Go to Qiita Advent Calendar 2024 Top
LoginSignup
2
7

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@k-yasuhiro(kawai yasuhiro)

Ciscoルータの初期設定【各種パスワード / IPアドレスの設定】

Last updated at Posted at 2021-01-12

CCNAの試験に向けて学習中。
復習に見返せるようにメモしていきます。
ほぼ自分の勉強メモです。
過度な期待はしないでください。

前回投稿記事

こちらのCiscoルータの初期設定【操作の基本】投稿記事の続きです。

  1. Ciscoルータの基本設定

3-1.ホスト名の設定

ホスト名とは、機器に設定出来る名前の事です。Cisco製品のルータにはデフォルトで
Routerという名前が付けられています。

ホスト名を変更するには、グローバルコンフィグレーションモード
次の hostnameコマンドを実行します。

Router(config)# hostname <ホスト名>

ホスト名を付ける際の注意点

  • 63文字以下
  • 英語で始まり、英語または数字で終わる
  • 先頭と最後の文字の間には英語、数字、ハイフンのみ使用可能

■設定例

Router(config)# hostname IP-01
IP-01(config)#  // 元々Routerというホスト名だったのがIP-01というホスト名に変更された

■ 設定の削除

hostnameコマンドに限らず、全ての設定コマンドに置いて、入力した設定を削除するには、
コマンドの前に ”no”を付けて同じコマンドを実行します。
ただし、設定した時と同じモードで実行しなければエラーとなってしまうので注意が必要です。

IP-01#no hostname  // モードが異なる為エラー

% Invalid input detected at '^' marker.

IP-01#conf t  // ”configure terminal”の略
IP-01(config)#no hostname  // 削除コマンド
Router(config)#  // ホスト名がデフォルトのRouterに戻る

■ 設定したホスト名の変更

一度設定した後に異なるホスト名に変更したい場合は、設定を削除しなくても同じ
コマンドを実行する事で上書きされます。

Router(config)#hostname IP-01
IP-01(config)#hostname IP-02
IP-02(config)# // 名前が上書きされて、IP-02に変更された

3-2.各種パスワードの設定

■ 3-2-1.セキュリティの必要性

セキュリティの強度を高める為に、パスワードを設定しておく事が一般的です。
なので、3つのパスワード、
コンソールパスワードイネーブルパスワードVTYパスワード
を設定します。

■ 3-2-2.コンソールパスワード設定

① ラインコンフィグレーションモードに移行する
ラインコンフィグレーションモードに移行するには、グローバルコンフィグレーションモード
次の line console 0コマンドを実行します。

(config)# line console 0
(config-line)#

Consoleポートは機器に1つしかなく、また0番から数える為、0を指定します。
0以外を指定する事は出来ません。

② パスワードを設定する
パスワードを設定するには、ラインコンフィグレーションモードで、
次の passwordコマンドを実行します。

(config-line)# password <パスワード>

③ 認証を有効化 パスワードの認証を有効化するには、ラインコンフィグレーションモードで、 次の loginコマンドを実行します。 
(config-line)# login

loginコマンドを実行しないと、パスワードを設定したとしても、パスワードを問われずに
ログイン出来てしまう危険性があるので注意が必要です。

⚫️ コンソールパスワード設定例

Router(config)#line console 0       // ラインコンフィグレーションモードに移行
Router(config-line)#password cisco  // パスワードの設定
Router(config-line)#login           // パスワードの認証を有効化
Router(config-line)#exit            // 1つ前のモードに戻る
Router(config)#                     // グローバルコンフィグレーションモードに戻った

■ 3-2-3.イネーブルパスワード設定

ユーザEXECモードから特権EXECモードに移行する際に設定するパスワード。
イネーブルパスワードを設定するには、グローバルコンフィグレーションモードで、
次の enable passwordコマンドを実行します。

