CiscoルータとCatalystスイッチの初期設定

シンプルなネットワーク構成で、CiscoルータおよびCatalystスイッチの初期設定を考えていきます。今回、初期設定で設定する項目は、以下の通りです。

  • ホスト名
  • パスワード
  • バナーメッセージ
  • IPアドレス

設定したら、その設定が正しいかどうかをしっかりと確認するということも意識しておきましょう。

ネットワーク構成

図 初期設定 ネットワーク構成
図 初期設定 ネットワーク構成

主なコマンド

以下の表に、初期設定のための主な設定コマンドと確認コマンドの概要をまとめています。

表ではコマンドで指定するパラメータの詳細は省略しています。
設定コマンド 概要
(config)#hostname ホスト名を設定します。
(conig)#enable secret
(config)#enable password
特権EXECモードに移行する際のパスワードを設定します。
(config)#service password-encryption パスワードの表示を暗号化します。
(config)#banner motd ログイン時に表示するメッセージを設定します。
(config)#username password ユーザ名とパスワードを設定します。
(config-line)#login [local]
(config-line)#password
コンソール/AUX/VTYのパスワードを設定します。
(config-line)#exec-timeout コンソールやVTYアクセスのタイムアウト時間を指定します。
(config)#interface loopback ループバックインタフェースを作成します。
(config-if)#ip address インタフェースにIPアドレスを設定します。
(config-if)#no shutdown インタフェースのshutdownを解除して有効化します。
確認コマンド 概要
#show running-config running-configを表示します。
#show startup-config startup-configを表示します。
#show interface インタフェースのレイヤ1/レイヤ2の状態の詳細を中心に表示します。
#show ip interface [brief] インタフェースのレイヤ3の状態の詳細を中心に表示します。
#show protocols インタフェースの状態とIPアドレスを表示します。
#ping 指定したIPアドレスまたはホスト名に対する接続性を確認します。
#traceroute 指定したIPアドレスまたはホスト名への通信経路を確認します。
表 初期設定の主なコマンド

設定

ホスト名の設定

ルータおよびスイッチにホスト名を設定します。

機器 ホスト名
ルータ R1
レイヤ2スイッチ SW1

ホスト名を設定するために、グローバルコンフィグレーションモードで次のコマンドを入力します。

ホスト名の設定

(config)#hostname <hostname>

<hostname> : ホスト名

<hostname>で指定するホスト名のルールは以下のとおりです。

  • 63文字以下
  • 使える文字種別
    • アルファベット
    • 数字
    • -(ハイフン)
  • 先頭の文字はアルファベット

以下は、ルータでの設定の様子です。

Router>enable
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hostname R1
R1(config)#

コマンドを入力すると、すぐにホスト名が「R1」となっています。また、running-configに「hostname R1」が反映されています。

特権EXECモードのパスワード設定

enableコマンドで特権EXECモードへ移行する際のパスワードを設定します。パスワードの設定には、次の2つのコマンドがあります。

特権EXECモードのパスワード設定

(config)#enable password <password>
(config)#enable secret <password>

<password> : パスワード

enable secretコマンドで設定したパスワードは、show running-configで設定を表示した時に暗号化されます。一方、enable passwordコマンドで設定したパスワードは、show running-configで設定を表示した時に暗号化されません。

両方とも設定した場合は、enable secretコマンドで設定したパスワードが適用されます。パスワードが管理者以外に漏えいしてしまう可能性を小さくするために、enable secretコマンドでパスワード「cisco」を設定します。

R1での設定は次のようになります。

R1(config)#enable secret cisco
R1(config)#end
R1#disable
R1>enable
Password:
R1#show running-config
Building configuration...

~省略~
!
hostname R1
!
~省略~
!
enable secret 5 $1$2MAq$beW3VsjpYu2oo3GvzG7ry/
!
~省略~
!

enable secretコマンドで「cisco」のパスワードを設定したあと、ユーザEXECモードに戻っています。そして、enableコマンドで特権EXECモードへ移行するときにパスワードが求められるようになっています。show running-configで設定を表示すると、「cisco」というパスワードの文字列は暗号化されて表示されています。

コンソール/AUX/VTYパスワードの設定

コンソール/AUX/VTYなどでアクセスするときのパスワードを設定します。ラインコンフィグレーションモードで次のように設定します。

ラインパスワードの設定

(config)#line {console 0|aux 0|vty 0 4}
(config-line)#login [local]
(config-line)#password <password>

