セットアップ モードには、新規ネットワーキング デバイスや、NVRAM から startup-config ファイルを削除してしまったデバイスの初期設定ファイル作成を支援するインタラクティブ メニューが用意されています。インタラクティブ メニューに従って、初期設定を最初から最後まで行うことができます。インターフェイス メニューは、シスコ製品や Command Line Interface(CLI; コマンドライン インターフェイス)に慣れていない場合や、コンフィギュレーションの変更が CLI の提供するレベルの詳細設定を必要としていない場合に便利です。また、セットアップ モードを使用して、既存のコンフィギュレーションを変更することもできます。
ということで、初期設定をしてみてみます。
■ Ciscoルータ起動
電源ケーブルを接続してスイッチON
■ コンソール・ケーブル接続と起動表示
コンソール・ケーブルをPCとルーターへ接続しコンソール表示します。
■ 初期化
Ciscoルータで設定を初期化するためには、先ず erase startup-config と入力しNVRAM上の
コンフィグを削除します。次に、reloadコマンドで、Ciscoルータを再起動することにより初期化できます。
Router>enable
Router#erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete
■ 再起動
Router#reload
Proceed with reload? [confirm] <-- [Enterを入力]
*May 31 00:40:24.107: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command.
System Bootstrap, Version 15.2(3r)XC, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2012 by cisco Systems, Inc.
Total memory size = 512 MB
C892FSP-K9 platform with 524288 Kbytes of main memory
Main memory is configured to 32 bit mode
Readonly ROMMON initialized
program load complete, entry point: 0x4000000, size: 0x18c40
program load complete, entry point: 0x4000000, size: 0x18c40
IOS Image Load Test
___________________
Digitally Signed Production Software
program load complete, entry point: 0x4000000, size: 0x318add8
Self decompressing the image : ################################################################################################################################################################################################################################################################################################################################################################################################################################################ [OK]
*** No sreloc section
Smart Init is enabled
smart init is sizing iomem
TYPE MEMORY_REQ
Onboard devices &
buffer pools 0x022ECEC0
-----------------------------------------------
TOTAL: 0x022ECEC0
Rounded IOMEM up to: 34Mb.
Using 6 percent iomem. [34Mb/512Mb]
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
Cisco IOS Software, C800 Software (C800-UNIVERSALK9-M), Version 15.2(4)M5, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2013 by Cisco Systems, Inc.
Compiled Fri 13-Sep-13 23:06 by prod_rel_team
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
Installed image archive
Cisco C892FSP-K9 (revision 1.0) with 488524K/35763K bytes of memory.
Processor board ID FGL23181
10 Gigabit Ethernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 32 bits wide
255K bytes of non-volatile configuration memory.
250880K bytes of ATA System CompactFlash (Read/Write)
■ セットアップ モードを使用したシスコ ネット ワーキング デバイスの設定
セットアップ モードには、新規ネットワーキング デバイスや、NVRAM から startup-config ファイルを削除してしまったデバイスの初期設定ファイル作成を支援するインタラクティブ メニューが用意されています。インタラクティブ メニューに従って、初期設定を最初から最後まで行うことができます。インターフェイス メニューは、シスコ製品や Command Line Interface(CLI; コマンドライン インターフェイス)に慣れていない場合や、コンフィギュレーションの変更が CLI の提供するレベルの詳細設定を必要としていない場合に便利です。また、セットアップ モードを使用して、既存のコンフィギュレーションを変更することもできます。
● システム設定ダイアログを使用した初期設定
1) デバイス電源ON
デバイスの電源を入れます。
2) System Configuration Dialog
プロンプトで yes と入力し、初期設定ダイアログに入ります。
開始シーケンスの最後に、次のメッセージが表示された場合、システム設定ダイアログは自動的に呼び出されます。
基本管理画面が表示されます。
--- System Configuration Dialog ---
Would you like to enter the initial configuration dialog? [yes/no]: yes
3) Continue with configuration dialog?
