Ciscoルーター・スイッチ初心者必見!コンソール・VTYパスワード設定完全ガイド

security
この記事は約10分で読めます。

はじめに

こんにちは。study budです。

今回はCisco製ルーターやスイッチにパスワードを設定する方法を初心者向けに解説します。

Cisco機器の初期設定では、コンソール接続やリモート接続時のパスワードが設定されていないため、適切に設定しないと不正アクセスのリスクが高まります。

また、特権モード(いわゆる“enableモード”)に入る際のパスワード設定や、パスワードを暗号化するservice password-encryptionコマンドについても触れます。

ぜひ一緒に確認していきましょう。

パスワード設定手順

Consoleライン

まずはコンソールポートにパスワードを設定する方法です。

コンソールポートとは、

Ciscoルーターやスイッチ本体に直接コンソールケーブルで接続して操作するためのポートになります。

初期設定によく使われます。実務ではほとんどコンソールポートを用いてコンフィグの投入を行います。

初期状態のCisco機器ではコンソール接続にパスワードが設定されていないため、誰でも物理接続すれば入れてしまいます。そこで、コンソールラインにパスワードを設定してやる必要があります。

設定手順は大まかに以下の通りです。

今回はpacket tracer上のcatalyst「WS-C2960-24TT-L」を例に解説しています。

念のため、show versionコマンドの一部抜粋を載せておきます。

Switch Ports Model              SW Version            SW Image
------ ----- -----              ----------            ----------
*    1 26    WS-C2960-24TT-L    15.0(2)SE4            C2960-LANBASEK9-M
パスワード設定手順
  • STEP.1
    特権EXECモードに入る
    enable

    機器にコンソール接続したら、まずenableコマンドを実行します。
    プロンプトがRouter>から#に変わることを確認します

    Switch#en
    Switch#

  • STEP.2
    グローバルコンフィグレーションモードに入る
    configure terminal

    プロンプトがSwitch(config)#のように変化し、機器全体の設定を行うモードに入ります。

    Switch#configure terminal 
    Enter configuration commands, one per line.  End with CNTL/Z.
    Switch(config)#

  • STEP.3
    コンソールラインを指定する
    line console 0

    line console 0と入力します。これでプロンプトがRouter(config-line)#に変わり、コンソールライン固有の設定モードになります

    Switch(config)#line console 0
    Switch(config-line)#

  • STEP.4
    パスワードを設定する
    password <パスワード>

    passwordと入力します。半角スペースを1つ開けてお好きなパスワードを設定してください。(例: password cisco)

    Switch(config-line)#password cisco
    Switch(config-line)#

  • STEP.5
    設定を有効にする

    login

    最後に必ずloginコマンドの入力を忘れないでください。このコマンドを入力しないとパスワードでのログイン設定が反映されません。

    Switch(config-line)#login
    Switch(config-line)#

以上でコンソールラインへのパスワード設定は完了です。

今後、この機器にコンソール接続すると、設定したパスワードの入力が求められるようになります。

Switch con0 is now available


Press RETURN to get started.


User Access Verification

Password: 

Switch>

正しいパスワードを入力すればユーザEXECモード(Switch>の状態)に入れますが、パスワードを間違えるとログインできません。

初期状態ではコンソールは無制限に操作できましたが、この設定により物理コンソールからのアクセスにも認証が必要となり、セキュリティが向上します。

補足

設定したパスワードでログインできるようになったら、必ずwrite memoryコマンドは忘れずに行いましょう。

後述はしますが、現在パスワードは設定できましたが、暗号化はされる前ですので設定を確認すると平文でパスワードが確認できてしまいます。

line console 0の箇所を見ると設定したciscoが丸見えです。。。

Switch#show run
Building configuration...

Current configuration : 1103 bytes
!
version 15.0
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!

