この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章は、次の項で構成されています。
SSH および Telnet の概要
セキュア シェル(SSH)プロトコル サーバー機能を使用すると、SSH クライアントは Cisco Nexus デバイスとの間で、セキュアな暗号化された接続を確立できます。SSH は強化暗号化を使用して認証を行います。Cisco Nexus デバイス スイッチの SSH サーバーは、無償あるいは商用の SSH クライアントと連係して動作します。
SSH がサポートするユーザー認証メカニズムには、RADIUS、TACACS+、およびローカルに格納されたユーザー名とパスワードを使用した認証があります。
SSH クライアント機能は、SSH プロトコルを介して実行されるアプリケーションで、認証と暗号化を行います。SSH クライアントを使用すると、スイッチは、別の Cisco Nexusスイッチとの間、または SSH サーバーを稼働している他の任意のデバイスとの間でセキュアな暗号化された接続を確立できます。この接続は、暗号化されたアウトバウンド接続を実現します。認証と暗号化により、SSH クライアントは、セキュリティ保護されていないネットワーク上でもセキュアな通信を実現できます。
Cisco Nexus デバイスの SSH クライアントは、公開されているあるいは商用の SSH サーバーと連係して動作します。
SSH では、Cisco Nexus デバイスと安全な通信を行うためにサーバー キーが必要です。SSH キーは、次の SSH オプションに使用できます。
Rivest, Shamir, and Adelman(RSA)公開キー暗号化を使用した SSH バージョン 2
Digital System Algrorithm(DSA)を使用した SSH バージョン 2
SSH サービスをイネーブルにする前に、適切なバージョンの SSH サーバ キー ペアを取得してください。使用中の SSH クライアント バージョンに応じて、SSH サーバ キー ペアを生成します。SSH サービスでは、SSH バージョン 2 に対応する 2 とおりのキー ペアを使用できます。
dsa オプションを使用すると、SSH バージョン 2 プロトコルに対応する DSA キーペアが生成されます。
rsa オプションを使用すると、SSH バージョン 2 プロトコルに対応する RSA キーペアが生成されます。
デフォルトでは、Cisco Nexus デバイスは 1024 ビットの RSA キーを生成します。
SSH は、次の公開キー形式をサポートします。
OpenSSH
IETF SSH(SECSH)
 Caution |
SSH キーをすべて削除すると、SSH サービスを開始できません。 |
Cisco NX-OS デバイスでの SSH 認証では、ホスト認証用に X.509 デジタル証明書をサポートしています。X.509 デジタル証明書は、メッセージの出所と整合性を保証するデータ項目です。これには安全な通信のための暗号化されたキーが含まれています。また、発信者のアイデンティティを証明するために信頼できる認証局(CA)によって署名されています。X.509 デジタル証明書のサポートにより、認証に DSA と RSA のいずれかのアルゴリズムを使用します。
証明書のインフラストラクチャでは、Secure Socket Layer(SSL)に対応し、セキュリティ インフラストラクチャによってクエリーまたは通知を通じて最初に返される証明書が使用されます。証明書が信頼できる CA のいずれかから発行されたものであれば、証明書の検証は成功です。
X.509 証明書を使用する SSH 認証用にデバイスを設定できます。認証に失敗した場合は、パスワードの入力が求められます。
X.509v3 証明書(RFC 6187)を使用する SSH 認証を設定できます。X.509v3 証明書ベースの SSH 認証では、スマートカードと組み合わせた証明書を使用して、シスコ デバイスへのアクセスの 2 要素認証を有効にします。SSH クライアントは、シスコパートナーの Pragma Systems によって提供されます。
Telnet プロトコルは、ホストとの TCP/IP 接続を確立します。Telnet を使用すると、あるサイトのユーザーが別サイトのログイン サーバーとの TCP 接続を確立して、システム間でキーストロークをやり取りできます。Telnet は、リモート システムのアドレスとして、IP アドレスまたはドメイン名を受け取ります。
デフォルトでは、Telnet サーバは Cisco Nexus デバイス上で無効になっています。
SSH には、次の注意事項および制限事項があります。
Cisco Nexus デバイスは、SSH バージョン 2(SSHv2)だけをサポートしています。
SSH パスワードレス ファイル コピーを目的として AAA プロトコル(RADIUS や TACACS+ など)を介してリモート認証されたユーザ アカウントにインポートされた SSH 公開キーと秘密キーは、同じ名前のローカル ユーザ アカウントでない限り、Nexus デバイスがリロードされると保持されません。リモート ユーザ アカウントは、SSH キーがインポートされる前にデバイスで設定されます。
SSH の設定
セキュリティ要件に基づいて SSH サーバ キーを生成できます。デフォルトの SSH サーバ キーは、1024 ビットで生成される RSA キーです。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル構成モードを開始します。 |
|
Step 2 |
switch(config)# ssh key {dsa [force] | rsa [bits [force]]} |
SSH サーバー キーを生成します。 bits 引数には、キーの生成に使用するビット数を指定します。有効な範囲は 768 ~ 4096 です。デフォルト値は 1024 です。 既存のキーを置き換える場合は、キーワード force を使用します。 |
|
Step 3 |
switch(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
|
Step 4 |