(config)# enable password <パスワード>

■ 3-2-4.VTYパスワード設定

VTYパスワードを設定するには、グローバルコンフィグレーションモードで、
次の line vty コマンドを実行します。

(config)# line vty <開始ライン番号> [<終了ライン番号>]

終了ライン番号を省略すると、開始ライン番号で指定したVTYポートのみに設定を行い
ラインコンフィグレーションモードに移行します。

VTYポートとは、仮想端末ポートとも呼ばれ、ルータの機器の内部に用意されている仮想的な
ポートです。VTY接続では、Ethernetポートなどの通信を行うポートから機器内部のVTYポートを
経由して接続されます。

⚫️ VTYパスワード設定例
コンソールパスワード設定とほぼ同様のやり方。

Router(config)#line vty 0 4          // VTY0~4ポートの設定をまとめて行っています
Router(config-line)#password cisco   // パスワードの設定
Router(config-line)#login            // パスワードの認証を有効化
Router(config-line)#exit             // 1つ前のモードに戻る
Router(config)#                      // グローバルコンフィグレーションモードに戻った

⚫️ VTYパスワード設定されていなかった場合
VTYパスワード設定されていなかった場合、VTY接続で接続出来ません。

Password required, but none set

もし上記のような表示がされた場合、接続先の機器にパスワードの設定をしなければならない。


■ 3-2-5.show running-configによるパスワードの設定の確認

設定したパスワードのスペルミスがないか、loginコマンドを実行し忘れていないかといった
設定が正しく出来ているかを確認する為、パスワードの設定が一通り終了したら特権EXECモードで
show running-configコマンドを実行します。
詳しい画像などはこちら記事を参照


■ 3-2-6.ローカル認証の設定

ローカル認証とは、パスワードだけでなく、ユーザー名も必要な設定方法。
ローカル認証では、ログインする機器にユーザーとそのパスワードを設定する必要があります。
手順は以下の通りになります。

① ユーザーアカウントの作成
ユーザーアカウントを作成するには、グローバルコンフィグレーションモードで、
次の usernameコマンドを実行します。

(config)# username <ユーザー名> [privilege <特権レベル>] password <パスワード>

<特権レベル>には、ユーザーの特権レベルを指定します。
0 ~ 15 が指定でき、設定されたレベル以下のコマンドしか実行できなくなります。

privilegeを指定せずに作成したユーザーでログインするとユーザEXECモードから始まり、
実行出来るコマンドは1以下に設定されているコマンドになります。
特権レベル15は、特権EXECモードとなり、全てのコマンドが実行出来ます。
この場合、ログイン後、ユーザEXECモードを経由する事なく特権EXECモードから始ります。
 
② ラインコンフィグレーションモードに移行する

// コンソール接続の場合
(config)# line console 0
// VTY接続の場合
(config)# line vty <開始ライン番号> [<終了ライン番号>]

 
③ 作成したユーザーアカウントの使用を指定
作成したユーザーアカウントの使用してログインの認証をするには、設定したいラインの
ラインコンフィグレーションモードで、login localコマンドを実行します。

(config-line)# login local

 
⚫️ ローカル認証の設定例

Router(config)#username user01 password pass01               // ユーザーアカウント01作成
Router(config)#username user02 privilege 15 password pass02  // ユーザーアカウント02作成
(config)#line console 0                                      // ラインコンフィグレーションモードに移行
Router(config-line)#login local                              // パスワードの認証を有効化

設定した内容は、show running-configにより確認出来ます。
確認した際に、パスワードに前に「0」という数字が表示されますが、これは暗号化されて
いないパスワードである事を示しています。


#### 3-3.パスワードの暗号化

show running-configコマンドを実行すると、設定したパスワードがそのまま表示されます。
これでは、設定ファイルを開かれたり、操作中の画面を見られたりすると、パスワードが分かって
しまいます。その為、文字列を判別出来ないように暗号化します。

