ログイン設定

ログイン設定

ルータへのログイン設定について順に検証します。

• コンソール接続時のパスワード認証
• バナーメッセージ
• TELNET接続
• パスワードの暗号化
• SSH接続
• 接続状況確認

利用する環境は、こちらで紹介したCSR 1000Vの基本設定が完了しているルータです。

コンソール接続時のパスワード認証

コンソール接続時にパスワードが求められるように設定します。
検証には、コンソール接続時にパスワードなしで接続できている状態のR1を利用します。コンソール接続環境については、CSR 1000Vの起動準備やCSR 1000Vの起動と初期設定を参照してください。

R1にて以下を設定します。ログインパスワードはciscoとします。
R1# conf t　「ENTER」
R1(config)#line console 0「ENTER」← コンソールを指定
R1(config-line)#password cisco「ENTER」← パスワードを指定
R1(config-line)#login「ENTER」← ログイン時に認証することを明示
R1(config-line)#end「ENTER」
R1#wr「ENTER」← 保存

設定後、一度ログアウトとします。
R1#exit「ENTER」

再度、ログインする際に、以下を出力し、ciscoと入力することでログインできることを確認します。
Password: ← この出力でパスワードを入力しEnter。

「show running-config」でコンソール設定も確認しておきます。
R1#show running-config | section line con 0「ENTER」← コンソール設定部分を表示

line con 0
 exec-timeout 0 0
 password cisco
 login
 stopbits 1

なお、「exec-timeout 0 0」はコンソールのタイムアウト時間を無期限にするテスト用の設定です。便利ですが、セキュリティ上は好ましくありません。「stopbits 1」はデフォルトの設定です。

バナーメッセージ

R1にログイン時に表示するメッセージを設定します。バナーと言いますが、ホスト名やシリアル番号等のルータ情報を記載することが多いです。
ここでは「This is Test Banner.」を表示させます。

R1# conf t　「ENTER」
R1(config)#banner motd #「ENTER」← 最後の「♯」は区切り文字です。バナーメッセージの最後の行で「♯」を入力します。
Enter TEXT message. End with the character ‘#’. ← 出力です。
This is Test Banner.「ENTER」← バナーメッセージを記載。複数行も記載できます。
#「ENTER」← 区切り文字。
R1(config)#exit「ENTER」
R1#wr「ENTER」← 保存

設定後、一度ログアウトとします。
R1#exit「ENTER」

再度、ログインする際に、設定したバナーが表示されることを確認します。

This is Test Banner.

その後、上で設定したパスワード要求があります。

「show running-config」で設定も確認しておきます。

R1#show running-config | begin banner「ENTER」← bannerで始まる設定を表示

banner motd ^C
This is Test Banner.
^C
!
（以下略）

先ほど指定した区切り文字「♯」は、「^C」に変更されて設定保存されます。

TELNET接続

利用する環境は、こちらで紹介した基本設定が完了しているルータです。
R1にTelnet設定を行い、R2からR1へログイン確認します。

R1に以下を設定します。
R1# conf t　「ENTER」
R1(config)#line vty 0 4「ENTER」← VTY（仮想ポート）の0から4を指定。5つまで同時接続が可能になる。
R1(config-line)#password cisco「ENTER」← パスワードの指定
R1(config-line)#login「ENTER」← ログイン時に認証することを明示
R1(config-line)#end「ENTER」
R1#wr「ENTER」← 保存

R2からR1へ以下のようにTELNETできるか確認します。
R2#telnet 192.168.1.101「ENTER」← R1のIPへTELNET。次の行は出力です。上で設定したバナーも表示されています。Password:行で、パスワード(cisco)を入力し、ENTERを実行します。

Trying 192.168.1.101 ... Open
This is Test Banner.
User Access Verification
Password: ← パスワード(cisco)を入力し、「ENTER」
R1>

R1>が表示されれば、ログイン成功です。
exitでログアウトできます。

「show running-config」で設定も確認しておきます。

R1#show running-config | section vty「ENTER」← VTYに関わる設定を表示します。

line vty 0
 password cisco
 login
line vty 1
 password cisco
 login
 length 0
line vty 2 4
 password cisco
 login

パスワードの暗号化

上の「show run」ではパスワードが平文で表示されています。
以下を設定することで、パスワードが暗号化されて表示されます。

R1(config)#service password-encryption「ENTER」← グローバルコンフィギュレーションモードで実行します。

show runで、パスワード部分が「password 7」で始まり、暗号化されたことを確認します。

また、ユーザEXECモードからenableコマンドを実行して特権EXECモードに移るときにもパスワード認証するように設定できますが、そのパスワード表示も暗号化する場合は「enable secret」を設定します。