(Optional) switch# show ssh key [dsa | rsa] [md5] |
(Optional)
SSH サーバー キーを表示します。 Cisco NX-OS リリース 7.0(3)I4(6) および 7.0(3)I4(x) 以降のリリースでは、このコマンドはデフォルトで SHA256 形式でフィンガープリントを表示します。SHA256 は、以前のデフォルトの MD5 形式よりも安全です。ただし、フィンガープリントを MD5 形式で表示する必要がある場合の下位互換性のために、md5 オプションが追加されています。 |
|
Step 5 |
(Optional) switch# copy running-config startup-config |
(Optional)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、SSH サーバー キーを生成する例を示します。
switch# configure terminal
switch(config)# ssh key rsa 2048
switch(config)# exit
switch# show ssh key
switch# copy running-config startup-config
SSH 公開キーを設定すると、パスワードを要求されることなく、SSH クライアントを使用してログインできます。SSH 公開キーは、次の 3 種類のいずれかの形式で指定できます。
Open SSH 形式
Internet Engineering Task Force(IETF)SECSH 形式
Privacy Enhanced Mail(PEM)形式の公開キー証明書
ユーザー アカウント用に SSH 形式で SSH 公開キーを指定できます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル構成モードを開始します。 |
|
Step 2 |
switch(config)# username username sshkey ssh-key |
SSH 形式で SSH 公開キーを設定します。 |
|
Step 3 |
switch(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
|
Step 4 |
(Optional) switch# show user-account |
(Optional)
ユーザー アカウントの設定を表示します。 |
|
Step 5 |
(Optional) switch# copy running-config startup-config |
(Optional)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、Open SSH 形式で SSH 公開キーを指定する例を示します。
switch# configure terminal
switch(config)# username User1 sshkey ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAri3mQy4W1AV9Y2t2hrEWgbUEYz
CfTPO5B8LRkedn56BEy2N9ZcdpqE6aqJLZwfZcTFEzaAAZp9AS86dgBAjsKGs7UxnhGySr8ZELv+DQBsDQH6rZt0KR+2Da8hJD4Z
XIeccWk0gS1DQUNZ300xstQsYZUtqnx1bvm5Ninn0McNinn0Mc=
switch(config)# exit
switch# show user-account
switch# copy running-config startup-config
 Note |
上記の例の username コマンドは、読みやすくするために改行されていますが、単一行です。 |
ユーザー アカウント用に IETF SECSH 形式で SSH 公開キーを指定できます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# copy server-file bootflash: filename |
サーバーから IETF SECSH 形式の SSH キーを含むファイルをダウンロードします。File Transfer Protocol(FTP)、SCP、SSH File Transfer Protocol(SFTP)、または Trivial File Transfer Protocol(TFTP)サーバーを利用できます。 |
|
Step 2 |
switch# configure terminal |
グローバル構成モードを開始します。 |
|
Step 3 |
switch(config)# username username sshkey file filename |
SSH 形式で SSH 公開キーを設定します。 |
|
Step 4 |
switch(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
|
Step 5 |
(Optional) switch# show user-account |
(Optional)
ユーザー アカウントの設定を表示します。 |
|
Step 6 |
(Optional) switch# copy running-config startup-config |
(Optional)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、IETF SECSH 形式で SSH 公開キーを指定する例を示します。
switch#copy tftp://10.10.1.1/secsh_file.pub bootflash:secsh_file.pub
switch# configure terminal
switch(config)# username User1 sshkey file bootflash:secsh_file.pub
switch(config)# exit
switch# show user-account
