定します。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

次に、システム クロックを手動で 2001 年 7 月 23 日 午後 1 時 32 分に設定する例を示します。

AP# clock set 13:32:00 23 July 2001

時刻と日付の設定の表示

日付と時刻の設定を表示するには、show clock [detail] イネーブル EXEC コマンドを使用します。

システム クロックは、時間の信頼性(正確性)を示す authoritative フラグを表示し続けます。システム クロックが NTP などの時刻ソースで設定されている場合は、このフラグが設定されます。信頼できない場合、時刻は表示のみに使用されます。ピアの時刻が無効になった場合、クロックが信頼でき、authoritative フラグが設定されるまで、このフラグがピアのクロックとの同期を防ぎます。

show clock の前に表示される記号には次のような意味があります。

タイム ゾーンの設定

イネーブル EXEC モードから、次の手順に従ってタイム ゾーンを手動で設定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

clock timezonezonehours-offset[minutes-offset]

タイム ゾーンを設定します。

アクセス ポイントは内部時間を Universal Time Coordinated(UTC; 協定世界時)で維持するため、このコマンドは表示専用で、時刻を手動で設定するときにのみ使用されます。

  • zone には、標準時間が有効な場合に表示されるタイム ゾーンの名前を入力します。デフォルは UTC です。
  • hours-offset には、UTC との時差を時間単位で入力します。
  • (オプション)minutes-offset には、UTC との時差を分単位で入力します。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

グローバル設定コマンド clock timezoneminutes-offset 変数は、ローカル タイム ゾーンの UTC との時差が 1 時間未満の単位である場合に使用できます。たとえば、大西洋沿岸カナダの一部地域のタイム ゾーン(AST)は UTC-3.5 です。3 は 3 時間を、5 は 50 パーセントを意味します。この場合、コマンドを clock timezone AST -3 30 と指定することになります。

時刻を UTC に設定するには、グローバル設定コマンド no clock timezone を使用します。

サマー タイム(夏時間)の設定

イネーブル EXEC モードから、次の手順に従って、毎年、特定の日付(曜日)に開始および終了するサマータイム(夏時間)を設定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

clock summer-timezonerecurring[week day month hh:mm week day month hh:mm [offset]]

毎年指定された日付に開始および終了するサマー タイムを設定します。

サマー タイムはデフォルトでは無効になっています。パラメータを指定しないで clock summer-timezonerecurring を指定した場合、サマー タイムのルールは米国のルールをデフォルトとします。

  • zone には、サマー タイムが有効なときに表示されるタイム ゾーンの名前(PDT など)を指定します。
  • (オプション)week には、月の第何週かを指定します(1 〜 5 またはlast)。
  • (オプション)day には、曜日を指定します(Sunday、Monday など)。
  • (オプション)month には、月を名前で指定します(January、February など)。
  • (オプション)hh:mm には、時刻(24 時間形式)を時間と分の単位で指定します。
  • (オプション)offset には、サマー タイム期間中に追加する時間を分単位で指定します。デフォルは 60 分です。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

グローバル設定コマンド clock summer-time の最初の部分は、サマー タイムの開始時を、2 番目の部分は終了時を指定します。すべての時間は ローカル タイム ゾーンを基準にします。開始時間は標準時が基準になります。終了時間はサマー タイムが基準になります。開始月が終了月より後の場合、自動的に南半球であると解釈されます。

次の例では、4 月の第 1 日曜日の 02:00 に開始し、10 月の最終日曜日の 02:00 に終了するサマー タイムの指定方法を示します。

AP(config)# clock summer-time PDT recurring 1 Sunday April 2:00 last Sunday October 2:00

ユーザ居住地域のサマー タイムが定期的なパターンに従わない場合、イネーブル EXEC モードから、次の手順に従って、次のサマー タイム イベントの日付と時間を正確に設定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

clock summer-timezonedate [month date year hh:mm month date year hh:mm[offset]]

または

clock summer-timezonedate [datemonth year hh:mm date month year hh:mm [offset]]

最初の日付に開始し、2 番目の日付に終了するサマー タイムを設定します。

サマー タイムはデフォルトでは無効になっています。

  • zone には、サマー タイムが有効なときに表示されるタイム ゾーンの名前(PDT など)を指定します。
  • (オプション)weekには、月の第何週かを指定します(1 〜 5 またはlast)。
  • (オプション)day には、曜日を指定します(Sunday、Monday など)。
  • (オプション)monthには、月を名前で指定します(January、February など)。
  • (オプション)hh:mm には、時刻(24 時間形式)を時間と分の単位で指定します。
  • (オプション)offset には、サマー タイム期間中に追加する時間を分単位で指定します。デフォルは 60 分です。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

