記事の概要:
一部の環境では、安全な管理アクセスが必要になる場合があります。この文書では、HTTPSおよびSSHを使用して管理アクセスを制限するために必要な手順を説明します。
注意:このプロセスでは、コマンド ライン インターフェイス(CLI)を使用する必要があります。このプロセスは、シリアル セッションまたはtelnetセッションで使用できます。ただし、リモート管理へのアクセスが意図せずブロックされないように、次の手順に従う必要があります。
この手順は、次のことを前提としています。
- スイッチは、すでにIPアドレスが設定され、ネットワーク内で到達可能である。
- 特権レベル15で作成されたアカウントがある。これを確認するには、次のコマンドを使用します。
console# show users accounts
注:手順を完了すると、証明書の信頼性に関するエラーを受信します。これは、証明書とキーが自己生成されているからです。これはエラーではありません。
注意:telnetアクセスまたはHTTPアクセスのいずれかを無効にする前に、SSHアクセスまたはHTTPSアクセスを確認してください。
注:SSHまたはHTTPSが有効になっていて、telnetとHTTPを無効にする必要がある場合は、手順3に進んでtelnetを無効にし、手順5に進んでHTTPを無効にします。
Process:
- CLIを使用したスイッチへの接続
- SSHを有効にするには、次のコマンドを入力します。
console>enable
console#config
console(config)#crypto key generate rsa
console(config)#crypto key generate dsa
console(config)# ip ssh server
- telnetを無効にするには、次のコマンドを入力します。
console(config)# ip telnet server disable
- HTTPSを有効にするには、次のコマンドを入力します。
console(config)# crypto certificate 1 generate
console(config-crypto-cert)#key-generate <512-2048>
console(config-crypto-cert)#exit
console(config)#ip https certificate 1
console(config)# ip https server
注:このシステムでは、2つの証明書を生成および保存できます。2番目のキーを生成するには、番号1を2で置き換えます。2 番目のキーを有効にするには、 console(config)#ip https certificate 2
間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。
- HTTPを無効にするには、次のコマンドを入力します。
console(config)# no ip http server
- SSHまたはHTTPSを使用して接続を確認した後、次のように入力して設定を保存します。
console# copy running-config startup-config