~中略~

line con 0
 password cisco
 login
!
line vty 0 4
 login
line vty 5 15
 login

VTYライン(Telnet/SSH)

次に、VTYラインにパスワードを設定する方法です。

VTYラインとは
Virtual Teletypeの略称で、TelnetやSSHによるリモート接続用の仮想的な回線のことです。

VTYパスワード設定の手順

💡 補足: SSHを使用する場合はlogin localを設定し、ユーザー名とパスワードも必要です。

telnetやSSHでログインする際にルーターやスイッチのSVIに管理用のIPアドレスの設定も必要になります。

SVIのIPアドレス設定
Switch#configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
Switch(config-if)#
パスワード設定手順
  • STEP.1
    特権EXECモードに入る
    enable

    機器にコンソール接続したら、まずenableコマンドを実行します。
    プロンプトがRouter>から#に変わることを確認します

    Switch#en
    Switch#

  • STEP.2
    グローバルコンフィグレーションモードに入る
    configure terminal

    プロンプトがSwitch(config)#のように変化し、機器全体の設定を行うモードに入ります。

    Switch#configure terminal 
    Enter configuration commands, one per line.  End with CNTL/Z.
    Switch(config)#

  • STEP.3
    ホスト名を設定する

    今回はSW01と設定します。
    プロンプトの前がSwitchからSW01に変われば設定完了です。

    Switch(config)#hostname SW01
    SW01(config)#

  • STEP.4
    ドメイン名を設定する

    ip domain-name <ドメイン名>

    お好きな設定で構いませんが、ホスト名とドメイン名を設定しないとこの後のRSAの鍵生成が行えません。

    SW01(config)#ip domain-name cisco.com
    SW01(config)#

  • STEP.
    SSHログイン用のユーザー作成
    username <ユーザー名> password <パスワード>

    SSHにログインするユーザーとパスワードを設定します。

    Switch#configure terminal 
    Enter configuration commands, one per line.  End with CNTL/Z.
    Switch(config)#username cisco password network
    Switch(config)#

  • STEP.6
    SSH接続用の鍵生成を行う
    crypto key generate rsa
    How many bits in the modulus [512]: 360~4096の間の数字を入力

    ここで下記の長さを指定します。今回は2048にて設定しました。

    SW01(config)#crypto key generate rsa
    
    The name for the keys will be: SW01.cisco.com
    Choose the size of the key modulus in the range of 360 to 4096 for your
    General Purpose Keys. Choosing a key modulus greater than 512 may take
    a few minutes.
    
    How many bits in the modulus [512]: 2048
    % Generating 2048 bit RSA keys, keys will be non-exportable...[OK]
    
    SW01(config)#

  • STEP.7
    コンソールラインを指定する
    line vty <vty回線数>

    今回はline console 0 15と入力します。
    ここが重要ですが、catalystシリーズによってはvtyの指定できる数は異なりますので、必ずshow runコマンドにてvtyの項目は確認しましょう。

    これでプロンプトがConsole(config-line)#に変わり、コンソールライン固有の設定モードになります

    Switch(config)#line vty 0 15
    Switch(config-line)#
    
  • STEP.8
    login localコマンドを入力する

    login local

    このコマンドを入力しないとSSHへログインした際にユーザー名とパスワードがログイン時に反映されません。

    SW01(config-line)#login local 
    SW01(config-line)#

enableコマンド

enableパスワードとenableシークレットの使い分け

特権モード用パスワード:

コマンド説明
enable password <パスワード>平文で保存。非推奨
enable secret <パスワード>暗号化して保存。推奨

設定手順は以下の通りです。

Router(config)# enable secret <パスワード>

service password-encryption の役割と使う理由

Ciscoルーターやスイッチでは、設定ファイル内のパスワードがそのまま平文で表示されることがあります。
service password-encryption コマンドは、これらのパスワードを簡易的に暗号化し、第三者に内容を見られにくくするための設定です。

使い方は非常にシンプルで、グローバルコンフィグレーションモードで以下のコマンドを入力するだけで適用されます。

Router(config)# service password-encryption

🔐 注意点
このコマンドは「設定ファイルに表示されるパスワード」を隠すだけで、実際の通信内容を暗号化するものではありません。より高度なセキュリティ対策が必要な場合は、SSHなどの設定を検討する必要があります。

他にも覚えておきたい便利なコマンド

Cisco機器を使いこなすには、他にも覚えておくと便利なコマンドがあります。

  • スイッチの管理をもっと効率化したい方はこちら
  • コンソール接続時のログ表示が邪魔な時はこのコマンド!

効率的なネットワーク構築を目指すなら、こうした基本設定をしっかり押さえておくことが重要です。気になる方はぜひ関連記事もチェックしてみてください!

以上、Cisco機器におけるパスワード設定の基本について解説しました。ぜひ実践して、安全なネットワーク運用に役立ててください。

コメント

タイトルとURLをコピーしました