SSH サーバーには認証の基本設定が保持 さ れます。
フ ィ ール ド 属性
• 「SSH Server Status」 – ス イ ッ チで SSH サーバーを有効/無効にで き ます
(デ フ ォル ト: オ フ)。
• 「Version」 – セキュ ア シ ェ ルのバージ ョ ン番号。バージ ョ ン 2.0 が表示 されますが、 ス イ ッ チ では SSH バージ ョ ン 1.5 または 2.0 ク ラ イ ア ン ト によ る管理ア ク セスがサポー ト さ れます。
• 「SSH Authentication Timeout」 – 認証の試行中に SSH サーバーが ク ラ イ ア ン ト からの応 答を待機する時間を秒単位で指定 し ます (範囲: 1 ~ 120 秒、 デ フ ォ ル ト: 120 秒)。
• 「SSH Authentication Retries」 – ク ラ イ ア ン ト に許可する認証試行回数を指定 し ます。 こ の回数に達する と 認証は失敗 し 、 ク ラ イ ア ン ト は認証プ ロ セ ス をや り 直す必要があ り ます
(範囲: 1 ~ 5 回、 デ フ ォ ル ト: 3)。
• 「SSH Server-Key Size」 – SSH サーバー キーのサイ ズを指定 し ます
(範囲: 512 ~ 896 ビ ッ ト 、 デ フ ォ ル ト: 768)。
- サーバー キーはプ ラ イ ベー ト キーであるため、ス イ ッ チ外で共有 さ れる こ と はあ り ません。
- ホス ト キーは SSH ク ラ イ ア ン ト と 共有さ れ、サイズは 1024 ビ ッ ト に固定 さ れています。
ウ ェ ブ – 「Security」、 「SSH」、 「Settings」 の順に ク リ ッ ク し ます。SSH を有効に し 、 必要に 応 じ て認証パ ラ メ ー タ を調整 し て、 「Apply」 を ク リ ッ ク し ます。SSH サーバーを有効にする 前に、 「SSH Host-Key Settings」 ページ でホス ト キー ペア を生成 し てお く 必要があ り ます。
図3-28. SSH サーバー設定
CLI – こ の例では、SSH を有効に し 、 認証パ ラ メ ー タ を設定 し て、 現在の コ ン フ ィ ギ ュ レ ー シ ョ ン を表示 し ています。 管理者が SHH によ っ て接続を確立 し 、 その後 この接続を無効に し た こ と が示 さ れています。
ポー ト セキ ュ リ テ ィ の構成
ポー ト セキ ュ リ テ ィ は、 ス イ ッ チ ポー ト に対 し 、 そのポー ト を通 じ たネ ッ ト ワー ク ア ク セス を許可するデバイ スの MAC ア ド レ ス を 1 つ以上構成する こ と ので き る機能です。
ポー ト でポー ト セキ ュ リ テ ィ が有効に さ れている場合、ス イ ッ チは指定ポー ト での新規 MAC ア ド レ スの学習を、 構成 さ れてい る最大数に達 し た時点で停止 し ます。 送信元ア ド レ スがダ イ ナ ミ ッ ク ま たはス タ テ ィ ッ ク ア ド レ ス テ ーブルに保存 さ れてい る着信 ト ラ フ ィ ッ ク のみ が、 そのポー ト を通 じ たネ ッ ト ワー ク ア ク セ スが許可 さ れてい る も の と し て受理 さ れます。
未許可の MAC ア ド レ ス を持つデバ イ スがそのス イ ッ チ ポー ト を使用 し よ う と する と 、 侵入 と し て検知 さ れ、 ス イ ッ チはそのポー ト を無効に し て ト ラ ッ プ メ ッ セージ を送信する こ と に よ っ て自動的に対処する こ と がで き ます。
ポー ト セキ ュ リ テ ィ を使用するには、 ポー ト で許可する最大ア ド レ ス数を指定 し 、 そのポー
ト で受信する フ レームの <送信元 MAC ア ド レ ス、VLAN> のペア を ス イ ッ チに動的に学習 さ せます。 ス タ テ ィ ッ ク ア ド レ ス テーブル (3-87 ページ) を使用 し て、 手動でセキ ュ ア ア ド レ ス をポー ト に追加する こ と も で き ます。 ポー ト の MAC ア ド レ スが最大数に達する と 、 ポー ト では学習が停止 さ れます。 ア ド レ ス テーブルに登録 さ れてい る MAC ア ド レ スはそのま ま 維持 さ れ、 経年処理に よ っ て削除 さ れる こ と はあ り ません。 こ のポー ト を使用 し よ う と す る その他のデバイ スはス イ ッ チにア ク セスで き ません。