グローバル設定コマンド clock summer-time の最初の部分は、サマー タイムの開始時を、2 番目の部分は終了時を指定します。すべての時間は ローカル タイム ゾーンを基準にします。開始時間は標準時が基準になります。終了時間はサマー タイムが基準になります。開始月が終了月より後の場合、自動的に南半球であると解釈されます。

サマー タイムを無効にするには、グローバル設定コマンド no clock summer-time を使用します。

次の例では、2000 年 10 月 12 日 02:00 に開始し、2001 年 4 月 26 日 02:00 に終了するサマー タイムの設定方法を示します。

AP(config)# clock summer-time pdt date 12 October 2000 2:00 26 April 2001 2:00

システム名とプロンプトの設定

アクセス ポイントを識別するシステム名を設定します。デフォルトでは、システム名とプロンプトは ap です。

システム プロンプトを設定しない場合、システム名の最初の 20 文字がシステム プロンプトとして使用されます。大なり記号(>)が追加されます。プロンプトは、システム名が変更されると必ず更新されますが、グローバル設定コマンド prompt を使用して手動でプロンプトを設定している場合は更新されません。

この項で説明する設定の内容は次のとおりです。

デフォルトのシステム名とプロンプトの設定

アクセス ポイントのデフォルトのシステム名とプロンプトは ap です。

システム名の設定

イネーブル EXEC モードから、次の手順に従ってシステム名を手動で設定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

hostnamename

システム名を手動で設定します。

デフォルト設定は ap です。

この名前は ARPANET ホスト名の規則に従っていなければなりません。すなわち、先頭は英字で、最後は英字または数字で終わります。その間の文字には英字、数字、ハイフンが使用できます。長さは 63 文字以内です。

  • システム名を変更する場合、アクセス ポイントの無線はリセットされ、アソシエートしているクライアント デバイスはアソシエーションが解除され、直ちに再アソシエートされます。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

システム名を設定すると、その名前がシステム プロンプトとしても使用されます。

デフォルトのホスト名に戻すには、グローバル設定コマンド no hostname を使用します。

DNS の概要

DNS プロトコルは Domain Name System(DNS; ドメイン ネーム システム)を制御します。これはホスト名を IP アドレスにマッピングする際に使用する分散型データベースです。アクセス ポイントに DNS を設定すると、pingtelnetconnect、および関連する Telnet サポート操作で、IP アドレスの代わりにホスト名を使用できます。

IP は階層命名方式を定義します。この方式では場所またはドメインでデバイスを特定することができます。ドメイン名はピリオド(.)を区切り文字として連結できます。たとえば、シスコ システムズは IP ではドメイン名 comで特定される民間組織です。このためドメイン名は cisco.com になります。このドメイン内の File Transfer Protocol(FTP; ファイル転送プロトコル)システムなどの個々のデバイスは ftp.cisco.com のように識別されます。

ドメイン名を追跡するために、IP は IP アドレスにマッピングされた名前のキャッシュ(またはデータベース)を保持するドメイン ネーム サーバの概念を定義しています。ドメイン名を IP アドレスにマッピングするには、まずホスト名を特定し、ネットワーク上に存在するネーム サーバを特定し、DNS を有効にします。

この項で説明する設定の内容は次のとおりです。

デフォルトの DNS 設定

デフォルトの NTP 設定 にデフォルトの DNS 設定を示します。

デフォルトの DNS 設定

機能

デフォルト設定

DNS の有効/無効

無効。

DNS デフォルト ドメイン名

設定されていません。

DNS サーバ

ネーム サーバ アドレスは設定されていません。

DNS の設定

イネーブル EXEC モードから、次の手順に従って DNS を使用するようにアクセス ポイントを設定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

ip domain-namename

ソフトウェアが未修飾ホスト名(ドット付き10 進ドメイン名を含まない名前)を作成する場合に使用するデフォルトのドメイン名を定義します。

未修飾名をドメイン名と区切るピリオドを先頭に使用しないでください。

ブート時にはドメイン名は設定されていませんが、アクセス ポイントの設定が BOOTP または Dynamic Host Configuration Protocol(DHCP)サーバから行われている場合、BOOTP または DHCP サーバによってデフォルトのドメイン名が設定されることがあります(この情報がサーバに設定されている場合)。

ip name-serverserver-address1[server-address2 ... server-address6]

