Cisco Catalyst 9800 シリーズワイヤレスコントローラ（Cisco IOS XE 17.15.x）ソフトウェアコンフィギュレーションガイド

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

検索結果

Updated:: 2025年2月5日水曜日

Web 管理設定

Web 管理設定について

この章では、コントローラの Web インターフェイスにアクセスするためのさまざまな設定について説明します。これには、ネットワーク内の他のユーザーと通信するためのコントローラの設定、IP 経由で接続するための管理インターフェイスの設定、リモートでコントローラにアクセスするためのユーザー数とプロトコルの設定が含まれ、優先するファイル転送プロトコルに応じて、ファイル転送の送信元インターフェイスが設定されます。

システム全体の設定を行うには、[Administration] > [Management] > [HTTP/HTTPS/Netconf/VTY] ページを使用します。

HTTP/HTTPS アクセスの設定

HTTP/ HTTPS アクセスでは、ユーザーが IP アドレスを使用してコントローラの WebUI にアクセスできます。ユーザーは、HTTPS を介してセキュアに接続するか、またはセキュアな接続ではない HTTP を介して接続することができます。

コントローラへのセキュアなアクセスを設定するには、[Administration] > [Management] > [HTTP/HTTPs/Netconf/VTY] ページを使用します。

手順

ステップ 1

[HTTP Access] を有効にし、HTTP 要求をリッスンするポートを入力します。デフォルトのポートは 80 です。有効な値は、80 または 1025 ～ 65535 の値です。

ステップ 2

デバイスで [HTTPS Access] を有効にし、HTTPS 要求をリッスンする指定ポートを入力します。デフォルトのポートは 1025 です。有効な値は、443 または 1025 ～ 65535 の値です。

HTTPs アクセスを有効にすると、ユーザーが「https://ip-address」を使用してコントローラの GUI にアクセスできます。セキュア HTTP 接続の場合、HTTP サーバが送受信するデータは暗号化されてインターネットに送信されます。SSL 暗号化を伴う HTTP は、Web ブラウザからスイッチを設定するような機能に、セキュアな接続を提供します。

ステップ 3

二要素認証の個人 ID 検証（PIV）を有効にします。

この認証方式では、ユーザーは個人 ID 検証（PIV）互換のスマートカードを使用して WebUI にアクセスでき、パスワードなしでログインできます。これが機能するためには、デバイスにトラストポイント、CA サーバー証明書を設定していて、ブラウザのクライアント証明書が CA サーバーによって署名されていることを確認します。クライアント証明書を提供できないと、UI へのアクセスが拒否されます。

ステップ 4

リモート TACACS+/RADIUS セキュリティサーバーに基づいてユーザーの権限と制限を許可するには、[Personal Identity Verification Authorization only] オプションを [Enabled] に設定します。

ステップ 5

[Apply] をクリックして、設定を保存します

（注）

Safari で二要素認証に個人 ID 検証（PIV）を使用するには、次の手順を実行します。

Safari ブラウザを開き、[Settings] > [Advanced] に移動します。
1. [Show Develop in menu bar] チェックボックスをオンにします。これにより、上部のメニューバーの [Develop] オプションが有効になります。
2. [Develop] をクリックし、ドロップダウンから [Empty Caches] を選択します。
Web URL を開き、ログインします。

HTTP トラストポイントの設定

認証局（CA）は、要求を認可して参加するネットワークデバイスに証明書を発行します。これらのサービスは、参加するデバイスに対する中央集中的なセキュリティキーおよび証明書の管理を提供します。特定の CA サーバはトラストポイントと呼ばれます。接続が実行されると、HTTPS サーバは、トラストポイントとなる特定の CA から得た X.509v3 の証明書を発行することで、セキュアな接続をクライアントに提供します。クライアント（通常、Web ブラウザ）は、その証明書の認証に必要な公開キーを保有しています。セキュア HTTP 接続には、CA のトラストポイントを設定することを強く推奨します。HTTPS サーバを実行しているデバイスに CA のトラストポイントが設定されていないと、サーバは自身を認証して必要な RSA のキーのペアを生成します。自身で認証した（自己署名）証明書は適切なセキュリティではないので、接続するクライアントはその証明書が自己証明書であることを通知し、ユーザに接続の選択（確立または拒否）をさせる必要があります。この選択肢は内部ネットワークトポロジ（テスト用など）に役立ちます。CA のトラストポイントを設定していないと、セキュア HTTP 接続を有効にした場合、そのセキュア HTTP サーバ（またはクライアント）に対する一時的または永続的な自己署名証明書が自動的に生成されます。デバイスにホスト名とドメイン名が設定されてない場合、一時的な自己署名証明書が生成されます。スイッチを再起動すると、この一時的な自己署名証明書は失われ、新たに自己署名証明書（一時的に）が割り当てられます。デバイスにホスト名とドメイン名が設定されている場合、永続的な自己署名証明書が生成されます。デバイスを再起動したり、セキュア HTTP サーバを無効にしたりする場合も、この証明書はアクティブなままで残り、再度セキュア HTTP 接続をイ有効にする際にも存在しています。

これらの変更を行うには、[Administration] > [Management] > [HTTP /HTTPs/Netconf/VTY] ページの [Trust Point Configuration] セクションを使用します。