コ マ ン ド の使用
• セキ ュ ア ポー ト には次の制約があ り ます。
- ポー ト モニ タ リ ン グ を使用で き ません。
- マルチ VLAN ポー ト にする こ と がで き ません。
- ス タ テ ィ ッ ク またはダ イ ナ ミ ッ ク ト ラ ン クの メ ンバー と し て使用する こ と はで き ません。
- ネ ッ ト ワー ク相互接続デバイ スには接続 し ないで く だ さ い。
• セキ ュ ア ポー ト で許可 さ れるデ フ ォル ト の最大 MAC ア ド レ ス数は 0 です。 ア ク セ ス を許 可するポー ト に対 し 、 最大ア ド レ ス数を 1 ~ 1024 の範囲で構成する必要があ り ます。
• セキ ュ リ テ ィ 違反に よ っ てポー ト が無効に (シ ャ ッ ト ダウ ン) さ れた場合、 「Port」 、 「Port
Console(config)#ip ssh server 4-36
Console(config)#ip ssh timeout 100 4-37
Console(config)#ip ssh authentication-retries 5 4-37 Console(config)#ip ssh server-key size 512 4-38 Console(config)#end
Console#show ip ssh 4-41
SSH Enabled - version 2.0
Negotiation timeout: 120 secs; Authentication retries: 5 Server key size: 512 bits
Console#show ssh 4-41
Connection Version State Username Encryption
0 2.0 Session-Started admin ctos aes128-cbc-hmac-md5 stoc aes128-cbc-hmac-md5
Console#disconnect 0 4-18
Console#
コ マ ン ド 属性
• 「Port」 – ポー ト 番号
• 「Name」 – 記述テキス ト (4-108ページ)
• 「Action」 – ポー ト セキ ュ リ テ ィ 違反が検知 さ れた場合に実行する ア ク シ ョ ン を指定 し ます。
- 「None」 : ア ク シ ョ ン を実行 し ません (デ フ ォル ト )。
- 「Trap」 : SNMP ト ラ ッ プ メ ッ セージ を送信 し ます。
- 「Shutdown」 : ポー ト を無効に し ます。
- 「Trap and Shutdown」: SNMP ト ラ ッ プ メ ッ セージ を送信 し 、 ポー ト を無効に し ます。
• 「Security Status」 – ポー ト でポー ト セキ ュ リ テ ィ を有効ま たは無効に し ます
(デ フ ォル ト: オ フ)。
• 「Max MAC Count」 – ポー ト で学習する最大 MAC ア ド レ ス数
(範囲: 0 ~ 1024、0 は無効を示す)
• 「Trunk」 – ポー ト が ト ラ ン クの メ ンバーの場合、 ト ラ ン ク番号 (3-68 ページおよび 3-69 ページ)
ウ ェ ブ – 「Security」、 「Port Security」 の順に ク リ ッ ク し ます。 「Status」 列でセキ ュ リ テ ィ を 有効にするポー ト のチ ェ ッ ク ボ ッ ク ス を オ ン に し 、ポー ト で許可する最大 MAC ア ド レ ス数を 設定 し て、 「Apply」 を ク リ ッ ク し ます。
図3-29. ポー ト セキ ュ リ テ ィ の構成
CLI – 次の例では、 タ ーゲ ッ ト ポー ト を選択 し 、 ポー ト セキ ュ リ テ ィ ア ク シ ョ ン と し て ト ラ ッ プの送信 と ポー ト の無効を設定 し 、 ポー ト で許可する最大 MAC ア ド レ ス数を設定 し 、 そ のポー ト のポー ト セキ ュ リ テ ィ を有効に し ています。
Console(config)#interface ethernet 1/5
Console(config-if)#port security action trap-and-shutdown 4-78 Console(config-if)#port security max-mac-count 20
Console(config-if)#port security Console(config-if)#