コンフィグレーションガイド Vol.1
本装置は,装置の運用管理のために,telnetおよびftpのサーバ機能をサポートしています。これらのサーバ機能は,コンフィグレーションによって使用できる状態になっていることがあります。
ここでは,telnetやftpのサーバ機能を使用しないでSSHサーバ機能だけを使用して,セキュアな運用管理をする設定をします。
- [設定のポイント]
- SSHサーバ機能は,telnetやftpと同等の運用管理機能をサポートしているため,SSHサーバ機能での運用管理に移行して,不要なサーバ機能を停止することをお勧めします。また,SSHサーバ機能はセキュリティの高いSSHv2だけを使用します。さらに,アクセスリストを適用して,接続できる運用端末を制限します。
- [コマンドによる設定]
- (config)# ip ssh version 2
SSHサーバでプロトコルバージョン2だけ接続を許可します。
- (config)# ip access-list standard REMOTE
(config-std-nacl)# permit 192.168.1.0 0.0.0.255
(config-std-nacl)# exit
ネットワーク(192.168.1.0/24)にあるリモート運用端末から本装置へのログインを許可するアクセスリストを作成します。
- (config)# ipv6 access-list REMOTE6
(config-ipv6-acl)# deny ipv6 any any
(config-ipv6-acl)# exit
IPv6アドレスのリモート運用端末からのログインを拒否するアクセスリストを作成します。
- (config)# line vty 0 2
(config-line)# transport input ssh
本装置にログインできるユーザ数を3に設定します。また,リモート運用端末からSSHプロトコルによるアクセスだけを許可します。
- (config-line)# ip access-group REMOTE in
ネットワーク(192.168.1.0/24)にあるリモート運用端末からだけアクセスを許可します。
- (config-line)# ipv6 access-class REMOTE6 in
IPv6アドレスのリモート運用端末からのアクセスを拒否します。
All Rights Reserved, Copyright(C), 2017, 2019, ALAXALA Networks, Corp.