セキュア シェルの設定について
セキュア シェル(SSH)は、デバイスに対する安全なリモート接続を可能にするプロトコルです。SSH は、デバイスの認証時に強力な暗号化を行うことで、リモート接続について Telnet 以上のセキュリティを実現します。このソフトウェア リリースは、SSH バージョン 1(SSHv1)および SSH バージョン 2(SSHv2)をサポートしています。
SSH およびデバイスアクセス
セキュア シェル(SSH)は、デバイスに対する安全なリモート接続を可能にするプロトコルです。SSH は、デバイスの認証時に強力な暗号化を行うことで、リモート接続について Telnet 以上のセキュリティを実現します。このソフトウェア リリースは、SSH バージョン 1(SSHv1)および SSH バージョン 2(SSHv2)をサポートしています。
SSH サーバ、統合クライアント、およびサポートされているバージョン
セキュア シェル(SSH)統合クライアント機能は、SSH プロトコル上で動作し、デバイスの認証および暗号化を実現するアプリケーションです。SSH クライアントによって、シスコ デバイスは別のシスコ デバイスなど SSH サーバを実行するデバイスに対して、セキュアで暗号化された接続を実行できます。この接続は、接続が暗号化される点を除いて Telnet のアウトバウンド接続と同様の機能を提供します。SSH クライアントは、認証および暗号化により、保護されていないネットワーク上でもセキュアな通信ができます。
SSH サーバおよび SSH 統合クライアントは、スイッチ上で実行されるアプリケーションです。SSH サーバは、このリリースでサポートされている SSH クライアントおよび、他社製の SSH クライアントと使用します。SSH クライアントは、市販の一般的な SSH サーバと連動します。SSH クライアントは、Data Encryption Standard(DES)、3DES、およびパスワード認証の暗号をサポートします。
スイッチは、SSHv1 または SSHv2 サーバをサポートします。
スイッチは、SSHv1 クライアントをサポートします。
![]() (注) |
SSH クライアント機能を使用できるのは、SSH サーバがイネーブルの場合だけです。 |
ユーザ認証は、デバイスに対する Telnet セッションの認証と同様に実行されます。SSH は、次のユーザ認証方式もサポートします。
-
TACACS+
-
RADIUS
-
ローカル認証および許可
SSH 設定時の注意事項
スイッチを SSH サーバーまたは SSH クライアントとして設定する場合は、次の注意事項に従ってください。
-
SSHv2 サーバーは、SSHv1 サーバーで生成される RSA キーのペアを使用できます(逆の場合も同様です)。
-
SSH サーバーがアクティブスイッチ上で動作しており、アクティブスイッチに障害が発生した場合、新しいアクティブスイッチは、以前のアクティブスイッチによって生成された RSA キーペアを使用します。
-
crypto key generate rsa グローバル コンフィギュレーション コマンドを入力した後、CLI エラー メッセージが表示される場合、RSA キーペアは生成されていません。ホスト名およびドメインを再設定してから、crypto key generate rsa コマンドを入力してください。
-
RSA キーのペアを生成する場合に、メッセージ「No host name specified」が表示されることがあります。このメッセージが表示された場合は、hostname グローバル コンフィギュレーション コマンドを使用してホスト名を設定する必要があります。
-
RSA キーのペアを生成する場合に、メッセージ「No domain specified」が表示されることがあります。このメッセージが表示された場合は、ip domain-name グローバル コンフィギュレーション コマンドを使用して IP ドメイン名を設定する必要があります。
-
ローカル認証および許可の方法を設定する場合に、コンソール上で AAA がディセーブルにされていることを確認してください。
Secure Copy Protocol の概要
Secure Copy Protocol(SCP)機能は、スイッチの設定やイメージ ファイルのコピーにセキュアな認証方式を提供します。SCP にはセキュア シェル(SSH)が必要です(Berkeley の r-tool に代わるセキュリティの高いアプリケーションおよびプロトコルです)。
SSH を動作させるには、スイッチに RSA の公開キーと秘密キーのペアが必要です。これは SSH が必要な SCP も同様で、セキュアな転送を実現させるには、これらのキーのペアが必要です。
また、SSH には AAA 許可が必要のため、適切に設定するには、SCP にも AAA 認証が必要になります。
-
SCP をイネーブルにする前に、スイッチの SSH、認証、許可、およびアカウンティングを適切に設定してください。
-
SCP は SSH を使用してセキュアな転送を実行するため、ルータには RSA キーのペアが必要です。
![]() (注) |
SCP を使用する場合、copy コマンドにパスワードを入力することはできません。プロンプトが表示されたときに、入力する必要があります。 |
Secure Copy Protocol
セキュア コピー プロトコル(SCP)機能は、deviceの設定やスイッチ イメージ ファイルのコピーにセキュアな認証方式を提供します。SCP は一連の Berkeley の r-tools に基づいて設計されているため、その動作内容は、SCP が SSH のセキュリティに対応している点を除けば、Remote Copy Protocol(RCP)と類似しています。また、SCP では認証、許可、およびアカウンティング(AAA)の設定が必要なため、deviceはユーザーが正しい権限レベルを保有しているかどうかを特定できます。セキュア コピー機能を設定するには、SCP の概念を理解する必要があります。
SFTP のサポート
SFTP クライアントのサポートは、Cisco IOS XE Gibraltar 16.10.1 リリース以降で導入されています。SFTP クライアントはデフォルトで有効になっており、個別の設定は必要ありません。
SFTP プロシージャは、scp および tftp コマンドの場合と同様に、copy コマンドを使用して呼び出すことができます。sftp コマンドを使用した一般的なファイル ダウンロード手順は、次のように実行できます。
copy sftp://user :password @server-ip/file-name flash0:// file-name
copy コマンドの詳細については、次の URL を参照してください。https://www.cisco.com/c/m/en_us/techdoc/dc/reference/cli/nxos/commands/fund/copy.html