この設定ダイアログで続行するかどうかを確認するプロンプトが表示されたら yes と入力して、次に進みます(この手順は表示されないこともあります)。
Continue with configuration dialog? [yes/no]: yes
4) configuration dialog画面
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
Basic management setup configures only enough connectivity
for management of the system, extended setup will ask you
to configure each interface on the system
プロンプトで yes と入力して、基本管理の設定に入ります。
Would you like to enter basic management setup? [yes/no]: yes
Configuring global parameters:
5) host name 設定
デバイスのホスト名を入力します。
Enter host name [Router]: C892
6) enable secret設定
イネーブル シークレット パスワードを入力します。
このパスワードは暗号化され、コンフィギュレーションを表示しても、見ることはできません。
The enable secret is a password used to protect access to
privileged EXEC and configuration modes. This password, after
entered, becomes encrypted in the configuration.
Enter enable secret: イネーブル・シークレット・パスワード
7) enable password設定
イネーブル シークレット パスワードとは異なるイネーブル パスワードを入力します。
イネーブル パスワードは暗号化されず、コンフィギュレーションを表示したときに見ることができます。
The enable password is used when you do not specify an
enable secret password, with some older software versions, and
some boot images.
Enter enable password:イネーブル・パスワード
8) virtual terminal password設定
仮想端末のパスワードを入力します。
このパスワードは、コンソール ポートを通じてデバイスにアクセスする場合だけ使用します。
The virtual terminal password is used to protect
access to the router over a network interface.
Enter virtual terminal password:
% No defaulting allowed
Enter virtual terminal password: ターミナル・パスワード
9) SNMP Network Management設定
使用しているネットワークにあわせて、プロンプトに答えます。
この例では、 Enter キーを押して、現在の設定 [no] をそのまま使用します。
Configure SNMP Network Management? [yes]: no
使用可能なインターフェイスの概要が表示されます。表示されるインターフェイス番号はプラットフォームの種類と、インストールされているインターフェイス モジュールおよびカードによって異なります。
Current interface summary
Any interface listed with OK? value "NO" does not have a valid configuration
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0 unassigned YES unset down down
GigabitEthernet1 unassigned YES unset down down
GigabitEthernet2 unassigned YES unset down down
GigabitEthernet3 unassigned YES unset down down
GigabitEthernet4 unassigned YES unset down down
GigabitEthernet5 unassigned YES unset down down
GigabitEthernet6 unassigned YES unset down down
GigabitEthernet7 unassigned YES unset down down
GigabitEthernet8 unassigned NO unset down down
GigabitEthernet9 unassigned NO unset down down
Vlan1 unassigned YES unset down down
10) 管理ネットワーク・インターフェイス選択
ルータを管理ネットワークに接続するためのインターフェイスを選択します。
Enter interface name used to connect to the
management network from the above interface summary: Vlan1
11) 管理ネットワーク・インターフェイス設定
使用しているネットワークにあわせて、プロンプトに答えます。
この例では、IP を設定しています。IP アドレスを入力し、現在のサブネット マスクをそのまま使用します。画面には、作成されたコマンド スクリプトが表示されています。
Configuring interface Vlan1:
Configure IP on this interface? [no]: yes
IP address for this interface: Vlan1
% Bad Internet address.
% Enter an Internet address of the form 'X.X.X.X', where each
% letter corresponds to a decimal number between 0 and 255.
IP address for this interface: 192.168.10.252
Subnet mask for this interface [255.255.255.0] :
Class C network is 192.168.10.0, 24 subnet bits; mask is /24
The following configuration command script was created:
hostname C892
enable secret 5 mGqQ$PuaMQ9kSI5trEB
enable password password
line vty 0 4
no snmp-server
!
!
interface GigabitEthernet0
shutdown
no ip address
!
interface GigabitEthernet1
shutdown
no ip address
!
interface GigabitEthernet2
shutdown
no ip address
!
interface GigabitEthernet3
shutdown
no ip address
!
interface GigabitEthernet4
shutdown
no ip address
!
interface GigabitEthernet5
shutdown
no ip address
!
interface GigabitEthernet6
shutdown
no ip address
!
interface GigabitEthernet7
shutdown
no ip address
!
interface GigabitEthernet8
shutdown
no ip address
!
interface GigabitEthernet9
shutdown
no ip address
!
interface Vlan1
no shutdown
ip address 192.168.10.252 255.255.255.0
!
end
12) configuration保存
2 を入力して、NVRAM にコンフィギュレーション ファイルを保存し、終了します。
[0] Go to the IOS command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration to nvram and exit.