名前とアドレスの解決に使用する 1 つまたは複数のネーム サーバのアドレスを指定します。

最大 6 つのネーム サーバを指定できます。各サーバのアドレスは空白で区切ります。最初に指定するサーバがプライマリ サーバになります。アクセス ポイントは最初にプライマリ サーバに DNS クエリを送信します。そのクエリが失敗した場合、バックアップ サーバが照会されます。

ip domain-lookup

(オプション)アクセス ポイントで DNS ベースのホスト名からアドレスへの変換を有効にします。この機能はデフォルトで有効に設定されています。

ネットワークのデバイスが名前の割り当てを制御できないネットワークのデバイスとの接続を要求する場合、グローバル インターネット命名方式(DNS)を使用して、デバイスを一意に識別するデバイス名を動的に割り当てることができます。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

アクセス ポイントの IP アドレスをホスト名として使用する場合、このIP アドレスが使用されるため DNS クエリは作成されません。ピリオド(.)を含まないホスト名を設定すると、名前を IP アドレスにマッピングする DNS クエリが作成される前に、ホスト名の後にピリオドとデフォルトのドメイン名が追加されます。デフォルトのドメイン名は、グローバル設定コマンド ip domain-name で設定される値です。ホスト名にピリオド(.)が含まれている場合、Cisco IOS ソフトウェアはホスト名にデフォルトのドメイン名を追加せずに、IP アドレスを検索します。

ドメイン名を削除するには、グローバル設定コマンド no ip domain-namename を使用します。ネーム サーバ アドレスを削除するには、グローバル設定コマンド no ip name-serverserver-address を使用します。アクセス ポイントで DNS を無効にする場合は、グローバル設定コマンド no ip domain-lookup を使用します。

DNS 設定の表示

DNS 設定情報を表示するには、show running-config イネーブル EXEC コマンドを使用します。

バナーの作成

message-of-the-day(MOTD) バナーとログイン バナーを設定できます。MOTD バナーはログイン時に、接続されたすべての端末に表示されます。すべてのネットワーク ユーザに影響するメッセージ(差し迫ったシステム シャットダウンの通知など)を送信する場合に便利です。

ログイン バナーも接続されたすべての端末に表示されます。これは MOTD バナーの後、ログイン プロンプトの前に表示されます。

この項で説明する設定の内容は次のとおりです。

デフォルトのバナー設定

デフォルトでは、MOTD バナーとログイン バナーは設定されていません。

Message-of-the-Day ログイン バナーの設定

アクセス ポイントにログインしたときに画面に表示される 1 行または複数行のメッセージ バナーを作成できます。

イネーブル EXEC モードから、次の手順に従って MOTD ログイン バナーを設定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

banner motdcmessage c

message-of-the-day(今日のメッセージ)を指定します。

c にはシャープ記号(#)など希望する区切り文字を入力し、Return キーを押します。区切り文字は、バナー テキストの開始と終了を指定します。終了区切り文字より後の文字は破棄されます。

messageには、最大 255 文字のバナー メッセージを入力します。メッセージ内で区切り文字は使用できません。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

MOTD バナーを削除するには、グローバル設定コマンド no banner motd を使用します。

次の例は、開始および終了区切り文字にシャープ記号(#)を使用して、アクセス ポイントに MOTD バナーを設定する方法を示しています。

AP(config)# banner motd #

これは安全なサイトです。権限のあるユーザのみが許可されます。

アクセスに関しては、テクニカル サポートにお問い合わせください。

#

AP(config)#

次の例は、上記の設定で表示されるバナーを示しています。

Unix> telnet 172.2.5.4

Trying 172.2.5.4...

Connected to 172.2.5.4.

Escape character is '^]'.

これは安全なサイトです。権限のあるユーザのみが許可されます。

アクセスに関しては、テクニカル サポートにお問い合わせください。

User Access Verification

Password:

ログイン バナーの設定

接続したすべての端末に表示されるログイン バナーを設定できます。このバナーは MOTD バナーの後、ログイン プロンプトの前に表示されます。

イネーブル EXEC モードから、次の手順に従ってログイン バナーを設定します。

コマンド

目的

configure terminal

グローバル設定モードを開始します。

banner logincmessage c

ログイン メッセージを指定します。

c にはシャープ記号(#)など希望する区切り文字を入力し、Return キーを押します。区切り文字は、バナー テキストの開始と終了を指定します。終了区切り文字より後の文字は破棄されます。

message には、最大 255 文字のログイン メッセージを入力します。メッセージ内で区切り文字は使用できません。

end

イネーブル EXEC モードに戻ります。

show running-config

入力内容を確認します。

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

ログイン バナーを削除するには、グローバル設定コマンド no banner login を使用します。

次の例は、開始および終了区切り文字にドル記号($)を使用して、アクセス ポイントにログイン バナーを設定する方法を示しています。

AP(config)# banner login $

許可されたユーザのみアクセスできます。ユーザ名とパスワードを入力してください。

$

AP(config)#

Toolbar-jp

All contents copyright (C) 1992--2004 Cisco Systems K.K.