Cisco Business 350スイッチでのSSH認証
目的
この記事では、Cisco Business 350シリーズスイッチでサーバ認証を設定する方法について説明します。
はじめに
セキュアシェル(SSH)は、特定のネットワークデバイスへのセキュアなリモート接続を提供するプロトコルです。この接続は、暗号化されている点を除き、Telnet接続と同様の機能を提供します。SSHを使用すると、管理者は、サードパーティ製のプログラムを使用したコマンドラインインターフェイス(CLI)でスイッチを設定できます。スイッチは、ネットワーク内のユーザにSSH機能を提供するSSHクライアントとして機能します。スイッチはSSHサーバを使用してSSHサービスを提供します。SSHサーバ認証を無効にすると、スイッチはすべてのSSHサーバを信頼できるものと見なすため、ネットワークのセキュリティが低下します。スイッチでSSHサービスが有効になっている場合は、セキュリティが強化されます。
該当するデバイス|ソフトウェアバージョン
- CBS350(データシート) | 3.0.0.69 (最新版をダウンロード)
- CBS350-2X(データシート) | 3.0.0.69 (最新のダウンロード)
- CBS350-4X(データシート) | 3.0.0.69 (最新ダウンロード)
SSHサーバ認証の設定
SSHサービスの有効化
SSHサーバ認証を有効にすると、デバイスで実行されているSSHクライアントは、次の認証プロセスを使用してSSHサーバを認証します。
- デバイスは、受信したSSHサーバの公開キーのフィンガープリントを計算します。
- デバイスは、SSH Trusted Serversテーブルで、SSHサーバのIPアドレスとホスト名を検索します。次の3つの結果のいずれかが発生する可能性があります。
- サーバのアドレスとホスト名、およびフィンガープリントの両方に一致が見つかると、サーバが認証されます。
- 一致するIPアドレスとホスト名が見つかっても、一致するフィンガープリントがない場合は、検索が続行されます。一致するフィンガープリントが見つからない場合、検索は完了し、認証は失敗します。
- 一致するIPアドレスとホスト名が見つからない場合、検索は完了し、認証は失敗します。
- 信頼できるサーバのリストにSSHサーバのエントリが見つからない場合、プロセスは失敗します。
工場出荷時のデフォルト設定でアウトオブボックススイッチの自動設定をサポートするために、デフォルトではSSHサーバ認証は無効になっています。
ステップ 1:Webベースのユーティリティにログインし、Security > TCP/UDP Servicesの順に選択します。
ステップ 2:SSH Serviceチェックボックスをオンにして、SSHを介したスイッチのコマンドプロンプトへのアクセスを有効にします。
ステップ 3:Applyをクリックして、SSHサービスを有効にします。
SSHサーバ認証の設定
ステップ 1:スイッチのWebベースのユーティリティにログインし、Display ModeドロップダウンリストからAdvancedを選択します。
ステップ 2:Security > SSH Client > SSH Server Authenticationの順に選択します。
ステップ 2:Enable SSH Server Authenticationチェックボックスにチェックマークを入れて、SSHサーバ認証をイネーブルにします。
ステップ3:(オプション)IPv4 Source Interfaceドロップダウンリストで、IPv4 SSHサーバとの通信で使用されるメッセージの送信元IPv4アドレスとしてIPv4アドレスが使用される送信元インターフェイスを選択します。
Autoオプションを選択すると、システムは発信インターフェイスで定義されたIPアドレスから送信元IPアドレスを取得します。この例では、VLAN1が選択されています。
ステップ4:(オプション)IPv6 Source Interfaceドロップダウンリストで、IPv6 SSHサーバとの通信で使用されるメッセージの送信元IPv6アドレスとしてIPv6アドレスが使用される送信元インターフェイスを選択します。
この例では、Autoオプションが選択されています。システムは、発信インターフェイスで定義されたIPアドレスから送信元IPアドレスを取得します。
ステップ 5:[APPLY] をクリックします。
手順 6:信頼できるサーバを追加するには、Trusted SSH Serversテーブルの下にあるAddをクリックします。
手順 7:Server Definition領域で、SSHサーバを定義するために使用できる方法のいずれかをクリックします。
次のオプションがあります。
- By IP Address:このオプションでは、SSHサーバにIPアドレスを定義できます。
- By Name:このオプションでは、完全修飾ドメイン名でSSHサーバを定義できます。
この例では、By IP addressが選択されています。名前を選択する場合は、ステップ11に進んでください。
ステップ8:(オプション)ステップ6で「IPアドレスで」を選択した場合は、「IPバージョン」フィールドでSSHサーバーのIPバージョンをクリックします。
使用できるオプションは次のとおりです。
- バージョン6:このオプションでは、IPv6アドレスを入力できます。
- バージョン4:このオプションでは、IPv4アドレスを入力できます。
この例では、バージョン4が選択されています。IPv6オプションボタンは、スイッチにIPv6アドレスが設定されている場合にのみ使用できます。
ステップ9:(オプション)ステップ7でIPアドレスのバージョンとしてバージョン6を選択した場合は、[IPv6アドレスの種類]でIPv6アドレスの種類をクリックします。
使用できるオプションは次のとおりです。
- リンクローカル:IPv6アドレスは、単一のネットワークリンク上のホストを一意に識別します。リンクローカルアドレスはFE80のプレフィックスを持ち、ルーティング不可能で、ローカルネットワーク上の通信にのみ使用できます。リンクローカルアドレスは1つしかサポートされていません。リンクローカルアドレスがインターフェイス上に存在する場合、このエントリによって設定内のアドレスが置き換えられます。このオプションはデフォルトで選択されています。
- グローバル:IPv6アドレスは、他のネットワークから可視で到達可能なグローバルユニキャストです。
ステップ10:(オプション)ステップ9でIPv6アドレスタイプとして「リンクローカル」を選択した場合は、「リンクローカルインターフェイス」ドロップダウンリストから適切なインターフェイスを選択します。
ステップ 11Server IP Address/Nameフィールドに、SSHサーバのIPアドレスまたはドメイン名を入力します。
この例では、IPアドレスを入力します。
ステップ 12Fingerprintフィールドに、SSHサーバのフィンガープリントを入力します。フィンガープリントは、認証に使用される暗号化キーです。この場合、フィンガープリントはSSHサーバの有効性を認証するために使用されます。サーバのIPアドレス/名前とフィンガープリントが一致すると、SSHサーバが認証されます。
ステップ 13Applyをクリックして、設定を保存します。
ステップ14:(オプション)SSHサーバを削除するには、削除するサーバのチェックボックスをオンにして、Deleteをクリックします。
ステップ15:(オプション)ページ上部のSaveボタンをクリックして、スタートアップコンフィギュレーションファイルの変更を保存します。
これで、Cisco Business 350シリーズスイッチのSSHサーバ認証設定が完了しました。
CBS350スイッチに関するその他の記事をお探しですか?詳細については、以下のリンクを参照してください。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
02-Sep-2021 |
初版 |
フィードバック