switch# copy running-config startup-configユーザー アカウント用に PEM フォーマット化された公開キー証明書形式で SSH 公開キーを指定できます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# copy server-file bootflash: filename |
サーバーから PEM フォーマット化された公開キー証明書形式の SSH キーを含むファイルをダウンロードします。FTP、SCP、SFTP、または TFTP サーバーを利用できます。 |
|
Step 2 |
switch# configure terminal |
グローバル構成モードを開始します。 |
|
Step 3 |
(Optional) switch# show user-account |
(Optional)
ユーザー アカウントの設定を表示します。 |
|
Step 4 |
(Optional) switch# copy running-config startup-config |
(Optional)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、PEM フォーマット化された公開キー証明書形式で SSH 公開キーを指定する例を示します。
switch# copy tftp://10.10.1.1/cert.pem bootflash:cert.pem
switch# configure terminal
switch# show user-account
switch# copy running-config startup-config
SSH は、特定のインターフェイスを使用するように構成できます。
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
switch# configure terminal |
グローバル構成モードを開始します。 |
|
ステップ 2 |
switch(config)# ip ssh source-interface type slot/port |
すべての SSH パケットの送信元インターフェイスを構成します。次のリストに、interface として有効な値を示します。
|
|
ステップ 3 |
switch(config)# show ip ssh source-interface |
構成済みの SSH 送信元インターフェイスを表示します。 |
次に、SSH 送信元インターフェイスを構成する例を示します。
switch(config)# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)# ip ssh source-interface ethernet 1/7
switch(config)# show ip ssh source-interface
VRF Name Interface
default Ethernet1/7
Cisco Nexus デバイスからリモート デバイスに接続する SSH セッションを開始できます。
| Command or Action | Purpose |
|---|---|
|
switch# ssh {hostname | username@hostname} [ vrf vrf-name] |
リモート デバイスとの SSH セッションを作成します。引数 hostname には、IPv4 アドレス、またはホスト名を指定します。 |
SCP または SFTP を使用してサーバーからファイルをダウンロードする場合は、サーバーと信頼性のある SSH 関係を確立します。
| Command or Action | Purpose |
|---|---|
|
switch# clear ssh hosts |
SSH ホスト セッションをクリアします。 |
Cisco Nexus デバイスでは、デフォルトで SSH サーバーが有効になっています。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル構成モードを開始します。 |
|
Step 2 |
switch(config)# [no] feature ssh |
SSH サーバーをイネーブル/ディセーブルにします。デフォルトでは有効になっています。 |
|
Step 3 |
switch(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
|
Step 4 |
(Optional) switch# show ssh server |
(Optional)
SSH サーバーの設定を表示します。 |
|
Step 5 |
(Optional) switch# copy running-config startup-config |
(Optional)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
SSH サーバーをディセーブルにした後、SSH サーバー キーを削除できます。
Note |
SSH を再度イネーブルにするには、まず、SSH サーバー キーを生成する必要があります。 |
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル構成モードを開始します。 |
|
Step 2 |
switch(config)# no feature ssh |
SSH サーバーをディセーブルにします。 |
|
Step 3 |
switch(config)# no ssh key [dsa | rsa] |
SSH サーバ キーを削除します。 デフォルトでは、すべての SSH キーが削除されます。 |
|
Step 4 |
switch(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
|
Step 5 |
(Optional) switch# show ssh key |
(Optional)
SSH サーバーの設定を表示します。 |
|
Step 6 |
(Optional) switch# copy running-config startup-config |
(Optional)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
