Mímisbrunnr知恵の泉

← コンピュータネットワーク 一覧

🎓 レベル:標準 | 重要度:A(必須) 📎 前提:Cisco IOSの基本操作

要点(BLUF)

1. ホスト名と基本の保護

Router> enable
Router# configure terminal
Router(config)# hostname R1
R1(config)# enable secret StrongPass123     ! 特権モードのパスワード(ハッシュ保存)
R1(config)# service password-encryption     ! 平文パスワードを難読化
R1(config)# banner motd #Authorized access only#

enable secret は強いハッシュで保存され、enable password(平文)より安全です。

2. インターフェースにIPを付ける(ルータ)

R1(config)# interface GigabitEthernet0/0
R1(config-if)# description LAN-side
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config-if)# no shutdown                  ! 物理を有効化(既定はshutdown)

no shutdown を忘れるとIFが上がりません(CCNAの定番ミス)。確認は show ip interface brief

3. スイッチの管理IP(SVI)

スイッチはL2機器なので、各ポートにIPは付きません。管理用VLANのSVIに1つIPを与え、デフォルトゲートウェイを指します。

Switch(config)# interface vlan 1
Switch(config-if)# ip address 192.168.1.2 255.255.255.0
Switch(config-if)# no shutdown
Switch(config)# ip default-gateway 192.168.1.1

4. SSHで遠隔管理を有効化

SSHにはホスト名・ドメイン名・RSA鍵・ユーザーが必要です。手順に欠けがあると鍵生成や接続が通りません。

R1(config)# ip domain-name example.local
R1(config)# username admin privilege 15 secret AdminPass123
R1(config)# crypto key generate rsa modulus 2048    ! ドメイン名が必要
R1(config)# ip ssh version 2
R1(config)# line vty 0 4
R1(config-line)# transport input ssh                ! Telnetを締め出しSSHのみ
R1(config-line)# login local                        ! ローカルユーザーで認証
graph TD
  A["ホスト名・ドメイン名を設定"]
  B["RSA鍵を生成(ドメイン名が前提)"]
  C["ユーザーを作成"]
  D["vtyでssh限定+login local"]
  E["ssh version 2"]
  A --> B --> C --> D --> E

5. 保存

R1# copy running-config startup-config

ここまでを保存して、再起動でも消えないようにします。

なぜSSHにこれだけ手順が要るのか(設計の直観)

SSHは公開鍵暗号で接続を保護します。鍵を作るには鍵の名前の一部としてホスト名+ドメイン名が要り、認証にはユーザー情報が要る。つまり「暗号化された安全な管理経路」を作るための前提条件が連鎖しているのです。Telnetが簡単なのは何も守らないから。安全には段取りが要るという、セキュリティ全般に通じる構図がここにあります。

⚠️ よくある誤解

対応 lab

関連