この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
セキュア シェル(SSH)プロトコル サーバ機能を使用すると、SSH クライアントが Cisco Nexus デバイスに対して、セキュアで暗号化された接続を確立できます。 SSH は強化暗号化を使用して認証を行います。 Cisco Nexus デバイス スイッチの SSH サーバは、無償あるいは商用の SSH クライアントと連係して動作します。
SSH がサポートするユーザ認証メカニズムには、RADIUS、TACACS+、およびローカルに格納されたユーザ名とパスワードを使用した認証があります。
SSH クライアント機能は、SSH プロトコルを介して実行されるアプリケーションで、認証と暗号化を行います。 SSH クライアントを使用すると、スイッチは、別の Cisco Nexus デバイススイッチまたは SSH サーバを稼働している他の任意のデバイスと、セキュアな暗号化された接続を確立できます。 この接続は、暗号化されたアウトバウンド接続を実現します。 認証と暗号化により、SSH クライアントは、セキュリティ保護されていないネットワーク上でもセキュアな通信を実現できます。
Cisco Nexus デバイスの SSH クライアントは、無償あるいは商用の SSH サーバと連係して動作します。
SSH では、Cisco Nexus デバイスとのセキュアな通信を行うためにサーバ キーが必要です。 SSH キーは、次の SSH オプションに使用できます。
SSH サービスをイネーブルにする前に、適切なバージョンの SSH サーバ キー ペアを取得してください。 使用中の SSH クライアント バージョンに応じて、SSH サーバ キー ペアを生成します。 SSH サービスでは、SSH バージョン 2 に対応する 2 とおりのキー ペアを使用できます。
デフォルトでは、Cisco Nexus デバイスは 1024 ビットの RSA キーを生成します。
SSH は、次の公開キー形式をサポートします。
注意 |
SSH キーをすべて削除すると、SSH サービスを開始できません。 |
Telnet プロトコルは、ホストとの TCP/IP 接続を確立します。 Telnet を使用すると、あるサイトのユーザが別サイトのログイン サーバとの TCP 接続を確立して、システム間でキーストロークをやり取りできます。 Telnet は、リモート システムのアドレスとして、IP アドレスまたはドメイン名を受け取ります。
Cisco Nexus デバイスでは、デフォルトで Telnet サーバがイネーブルになっています。
SSH には、次の注意事項および制約事項があります。
セキュリティ要件に基づいて SSH サーバ キーを生成できます。 デフォルトの SSH サーバ キーは、1024 ビットで生成される RSA キーです。
次に、SSH サーバ キーを生成する例を示します。
switch# configure terminal
switch(config)# ssh key rsa 2048
switch(config)# exit
switch# show ssh key
switch# copy running-config startup-config
SSH 公開キーを設定すると、パスワードを要求されることなく、SSH クライアントを使用してログインできます。 SSH 公開キーは、次の 3 種類のいずれかの形式で指定できます。
ユーザ アカウント用に SSH 形式で SSH 公開キーを指定できます。
次に、Open SSH 形式で SSH 公開キーを指定する例を示します。
switch# configure terminal
switch(config)# username User1 sshkey ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAri3mQy4W1AV9Y2t2hrEWgbUEYz
CfTPO5B8LRkedn56BEy2N9ZcdpqE6aqJLZwfZcTFEzaAAZp9AS86dgBAjsKGs7UxnhGySr8ZELv+DQBsDQH6rZt0KR+2Da8hJD4Z
XIeccWk0gS1DQUNZ300xstQsYZUtqnx1bvm5Ninn0McNinn0Mc=
switch(config)# exit
switch# show user-account
switch# copy running-config startup-config
(注) |
上記の例の username コマンドは、読みやすくするために改行されていますが、単一行です。 |
ユーザ アカウント用に IETF SECSH 形式で SSH 公開キーを指定できます。
次に、IETF SECSH 形式で SSH 公開キーを指定する例を示します。
switch#copy tftp://10.10.1.1/secsh_file.pub bootflash:secsh_file.pub
switch# configure terminal
switch(config)# username User1 sshkey file bootflash:secsh_file.pub
switch(config)# exit
switch# show user-account
switch# copy running-config startup-config
ユーザ アカウント用に PEM フォーマット化された公開キー証明書形式で SSH 公開キーを指定できます。
次に、PEM フォーマット化された公開キー証明書形式で SSH 公開キーを指定する例を示します。
switch# copy tftp://10.10.1.1/cert.pem bootflash:cert.pem
switch# configure terminal
switch# show user-account
switch# copy running-config startup-config
Cisco Nexus デバイスからリモート デバイスに接続する SSH セッションを開始できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# ssh {hostname | username@hostname} [vrf vrf-name] |
リモート デバイスとの SSH セッションを作成します。 引数 hostname には、IPv4 アドレス、IPv6 アドレス、またはホスト名を指定します。 |
SCP または SFTP を使用してサーバからファイルをダウンロードする場合は、サーバと信頼性のある SSH 関係を確立します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# clear ssh hosts |
SSH ホスト セッションをクリアします。 |
Cisco Nexus デバイスでは、デフォルトで SSH サーバがイネーブルになっています。
SSH サーバをディセーブルにした後、SSH サーバ キーを削除できます。
(注) |
SSH を再度イネーブルにするには、まず、SSH サーバ キーを生成する必要があります。 |
Cisco Nexus デバイスから SSH セッションをクリアできます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# show users |
ユーザ セッション情報を表示します。 |
ステップ 2 | switch# clear line vty-line |
ユーザ SSH セッションをクリアします。 |
次に、SSH を設定する例を示します。
デフォルトでは、Telnet サーバはイネーブルに設定されています。 Cisco Nexus デバイスの Telnet サーバをディセーブルにできます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal |
コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# feature telnet |
Telnet サーバをディセーブルにします。 デフォルトはイネーブルです。 |
Cisco Nexus デバイスの Telnet サーバがディセーブルにされた場合は、再度イネーブルにできます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch(config)# feature telnet |
Telnet サーバを再度イネーブルにします。 |
Telnet セッションを開始してリモート デバイスに接続する前に、次の作業を行う必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# telnet hostname |
リモート デバイスとの Telnet セッションを作成します。 引数 hostname には、IPv4 アドレス、IPv6 アドレス、またはデバイス名を指定します。 |
次に、Telnet セッションを開始してリモート デバイスに接続する例を示します。
switch# telnet 10.10.1.1 Trying 10.10.1.1... Connected to 10.10.1.1. Escape character is '^]'. switch login:
Cisco Nexus デバイスから Telnet セッションをクリアできます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# show users |
ユーザ セッション情報を表示します。 |
ステップ 2 | switch# clear line vty-line |
ユーザ Telnet セッションをクリアします。 |
SSH の設定情報を表示するには、次のいずれかの作業を行います。
switch# show ssh key [dsa | rsa]
SSH サーバ キー ペアの情報を表示します。
switch# show running-config security [all]
実行コンフィギュレーション内の SSH とユーザ アカウントの設定を表示します。 キーワード all を指定すると、SSH およびユーザ アカウントのデフォルト値が表示されます。
switch# show ssh server
SSH サーバの設定を表示します。
switch# show user-account
ユーザ アカウント情報を表示します。
次の表に、SSH パラメータのデフォルト設定を示します。
パラメータ |
デフォルト |
---|---|
SSH サーバ |
イネーブル |
SSH サーバ キー |
1024 ビットで生成された RSA キー |
RSA キー生成ビット数 |
1024 |
Telnet サーバ |
イネーブル |