R1(config)#enable secret cisco「ENTER」← パスワードがciscoの場合

「R1#show running-config | include enable secret」等で暗号化されたことを確認します。

なお、enable secretの暗号化パスワードは復号化できませんが、「password 7」で始まる暗号化パスワードは復号化できます。
ここでは復号化方法を紹介しませんが、「show run」の内容をどなたかに見てもらう場合など、注意が必要です。

SSH接続

TELNET設定と同様の環境を利用し、R1にSSHを設定し、R2からR1へSSH接続確認を行います。
R1へ以下を設定します。
R1# conf t　「ENTER」
R1(config)#username admin password cisco「ENTER」← ユーザとそのパスワードを指定します。
R1(config)#ip domain-name test123.com「ENTER」← ドメインを指定します。次の鍵作成で必要なためです。

R1(config)#crypt key generate rsa「ENTER」← 鍵を作成します。次から出力です。ビット数の指定では、1024などを指定します。

The name for the keys will be: R1.test123.com
Choose the size of the key modulus in the range of 360 to 4096 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 1024 ← 1024を指定し、ENTER。
% Generating 512 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 0 seconds)

R1(config)#ip ssh version 2「ENTER」← SSHのバージョンを指定します。環境によってはバージョン1でも構いません。

R1(config)#line vty 0 4「ENTER」← VTY（仮想ポート）の0から4を指定。
R1(config-line)#transport input ssh「ENTER」← SSH接続のみを許可。TELNETでは接続できなくなります。
R1(config-line)#login local「ENTER」← ローカル認証を利用する。
R1(config-line)#end「ENTER」
R1#wr「ENTER」← 保存

なお、SSH設定ではルータのホスト名設定も必要です。今回はR1というホスト名で設定済みのため、省略しています。

R2から以下のように、R1へSSHログインします。

R2#ssh -l admin 192.168.1.101「ENTER」← adminユーザを指定して、SSHログイン。

Password:　← パスワード(cisco)を入力し、「ENTER」
This is Test Banner.
R1>

バナーとR1>が表示されれば、ログイン成功です。
exitでログアウトできます。

「show running-config」で設定も確認しておきます。

接続状況確認

SSHやTELNETの接続状況はshow usersコマンドやshow sessionsコマンドで確認できます。

show users

show usersは、アクセスされている側、上の環境ではR1で実行します。

R1#show users「ENTER」← 次の3行が出力例です。

    Line       User       Host(s)              Idle       Location
*  0 con 0                idle                 00:00:00
   2 vty 0     admin      idle                 00:00:15 192.168.1.102

show usersの実行結果は、罫線のない表のような出力です。
上の出力を例に説明します。
出力1行目の「 Line User Host(s) Idle Location」が項目行です。最初の空白を含め、以下の6項目があります。

• 最初の空白。自身（show usersを実行したR1)がこのデバイスにアクセスしている情報。出力2行目の先頭「*」が対応。3行目は空白。
• Line。ライン番号と接続情報。ライン番号は出力2行目の「0」と出力3行目の「2」が対応。接続情報は出力2行目の「con 0」と3行目の「vty 0」が対応。
• User。接続しているユーザ情報。出力2行目は空白。出力3行目の「admin」が対応。
• Host(s)。接続先のホスト情報。出力2行目と3行目の「idle」が対応。idleの場合は外部ホストへ接続していないことを表す。
• Idle。接続してからの経過時間。出力2行目の「00:00:00」と3行目の「00:00:15」が対応。
• Location。接続しているクライアントのIPアドレス。出力2行目は空白。出力3行目の「192.168.1.102」が対応。

show sessions

show usersは、自身に対しての情報ですが、show sessionsを利用すると、自身が行っているアクセスを確認できます。上の環境では、以下のように、Telnetセッションを中断した後のR2で実行します。

1. R2からR1へTelnetでログイン
2. Ctrl ＋ Shift ＋ 6キーを押したあと、Xキーを押してセッションを中断
3. R2でshow sessionsを実行

R2での実行結果は以下のようになります。
R2#show sessions「ENTER」

Conn Host                Address             Byte  Idle Conn Name
*  1 192.168.1.101       192.168.1.101          0     0 192.168.1.101

show sessionsは罫線のない表のような出力です。
1行目は項目です。「Conn」「Host」「Address」「Byte」「Idle」「Conn Name」の6つあります。
2行目からがその結果です。
R2の実行結果を例にすれば、以下のように項目と結果が対応します。右矢印の次が対応する結果です。

• Conn → *1 (コネクション番号。*は直前のセッションを表す）
• Host → 192.168.1.101
• Address → 192.168.1.101
• Byte → 0
• Idle → 0
• Conn Name → 192.168.1.101