■ 3-3-1.イネーブルパスワードの暗号化

イネーブルパスワードの暗号化するには、グローバルコンフィグレーションモードで、
enable secretコマンドを実行します。

(config)# enable secret <パスワード>

enable secretコマンド と enable passwordコマンド両方でパスワード設定した場合、
enable secretコマンドで設定されたパスワードが優先されます。

 

■ 3-3-2.パスワード全般の暗号化

パスワード全般の暗号化は、グローバルコンフィグレーションモードで、
次の service password-encryptionコマンドを実行します。

(config)# service password-encryption

このコマンドは、enable passwordコマンド、passwordコマンド、usernameコマンドで設定した
パスワードを暗号化します。
設定済みのパスワードだけでなく、今後設定するパスワードも暗号化されて保存されます。
ただし、イネーブルパスワードは、enable secretコマンドを実行した方が暗号化の強度が
強くなります。

また、次のコマンドを実行すると暗号化が無効になり、以降設定されるパスワードは
暗号化されません。既に暗号化されて保存されたパスワードは元には戻りません。

(config)# no service password-encryption

■ 3-3-3.自動ログアウトの設定

自動ログアウトの時間を設定するには、ラインコンフィグレーションモードで、
次の exec-timeoutコマンドを実行します。

(config-line)# exec-timeout <分> [<秒>]

<秒>は省略可能で、省略すると0が自動的に設定されます。
また、<分>に0を指定すると自動ログアウトが無効になります。
しかし、セキュリティの強度を下げる事になるので推奨されてません。

3-4.SSHの設定

TELNETでアクセスしたい場合、VTY接続の設定をするだけでログイン可能でしたが、
SSHでログインする場合は次の手順で行います。

SSHは、TELNET同様遠隔地にあるサーバやルーター等を端末から遠隔操作する
通信プロトコルですが、入力したデータを暗号化して送信するという点で異なる。

① ホスト名を設定する

ホスト名をの設定は、グローバルコンフィグレーションモードでhostnameコマンドを実行します。
デフォルトホスト名であるRouterでは、この後で行うRSA暗号鍵を生成する事が出来ませんので
あらかじめ変更しておく必要があります。

Router(config)# hostname <ホスト名>

② ドメイン名を設定する

ドメイン名を設定するには、グローバルコンフィグレーションモードで、
次の ip domain-nameコマンドを実行します。
ドメイン名は、この後で行うRSA暗号鍵を生成する必要になります。

(config)# ip domain-name <ドメイン名>

③ RSA暗号鍵を生成する

RSA暗号鍵とは、公開鍵暗号化方式の1つであるRSAで使用される鍵の事。
SSHで使用するRSA暗号鍵を設定するには、グローバルコンフィグレーションモードで、
次の crypto key generate rsaコマンドを実行します。
ホスト名がデフォルトのRouterであったり、ドメイン名が設定されていない場合、
このコマンドは実行されません。

(config)# crypto key generate rsa

RSAとは、公開鍵暗号方式で使われる代表的な暗号アルゴリズム

④ ユーザーアカウントを作成する

ユーザーアカウントを作成するには、グローバルコンフィグレーションモードで、
次の usernameコマンドを実行します。SSH接続ログインする際に使用します。

(config)#username <ユーザー名> [privilege <特権レベル>] password <パスワード>

##### ⑤ ローカル認証を設定する 作成したユーザーアカウントの使用してログインの認証をするには、login localコマンド を実行します。SSH接続では、VTYパスワードを用いた方法ではログイン出来ない為、 ローカル認証を用いる必要があります。 
// コンソール接続の場合
(config)# line console 0
// VTY接続の場合
(config)# line vty <開始ライン番号> [<終了ライン番号>]

(config-line)# login local

⑥ SSHの接続許可を設定する

SSHの接続許可を設定するには、ラインコンフィグレーションモードで、
次のtransport inputコマンドを実行します。

(config-line)# transport input < ssh | telnet | all | none >
  • telnetを指定すると、TELNET接続のみログイン可能
  • sshを指定すると、SSH接続のみログイン可能
  • allを指定すると、両方の接続が可能
  • noneを指定すると、VTY接続そのものを禁止する