SSH セッションは Cisco Nexus デバイスからクリアできます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# show users |
ユーザー セッション情報を表示します。 |
|
Step 2 |
switch# clear line vty-line |
ユーザ SSH セッションをクリアします。 |
次に、SSH を設定する例を示します。
|
Step 1 |
SSH サーバ キーを生成します。 |
||
|
Step 2 |
SSH サーバをイネーブルにします。
|
||
|
Step 3 |
SSH サーバー キーを表示します。 |
||
|
Step 4 |
Open SSH 形式による SSH 公開キーを指定します。 |
||
|
Step 5 |
設定を保存します。 |
X.509v3 証明書を使用する SSH 認証を設定できます。
リモート デバイスの SSH サーバをイネーブルにします。
| コマンドまたはアクション | 目的 | |||||
|---|---|---|---|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します |
||||
|
ステップ 2 |
username user-id [password [0 | 5] password] 例: |
ユーザ アカウントを設定します。user-id 引数は、最大 28 文字の英数字で、大文字と小文字が区別されます。指定できる文字は、A ~ Z の英大文字、a ~ z の英小文字、0 ~ 9 の数字、ハイフン(-)、ピリオド(.)、アンダースコア(_)、プラス符号(+)、および等号(=)です。アット マーク(@)はリモート ユーザ名では使用できますが、ローカル ユーザ名では使用できません。 ユーザ名の先頭は英数字で始まる必要があります。 デフォルト パスワードは定義されていません。オプションの 0 は、パスワードがクリア テキストであり、5 はパスワードが暗号化されていることを意味します。デフォルトは 0 (クリア テキスト)です。
|
||||
|
ステップ 3 |
username user-id ssh-cert-dn dn-name {dsa | rsa} 例: |
既存のユーザ アカウント認証に使用する SSH X.509 証明書の識別名と DSA アルゴリズムを指定します。識別名は最大 512 文字で、例に示す形式に従う必要があります。電子メールアドレスと状態がそれぞれ emailAddress と ST に設定されていることを確認します。 |
||||
|
ステップ 4 |
[no] crypto ca trustpoint trustpoint 例: |
トラストポイントを設定します。 |
||||
|
ステップ 5 |
[no] crypto ca authentication trustpoint 例: |
トラストポイントの証明書チェーンを構成します。 |
||||
|
ステップ 6 |
crypto ca crl request trustpoint bootflash:static-crl.crl 例: |
トラストポイントの証明書失効リスト(CRL)を設定します。CRL ファイルは、トラストポイントによって失効した証明書のリストのスナップショットです。このスタティック CRL リストは、認証局(CA)からデバイスに手動でコピーされます。
|
||||
|
ステップ 7 |
(任意) show crypto ca certificates 例: |
(任意)
設定されている証明書またはチェーンと、関連付けられているトラストポイントを表示します。 |
||||
|
ステップ 8 |
(任意) show crypto ca crl trustpoint 例: |
(任意)
指定したトラストポイントの CRL リストの内容を表示します。 |
||||
|
ステップ 9 |
(任意) show user-account 例: |
(任意)
設定されたユーザ アカウントの詳細を表示します。 |
||||
|
ステップ 10 |
(任意) show users 例: |
(任意)
デバイスにログオンしているユーザが表示されます。 |
||||
|
ステップ 11 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次の例は、X.509v3 証明書を使用する SSH 認証の設定方法を示しています。
configure terminal
username jsmith password 4Ty18Rnt
username jsmith ssh-cert-dn "/O = ABCcompany, OU = ABC1,
emailAddress = jsmith@ABCcompany.com, L = Metropolis, ST = New York, C = US, CN = jsmith" rsa
crypto ca trustpoint tp1
crypto ca authentication tp1
crypto ca crl request tp1 bootflash:crl1.crl
show crypto ca certificates
Trustpoint: tp1
CA certificate 0:
subject= /CN=SecDevCA
issuer= /CN=SecDevCA
serial=01AB02CD03EF04GH05IJ06KL07MN
notBefore=Jun 29 12:36:26 2016 GMT
notAfter=Jun 29 12:46:23 2021 GMT
SHA1 Fingerprint=47:29:E3:00:C1:C1:47:F2:56:8B:AC:B2:1C:64:48:FC:F4:8D:53:AF
purposes: sslserver sslclient
show crypto ca crl tp1
Trustpoint: tp1 CRL: Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: /CN=SecDevCA
Last Update: Aug 8 20:03:15 2016 GMT
Next Update: Aug 16 08:23:15 2016 GMT
CRL extensions:
X509v3 Authority Key Identifier:
keyid:30:43:AA:80:10:FE:72:00:DE:2F:A2:17:E4:61:61:44:CE:78:FF:2A
show user-account
user:user1
this user account has no expiry date
roles:network-operator
ssh cert DN : /C = US, ST = New York, L = Metropolis, O = cisco , OU = csg, CN = user1; Algo: x509v3-sign-rsa
show users
NAME LINE TIME IDLE PID COMMENT
user1 pts/1 Jul 27 18:43 00:03 18796 (10.10.10.1) session=ssh
Telnet の設定
デフォルトでは、Telnet サーバーはイネーブルに設定されています。Cisco Nexus デバイスの Telnet サーバーを無効にできます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル構成モードを開始します。 |
|
Step 2 |
switch(config)# [no] feature telnet |
Telnet サーバーをイネーブル/ディセーブルにします。デフォルトではイネーブルになっています。 |
Cisco Nexus デバイスの Telnet サーバーが無効にされていた場合は、再度有効にすることができます。
| Command or Action | Purpose |
|---|---|
|
switch(config)# [no] feature telnet |
Telnet サーバーを再度イネーブルにします。 |
Telnet は、特定のインターフェイスを使用するように構成できます。
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
switch# configure terminal |
グローバル構成モードを開始します。 |
|
ステップ 2 |
switch(config)# ip telnet source-interface type slot/port |
すべての Telnet パケットの送信元インターフェイスを設定します。次のリストに、interface として有効な値を示します。
|
次に、Telnet 送信元インターフェイスを構成する例を示します。
switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)# ip telnet source-interface ethernet 1/6
switch(config)# show ip telnet source-interface
VRF Name Interface
default Ethernet1/6
switch(config)#
Telnet セッションを開始してリモート デバイスに接続する前に、次の作業を行う必要があります。
リモート デバイスのホスト名を取得します。必要に応じて、リモート デバイスのユーザー名も取得します。
Cisco Nexus デバイス上で Telnet サーバを有効にします。
リモート デバイス上で Telnet サーバーをイネーブルにします。
| Command or Action | Purpose |
|---|---|
|
switch# telnet hostname |
リモート デバイスとの Telnet セッションを作成します。引数 hostname には、IPv4 アドレス、またはホスト名を指定します。 |
次に、Telnet セッションを開始してリモート デバイスに接続する例を示します。
switch# telnet 10.10.1.1
Trying 10.10.1.1...
Connected to 10.10.1.1.
Escape character is '^]'.
switch login:
Telnet セッションは Cisco Nexus デバイスからクリアできます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# show users |
ユーザー セッション情報を表示します。 |
|
Step 2 |
switch# clear line vty-line |
ユーザ Telnet セッションをクリアします。 |
SSH の設定情報を表示するには、次のいずれかの作業を行います。
| コマンドまたはアクション | 目的 |
|---|---|
| switch# show ssh key [dsa | rsa][md5] |
SSH サーバー キーを表示します。 |
| switch# show running-config security [all] |
実行コンフィギュレーション内の SSH とユーザ アカウントの設定を表示します。all キーワードを指定すると、SSH およびユーザー アカウントのデフォルト値が表示されます。 |
| switch# show ssh server |
SSH サーバーの設定を表示します。 |
| switch# show user-account |
ユーザ アカウント情報を表示します。 |
| switch# show users |
デバイスにログオンしているユーザが表示されます。 |
| switch# show crypto ca certificates |
X.509v3証明書ベースのSSH認証に設定された証明書チェーンおよび関連するトラストポイントを表示します。 |
| switch# show crypto ca crl trustpoint |
指定したトラストポイントの CRL リストの内容を表示します。 |
次の表に、SSH パラメータのデフォルト設定を示します。
|
パラメータ |
デフォルト |
|---|---|
|
SSH サーバ |
イネーブル |
|
SSH サーバ キー |
1024 ビットで生成された RSA キー |
|
RSA キー生成ビット数 |
1024 |
|
Telnet サーバ |
有効(Enabled) |
フィードバック