手当たり次第に書くんだ

飽きっぽいのは本能

Cisco ルーターの初期設定 – SSH / ユーザー / enable secret / VTY を整える

作者: si62512548投稿日: カテゴリー: Ciscoタグ: , , , , , , Cisco ルーターの初期設定 – SSH / ユーザー / enable secret / VTY を整える へのコメントはまだありません

Cisco ルーターやスイッチを触る時、最初に入れておく設定はいくつかあります。ホスト名、ローカルユーザー、enable secret、SSH、VTY、名前解決の扱いなどです。

この記事では、検証環境でも本番環境でも考え方として使える Cisco IOS の初期設定を、SSH 前提で整理します。Telnet はやむを得ない場合を除き使わない方針にします。

この記事では、Cisco IOS ルーターやスイッチで最初に入れておく基本設定を整理します。

  • ホスト名、ドメイン名、名前解決の扱いを設定する。
  • enable secret、ローカルユーザー、VTY を設定する。
  • Telnet ではなく SSH を前提にする。
  • 検証環境でも、後で困らない最低限の管理設定を入れる。

ホスト名とドメイン名を設定する

ホスト名は、ログ、プロンプト、証明書、運用上の識別に関係します。SSH の RSA 鍵を生成する場合、ドメイン名も設定しておきます。

設定例
hostname rt1
ip domain-name example.com

不要な DNS 参照を無効化する

Cisco IOS は、存在しないコマンドや意図しない文字列を入力した時に名前解決を試みることがあります。DNS 参照を設定していない環境では、タイムアウトまで待たされるため、不要であれば無効化します。

設定例
no ip domain-lookup

Cisco 機器自身で名前解決を使う設計であれば、DNS サーバーを設定し、ip domain-lookup を有効にします。検証環境では、まず無効化しておく方が作業しやすいことが多いです。

enable secret を設定する

特権モードへ入るためのパスワードは、enable password ではなく enable secret を使います。enable password は古い設定として見かけますが、基本的には避けます。

設定例
enable secret <ENABLE_SECRET>

ローカルユーザーを作成する

SSH ログイン用にローカルユーザーを作成します。検証環境では privilege 15 を付けることもありますが、本番では権限設計を分けるべきです。

設定例
username admin privilege 15 secret <ADMIN_PASSWORD>

<ENABLE_SECRET><ADMIN_PASSWORD> は実際の秘密値に置き換えます。記事、設定例、公開リポジトリに実パスワードを残さないようにします。

SSH を有効化する

SSH を使うには、ドメイン名、ローカルユーザー、RSA 鍵、SSH version 2、VTY の login local が必要です。

設定例
crypto key generate rsa modulus 4096
ip ssh version 2

古い機器では鍵長や対応アルゴリズムに制約がある場合があります。可能な範囲で SSH version 2 を使い、Telnet は使わない方向にします。

VTY を SSH 前提にする

VTY では、認証にローカルユーザーデータベースを使い、リモートログインは SSH に限定します。

設定例
line vty 0 15
 login local
 transport input ssh
 exec-timeout 10 0

検証環境では exec-timeout 0 0 にしたくなることがあります。作業中に切れない利点はありますが、放置セッションが残るため、本番や共有環境では避けた方が良いです。

コンソールとAUXの扱い

コンソールや AUX にもパスワードを設定できます。ただし、現在の運用では SSH によるリモート管理を主軸にし、コンソールは非常時の直接作業用として扱うのが自然です。

設定例
line con 0
 logging synchronous
 exec-timeout 10 0

line aux 0
 exec-timeout 10 0

設定を保存する

Cisco IOS では、running-config の変更を startup-config に保存しないと再起動後に失われます。

コマンド
write memory

または、次の形式でも保存できます。

コマンド
copy running-config startup-config

DHCPリレーは初期設定とは分けて考える

元の記事では DHCP リレーの例も含めていました。ip helper-address は重要な設定ですが、Cisco 機器の初期ログイン設定とは主語が異なります。

DHCP リレーは、クライアントセグメントの DHCP 要求を別セグメントの DHCP サーバーへ転送する設定です。初期設定ではなく、VLAN や SVI、L3設計の中で扱う方が自然です。

DHCPリレーの例
service dhcp

interface Vlan100
 ip address 172.16.1.200 255.255.255.0
 ip helper-address 172.16.0.100

ip helper-address は DHCP 専用のように見えますが、内部的には UDP の特定プロトコルを転送する仕組みです。転送対象は ip forward-protocol で制御できます。

まとめ

Cisco IOS の初期設定では、ホスト名、ドメイン名、名前解決、enable secret、ローカルユーザー、SSH、VTY を整えるのが基本です。

検証環境では簡略化したくなりますが、Telnet 前提や無期限タイムアウト、平文パスワード前提の設定をそのまま残すと、後から直すのが面倒になります。最初から SSH 前提の管理設定にしておく方が、以降の検証や運用が楽になります。

参考
書籍
参考書籍

マスタリング TCP/IP 入門編 第6版

TCP/IP、Ethernet、VLAN、ルーティングなど、ネットワークの基礎を体系的に確認したい場合の参考書籍です。価格や在庫はリンク先で確認してください。

Amazon で見る

このリンクは Amazon アソシエイトリンクです。

関連する記事

関連する記事
Cisco ルーターの初期設定 – SSH / ユーザー / enable secret / VTY を整える

関連記事

Cisco KRON の使い方 – IOS で定期コマンドを実行する Cisco BGP の基本設定 – neighbor / network / 経路広告を整理する Cisco コンフィグ変更に正規表現を使う – 既存設定から投入用コンフィグを作る Cisco 1812J のコンパクトフラッシュ交換 – IOS イメージと起動メディアを扱う Cisco IP SLA でダイナミック DNS を更新する – HTTP GET を使った DDNS 連携 Cisco Nexus で no feature lldp が再起動後に戻る理由 – LLDP 無効化と設定永続化 Cisco のルーターでもリンクアグリゲーションが使える Cisco ISE on Azure デプロイ後の初期確認 – 起動状態と管理画面を確認する

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

トップへ戻る