はじめに
こんにちは。study budです。
今回はCisco製ルーターやスイッチにパスワードを設定する方法を初心者向けに解説します。
Cisco機器の初期設定では、コンソール接続やリモート接続時のパスワードが設定されていないため、適切に設定しないと不正アクセスのリスクが高まります。
また、特権モード(いわゆる“enableモード”)に入る際のパスワード設定や、パスワードを暗号化するservice password-encryptionコマンドについても触れます。
ぜひ一緒に確認していきましょう。
パスワード設定手順
Consoleライン
まずはコンソールポートにパスワードを設定する方法です。
コンソールポートとは、
Ciscoルーターやスイッチ本体に直接コンソールケーブルで接続して操作するためのポートになります。
初期設定によく使われます。実務ではほとんどコンソールポートを用いてコンフィグの投入を行います。
初期状態のCisco機器ではコンソール接続にパスワードが設定されていないため、誰でも物理接続すれば入れてしまいます。そこで、コンソールラインにパスワードを設定してやる必要があります。
設定手順は大まかに以下の通りです。
念のため、show versionコマンドの一部抜粋を載せておきます。
Switch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 26 WS-C2960-24TT-L 15.0(2)SE4 C2960-LANBASEK9-M
- STEP.1特権EXECモードに入る
enable機器にコンソール接続したら、まずenableコマンドを実行します。
プロンプトがRouter>から#に変わることを確認しますSwitch#en Switch#
- STEP.2グローバルコンフィグレーションモードに入る
configure terminalプロンプトがSwitch(config)#のように変化し、機器全体の設定を行うモードに入ります。
Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#
- STEP.3コンソールラインを指定する
line console 0line console 0と入力します。これでプロンプトが
Router(config-line)#
に変わり、コンソールライン固有の設定モードになりますSwitch(config)#line console 0 Switch(config-line)#
- STEP.4パスワードを設定する
password <パスワード>passwordと入力します。半角スペースを1つ開けてお好きなパスワードを設定してください。(例: password cisco)
Switch(config-line)#password cisco Switch(config-line)#
- STEP.5設定を有効にする
login
最後に必ずloginコマンドの入力を忘れないでください。このコマンドを入力しないとパスワードでのログイン設定が反映されません。
Switch(config-line)#login Switch(config-line)#
以上でコンソールラインへのパスワード設定は完了です。
今後、この機器にコンソール接続すると、設定したパスワードの入力が求められるようになります。
Switch con0 is now available
Press RETURN to get started.
User Access Verification
Password:
Switch>
正しいパスワードを入力すればユーザEXECモード(Switch>の状態)に入れますが、パスワードを間違えるとログインできません。
初期状態ではコンソールは無制限に操作できましたが、この設定により物理コンソールからのアクセスにも認証が必要となり、セキュリティが向上します。
設定したパスワードでログインできるようになったら、必ずwrite memoryコマンドは忘れずに行いましょう。
後述はしますが、現在パスワードは設定できましたが、暗号化はされる前ですので設定を確認すると平文でパスワードが確認できてしまいます。
line console 0の箇所を見ると設定したciscoが丸見えです。。。
Switch#show run
Building configuration...
Current configuration : 1103 bytes
!
version 15.0
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
~中略~
line con 0
password cisco
login
!
line vty 0 4
login
line vty 5 15
login
VTYライン(Telnet/SSH)
次に、VTYラインにパスワードを設定する方法です。
VTYラインとは
Virtual Teletypeの略称で、TelnetやSSHによるリモート接続用の仮想的な回線のことです。
VTYパスワード設定の手順
💡 補足: SSHを使用する場合はlogin local
を設定し、ユーザー名とパスワードも必要です。
telnetやSSHでログインする際にルーターやスイッチのSVIに管理用のIPアドレスの設定も必要になります。
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
Switch(config-if)#
- STEP.1特権EXECモードに入る
enable機器にコンソール接続したら、まずenableコマンドを実行します。
プロンプトがRouter>から#に変わることを確認しますSwitch#en Switch#
- STEP.2グローバルコンフィグレーションモードに入る
configure terminalプロンプトがSwitch(config)#のように変化し、機器全体の設定を行うモードに入ります。
Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#
- STEP.3ホスト名を設定する
今回はSW01と設定します。
プロンプトの前がSwitchからSW01に変われば設定完了です。Switch(config)#hostname SW01 SW01(config)#
- STEP.4ドメイン名を設定する
ip domain-name <ドメイン名>
お好きな設定で構いませんが、ホスト名とドメイン名を設定しないとこの後のRSAの鍵生成が行えません。
SW01(config)#ip domain-name cisco.com SW01(config)#
- STEP.5SSHログイン用のユーザー作成
username <ユーザー名> password <パスワード>SSHにログインするユーザーとパスワードを設定します。
Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#username cisco password network Switch(config)#
- STEP.6SSH接続用の鍵生成を行う
crypto key generate rsa
How many bits in the modulus [512]: 360~4096の間の数字を入力ここで下記の長さを指定します。今回は2048にて設定しました。
SW01(config)#crypto key generate rsa The name for the keys will be: SW01.cisco.com Choose the size of the key modulus in the range of 360 to 4096 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 2048 % Generating 2048 bit RSA keys, keys will be non-exportable...[OK] SW01(config)#
- STEP.7コンソールラインを指定する
line vty <vty回線数>今回はline console 0 15と入力します。
ここが重要ですが、catalystシリーズによってはvtyの指定できる数は異なりますので、必ずshow runコマンドにてvtyの項目は確認しましょう。これでプロンプトがConsole(config-line)#に変わり、コンソールライン固有の設定モードになります
Switch(config)#line vty 0 15 Switch(config-line)#
- STEP.8login localコマンドを入力する
login local
このコマンドを入力しないとSSHへログインした際にユーザー名とパスワードがログイン時に反映されません。
SW01(config-line)#login local SW01(config-line)#
enableコマンド
enableパスワードとenableシークレットの使い分け
特権モード用パスワード:
コマンド | 説明 |
---|---|
enable password <パスワード> | 平文で保存。非推奨 |
enable secret <パスワード> | 暗号化して保存。推奨 |
設定手順は以下の通りです。
Router(config)# enable secret <パスワード>
service password-encryption の役割と使う理由
Ciscoルーターやスイッチでは、設定ファイル内のパスワードがそのまま平文で表示されることがあります。
service password-encryption コマンドは、これらのパスワードを簡易的に暗号化し、第三者に内容を見られにくくするための設定です。
使い方は非常にシンプルで、グローバルコンフィグレーションモードで以下のコマンドを入力するだけで適用されます。
Router(config)# service password-encryption
🔐 注意点
このコマンドは「設定ファイルに表示されるパスワード」を隠すだけで、実際の通信内容を暗号化するものではありません。より高度なセキュリティ対策が必要な場合は、SSHなどの設定を検討する必要があります。
他にも覚えておきたい便利なコマンド
Cisco機器を使いこなすには、他にも覚えておくと便利なコマンドがあります。
- スイッチの管理をもっと効率化したい方はこちら
- コンソール接続時のログ表示が邪魔な時はこのコマンド!
効率的なネットワーク構築を目指すなら、こうした基本設定をしっかり押さえておくことが重要です。気になる方はぜひ関連記事もチェックしてみてください!
以上、Cisco機器におけるパスワード設定の基本について解説しました。ぜひ実践して、安全なネットワーク運用に役立ててください。
コメント