Enter your selection [2]: 2
Warning: The CLI will be deprecated soon
'enable secret 5 mGqQ$PuaMQ9kSI5trEB
Please move to 'enable secret <password>' CLI
Building configuration...
Use the enabled mode 'configure' command to modify this configuration.
Press RETURN to get started!
*Jan 2 00:00:01.495: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL: Module name = c800 Next reboot level = advipservices and License = advipservices
*May 31 00:41:42.471: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0 State changed to: Initialized
*May 31 00:41:43.987: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0 State changed to: Enabled
*May 31 00:41:58.299: %LINK-3-UPDOWN: Interface GigabitEthernet8, changed state to up
*May 31 00:41:58.299: %LINK-3-UPDOWN: Interface GigabitEthernet9, changed state to up
*May 31 00:41:59.223: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down
*May 31 00:41:59.299: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet8, changed state to down
*May 31 00:41:59.299: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet9, changed state to down
*May 31 00:42:01.231: %LINK-3-UPDOWN: Interface GigabitEthernet9, changed state to down
*May 31 00:42:01.231: %LINK-3-UPDOWN: Interface GigabitEthernet8, changed state to down
*May 31 00:53:53.483: %SYS-5-CONFIG_I: Configured from console by console
*May 31 00:53:55.327: %LINK-5-CHANGED: Interface GigabitEthernet0, changed state to administratively down
*May 31 00:53:55.327: %LINK-5-CHANGED: Interface GigabitEthernet1, changed state to administratively down
*May 31 00:53:55.327: %LINK-5-CHANGED: Interface GigabitEthernet2, changed state to administratively down
*May 31 00:53:55.327: %LINK-5-CHANGED: Interface GigabitEthernet3, changed state to administratively down
*May 31 00:53:55.327: %LINK-5-CHANGED: Interface GigabitEthernet4, changed state to administratively down
*May 31 00:53:55.327: %LINK-5-CHANGED: Interface GigabitEthernet5, changed state to administratively down
*May 31 00:53:55.427: %LINK-5-CHANGED: Interface GigabitEthernet6, changed state to administratively down
*May 31 00:53:55.427: %LINK-5-CHANGED: Interface GigabitEthernet7, changed state to administratively down
*May 31 00:53:55.427: %LINK-5-CHANGED: Interface GigabitEthernet8, changed state to administratively down
*May 31 00:53:55.427: %LINK-5-CHANGED: Interface GigabitEthernet9, changed state to administratively down
*May 31 00:53:56.499: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0, changed state to down
*May 31 00:53:56.499: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1, changed state to down
*May 31 00:53:56.499: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet2, changed state to down
*May 31 00:53:56.499: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet3, changed state to down
*May 31 00:53:56.499: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet4, changed state to down
*May 31 00:53:56.499: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet5, changed state to down
*May 31 00:53:56.499: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet6, changed state to down
*May 31 00:53:56.499: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet7, changed state to down
*May 31 00:54:04.383: %SYS-5-RESTART: System restarted --
Cisco IOS Software, C800 Software (C800-UNIVERSALK9-M), Version 15.2(4)M5, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2013 by Cisco Systems, Inc.
Compiled Fri 13-Sep-13 23:06 by prod_rel_team
*May 31 00:54:04.595: %SNMP-5-COLDSTART: SNMP agent on host C892 is undergoing a cold start
*May 31 00:54:04.603: %SYS-6-BOOTTIME: Time taken to reboot after reload = 820 seconds
*May 31 00:54:04.635: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF
*May 31 00:54:04.635: %CRYPTO-6-GDOI_ON_OFF: GDOI is OFF
C892>
■ 設定ファイル確認
C892#show running-config
Building configuration...
Current configuration : 1315 bytes
!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname C892
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 mGqQ$PuaMQ9kSI5trEB
enable password password
!
no aaa new-model
!
!
ip cef
!
!
!
!
!
!
!
!
no ipv6 cef
!