セキュリティ強度を高めるには、sshを指定してSSH接続のみ許可すると良い。

⑦ SSHのバージョンを設定する

SSHのバージョンを設定するには、グローバルコンフィグレーションモードで、
次の ip ssh versionコマンドを実行します。

(config)# ip ssh version < 1 | 2 >

SSHには、バージョン1とバージョン2という2つのバージョンがあります。
1を指定すると、バージョン1・2両方での接続を許可し、2を指定するとバージョン2での
接続のみ許可します。
デフォルトでは、両方での接続の許可をしている為、セキュリティ強度を高めるには、
バージョン2を指定すると良い。

⚫️ SSHの設定例
Router(config)#enable password pass                            // イネーブルパスワードの設定
Router(config)#hostname RouterA1                               // ホスト名 RouterA1を設定
RouterA1(config)#ip domain-name cisco.jp                       // ドメイン名 cisco.jpを設定
RouterA1(config)#crypto key generate rsa                       // RSA暗号鍵を生成
RouterA1(config)#username user01 privilege 15 password pass01  // パスワードの認証を有効化
RouterA1(config)#line vty 0 4                                  // ラインコンフィグレーションモードに移行
RouterA1(config-line)#login local                              // パスワードの認証を有効化
RouterA1(config-line)#exit                                     // 1つ前のモードに戻る
RouterA1(config)#transport input ssh                           // SSHの接続許可を設定
RouterA1(config)#ip ssh version 2                              // SSHのバージョンを設定

3-5.IPアドレスの設定

■ IPアドレスの設定手順

① 設定対象のインターフェイスのインターフェイスコンフィグレーションモードに移行する

IPを設定するには、設定しようとしているインターフェイスの
インターフェイスコンフィグレーションモードに移行します。
インターフェイスコンフィグレーションモードに移行するには、
グローバルコンフィグレーションモードで、次の interfaceコマンドを実行します。

(config)#interface <タイプ> <ポート番号>

<タイプ>には、機器のインターフェイスによって下記のいずれかを指定します。

タイプ        説明                        
Ethernet 通信速度が、10Mbpsのインターフェイス
fastEthernet 通信速度が、100Mbpsのインターフェイス
Gigabit Ethernet 通信速度が、1Gbpsのインターフェイス
Loopback 自分自身を表す仮想的なインターフェイス

<ポート番号>には、インターフェイスの番号を指定します。
番号は、0や1といった数字を指定するものや、「0/0」といった
「スロット番号/インターフェイス番号」という形で指定するものあります。

② IPアドレスを設定

IPアドレスを設定するには、インターフェイスコンフィグレーションモードで、
次の ip addressコマンドを実行します。

(config-if)# ip address <IPアドレス> <サブネットマスク>

<サブネットマスク>は、255.255.255.0のような10進数表記で指定します。
プレフィックス長表記ではエラーになってしまう為注意。
また、ネットワークアドレスやブロードキャストアドレスのような設定出来ないIPアドレスや
誤ったサブネットマスクを指定するとエラーになってしまいます。

③ インターフェイスを有効にする

インターフェイスを有効にするには、インターフェイスコンフィグレーションモードで、
次の no shutdownコマンドを実行します。

(config-if)# no shutdown

ルーターのインターフェイスは、デフォルトでは有効になっておらず通信を行う事が出来ません。
なので、IPアドレスを設定し、ケーブルに接続しても有効にはなりません。
その為、使用するインターフェースを有効化するために、該当インターフェースを指定した上で
no shutdownコマンドを使用します。

■ IPアドレスの設定例

(config)#interface fastEthernet 0/0
(config-if)#ip address 193.168.1.0 255.255.255.0
(config-if)#no shutdown
2
7
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
7

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?