始める前に

Web 管理用にトラストポイントを設定しておく必要があります。

手順

ステップ 1

タップしてトラストポイントを有効にします。

ステップ 2

Web 管理目的で使用する適切なトラストポイントをドロップダウンリストから選択します。

以前にトラストポイントを設定していない場合は、該当するページに移動して、最初にトラストポイントを設定できます。

ステップ 3

[Apply] をクリックして、設定を保存します

Netconf Yang の設定

NETCONF は、ネットワークデバイスの設定をインストール、操作、削除するためのメカニズムです。

認証のために AAA を使用するように NETCONF 接続が設定されている場合、デフォルトの方式リストのみが使用され、他の名前付き方式リストを使用するように指定することはできません。

これらの変更を行うには、[Administration] > [Management] > [HTTP /HTTPs/Netconf/VTY] ページの [Netconf Yang Configuration] セクションを使用します。

手順

ステップ 1	NETCONF を有効にします。
ステップ 2	クライアントとサーバー間の通信を容易にするために使用される SSH ポート番号を入力します。デフォルトのポートは 830 です。
ステップ 3	[Apply] をクリックして、設定を保存します

タイムアウトポリシーの設定

タイムアウトポリシーの設定を使用して、タイムアウトになる前に管理セッションがアイドル状態を維持できる間隔の詳細を設定できます。時間の値に達すると、接続を再確立できるように再度ログインする必要があります。

これらの変更を行うには、[Administration] > [Management] > [HTTP /HTTPs/Netconf/VTY]ページの [Timeout Policy Configuration] セクションを使用します。

手順

ステップ 1	HTTP サーバーへの接続がタイムアウトになるまで開いたままにしておく最大秒数を [HTTP Timeout-policy] に入力します。時間の値に達すると、接続を再確立できるように再度ログインする必要があります。
ステップ 2	データが受信されない場合、または接続時に応答データを送信できない場合に、接続を開いたままにしておく最大秒数を [Session Idle Timeout] に入力します。既存の接続に対しては、新しい値は適用されないことに注意してください。サーバがビジーの場合や、life で制限された時間、または requests で制限された数に到達した場合は、設定より早く接続が閉じられる場合があります。デフォルト値は 180 秒（3 分）です。
ステップ 3	接続が確立されてから接続を開いたままにしておく最大秒数を [Server Life Time] に入力します。既存の接続に対しては、新しい値は適用されないことに注意してください。サーバがビジーの場合や、idle で制限された時間、または requests で制限された数に到達した場合は、設定より早く接続が閉じられる場合があります。また、サーバがアクティブに要求を処理している場合はサーバにより接続が閉じられることはないため、life で設定された最大秒数に達した際に処理が進行中の場合、life で設定した時間より長く接続が開かれたままになります。この場合は、処理が終了すると接続が閉じられます。デフォルト値は 180 秒（3 分）です。最大値は 86400 秒（24 時間）です。
ステップ 4	永続的な接続が閉じられるまでに処理するリクエストの最大数を [Max Number of Requests] に入力します。既存の接続に対しては、新しい値は適用されないことに注意してください。サーバがビジーの場合や、idle または life で制限された時間に到達した場合は、設定した最大数の要求が処理される前に接続が閉じられる場合があります。デフォルト値は 1 です。最大値は 86400 です。
ステップ 5	[Apply] をクリックして、設定を保存します

VTY の設定

VTY は、デバイスへの Telnet または SSH アクセスに使用される仮想ポートです。VTY は、デバイスへのインバウンド接続にのみ使用されます。デバイスへの同時接続の数を設定し、これらの接続を検証するためのセキュリティを追加できます。

これらの変更を行うには、[Administration] > [Management] > [HTTP /HTTPs/Netconf/VTY] ページの [VTY] セクションを使用します。

手順

ステップ 1	VTY 回線の数を設定し、デバイスへの同時アクセス数をリモートで許可します。仮想端末回線または仮想テレタイプ（VTY）は、コンソールを介してラップトップをコントローラに物理的に接続するのとは異なり、コントローラの CLI にリモートでアクセスする仮想的な方法です。VTY 回線の数は、可能な同時接続の最大数です。0 ～ 50 に設定すると、コントローラに対して最大 50 の同時 Telnet または ssh セッションが許可されます。デフォルトは 15 に設定されていますが、デバイスへの複数の接続がある場合に接続が中断しないように、VTY 回線の数を 50 に増やすことを推奨します。
ステップ 2	[VTY Transport Mode] ドロップダウンリストからリモート接続のプロトコルをセレクトします。プロトコルに基づいて接続を分割できます。たとえば、0 〜 5 は SSH を許可し、10 〜 20 は Telnet を許可する場合があります。
ステップ 3	（任意）WebUI でセキュリティを追加して、ログインリクエストを検証できます。システム上の vty 回線へのインバウンドセッションの AAA 認証および承認を設定するには、まず Radius または TACACS+ 認証サーバーを設定し、対応するドロップダウンから認証および承認リストを選択する必要があります。
ステップ 4	[Apply] をクリックして、設定を保存します

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ（Cisco IOS XE 17.15.x）ソフトウェア コンフィギュレーション ガイド