!
multilink bundle-name authenticated
license udi pid C892FSP-K9 sn FGL23181
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface GigabitEthernet0
no ip address
shutdown
!
interface GigabitEthernet1
no ip address
shutdown
!
interface GigabitEthernet2
no ip address
shutdown
!
interface GigabitEthernet3
no ip address
shutdown
!
interface GigabitEthernet4
no ip address
shutdown
!
interface GigabitEthernet5
no ip address
shutdown
!
interface GigabitEthernet6
no ip address
shutdown
!
interface GigabitEthernet7
no ip address
shutdown
!
interface GigabitEthernet8
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet9
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.10.252 255.255.255.0
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password イネーブル・パスワード
login
transport input all
!
scheduler allocate 20000 1000
!
end
■ SSH設定
● 非 SSH 接続の防止
transport input ssh
● ドメイン名の設定
SSH暗号鍵の生成のためにドメイン名を設定します。ホスト名とドメイン名ともにローカルの適当な内容で問題ありません。
ip domain name shirok.com
● RSA暗号鍵の設定
暗号鍵のbit長は、1024を設定します。
crypto key generate rsa
The name for the keys will be: C892-01.shirok.com
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)
*Jan 1 12:23:40.140: %SSH-5-ENABLED: SSH 1.99 has been enabled
● VTYポート設定
SSH接続でVTYポートにログインする際に、line vtyに設定されたパスワードではなく、上記で設定した
ユーザ名とパスワードを認証の際に使用するようにするために、line vtyにローカル認証の設定をします。
VTYポートを5つ作成し同時に5セッションを可能にします。
line vty 0 4
login local
transport input ssh
● ユーザ認証の設定
ユーザ名とパスワードを入力することでCiscoルータへSSH接続してログインできるようになります。
username shirok passwor
● SSH接続タイムアウト設定
ip ssh time-out 60
ip ssh authentication-retries 2
● SSH バージョン2 の設定
SSHのバージョンには1と2があります。バージョン2の方がよりセキュアなのでここでは、SSH version2を使用するようにします。
ip ssh version 2
● サブネットへの SSH アクセスを制限
SSH 接続を特定のサブネットワークに制限し、サブネットワーク外 IP からのその他すべての SSH 接続試行がドロップされるようにする必要があります。
この設定は、次の手順を使用して実行できます。
1) 特定サブネットワークからのトラフィックを許可するアクセス リスト定義
この例では、192.168.0.0 255.255.0.0 サブネットへの SSH アクセスのみが許可され、その他のアクセスは拒否されます。
access-list 22 permit 192.168.0.0 0.0.255.255
2) access-class を備える VTY ライン インターフェイスへのアクセスを制限
line vty 0 4
transport input ssh
access-class 22 in
exit
● SSH情報確認
show sshコマンドで、現在使用されているSSHバージョン、現在接続しているユーザ名などの情報が分かります。
show ssh
%No SSHv2 server connections running.
%No SSHv1 server connections running.
■ DHCPサーバー設定
● 設定
1) DHCPサービスの有効化
service dhcp
2) 除外するIPアドレスの設定
ip dhcp excluded-address 192.168.10.200 192.168.10.254
3) DHCPプールの設定
ip dhcp pool dhcp-pool DHCPプールを識別するための名前
network 192.168.0.0 255.255.255.0 DHCPクライアントに割り当てるネットワークアドレス
address range 192.168.0.10 192.168.0.20 アドレス範囲を設定
default-router 192.168.0.1 DHCPクライアントに通知するデフォルトゲートウェイ
dns-server 192.168.0.1 1.1.1.1 DHCPクライアントに通知するDNSサーバのIPアドレス(最大8つ)
domain-name infraexpert.com DHCPクライアントに通知するドメイン名
lease 0 2 IPアドレスの払い出し期間を12時間
lease infinite IPアドレスの払い出し期間を無制限
end
● 設定確認
C892#show ip dhcp pool
Pool dhcp-pool :
Utilization mark (high/low) : 100 / 0
Subnet size (first/next) : 0 / 0
Total addresses : 254
Leased addresses : 0
Pending event : none
1 subnet is currently in the pool :
Current index IP address range Leased addresses
192.168.10.1 192.168.10.1 - 192.168.10.254 0
C892#show ip dhcp conflict
IP address Detection method Detection time VRF
C892#show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.1 0100.e04c.d294.25 Jun 01 2024 02:23 AM Automatic
■ 参考
・ Cisco IOS Configuration Fundamentals コンフィギュレーション ガイド
・ Cisco IOS - How to CLI 3
・ルータおよびスイッチでの SSH の設定
・ Cisco Router - SSH
・ Cisco IOS DHCP サーバ設定