<password> : パスワード

login localと設定すると、ローカルのユーザ名/パスワードでの認証を有効化します。ローカルのユーザ名/パスワードの設定コマンドは以下のとおりです。

ユーザ名/パスワードの設定

(config)#username <username> password <password>

<username> : ユーザ名
<password> : パスワード

R1、SW1で設定するコンソール/AUX/VTYパスワードを表にまとめています。

コンソール cisco
AUX cisco
VTY ローカルのユーザ名/パスワード

ユーザ名 パスワード
cisco cisco

R1での設定は次のようになります。

R1(config)#line con 0
R1(config-line)#login
% Login disabled on line 0, until 'password' is set
R1(config-line)#password cisco
R1(config-line)#exit
R1(config)#line aux 0
R1(config-line)#login
% Login disabled on line 129, until 'password' is set
R1(config-line)#password cisco
R1(config-line)#exit
R1(config)#line vty 0 4
R1(config-line)#login local
R1(config)#username cisco password cisco
この例のパスワードはとてもシンプルな文字列です。また、ユーザ名とパスワードを同じにしているので、セキュリティ上望ましい設定ではありません。あくまでも初期設定のサンプルです。

コンソール/AUX/VTYタイムアウトの設定

コンソールやVTYアクセスでCLIにログインしているときに、一定時間入力がなければタイムアウトします。タイムアウト時間を変更するには、ラインコンフィグレーションモードで次のコマンドを入力します。

ライン タイムアウトの設定

(config)#line {con 0|aux 0|vty 0 4}
(config-line)#exec-timeout <minute> <sec>

<minute> : タイムアウト分
<sec> : タイムアウト秒

デフォルトは5分間です。タイムアウトを無効化するには、exec-timeout 0 0のコマンドでタイムアウト時間を0とします。

R1でコンソールのタイムアウト時間を無効化します。そのための設定はコマンドは、以下のようになります。

R1(config)#line con 0
R1(config-line)#exec-timeout 0 0

パスワード表示の暗号化

コンソール/AUX/VTYのパスワードは、running-configの表示では暗号化されていません。running-configでのパスワード表示を暗号化したほうがセキュリティ上望ましい設定です。グローバルコンフィグレーションモードで次のコマンドを入力することで、パスワードの表示を暗号化します。

(config)#service password-encryption

R1では、以下のようになります。

R1(config)#service password-encryption
R1(config)#end
R1#show running-config
Building configuration...
~省略~
service password-encryption
!
!
username cisco password 7 070C285F4D06
!
~省略
!
line con 0
 password 7 094F471A1A0A
 login
line aux 0
 password 7 060506324F41
 login
line vty 0 4
 login local
!
end

R1#

バナーメッセージの設定

機器にログインしたときにコンソール上にバナーメッセージを表示できます。グローバルコンフィグレーションモードで次のコマンドを入力します。

バナーメッセージの設定

(config)#banner motd <message>

<message> : 表示するメッセージ

表示するバナーメッセージは、「権限のあるユーザのみがログイン可能」といった内容にするのがセキュリティ上望ましい設定です。以下のバナーメッセージを設定するものとします。

************************************************
Only administrator can login this device
************************************************

R1での設定は次のようになります。

R1(config)#banner motd ^
Enter TEXT message.  End with the character '^'.
************************************************
Only administrator can login this device
************************************************
^
R1(config)#

「^」は区切り文字として設定しています。「^」で囲まれた範囲の複数行のメッセージが表示されるようになります。

バナーメッセージの設定コマンドは、他にbanner loginコマンド、banner execコマンドもあります。banner loginのメッセージもユーザ認証プロンプトの前に表示されますが、banner motdと一緒に設定している場合は、そのあとに表示されます。banner execのメッセージはユーザ認証したあとにEXECモードに入るときに表示されるメッセージです。

IPアドレスの設定

インタフェースにIPアドレスを設定します。インタフェースにIPアドレスを設定することで、IPのネットワークに接続しIPパケットを送受信できるようになります。ルータのインタフェースはデフォルトでshutdownコマンドによって、無効化(administratively down)されていることに気をつけてください。no shutdownコマンドでインタフェースを有効にしなければいけません。また、ルータは管理のためにループバックインタフェースを作成することが多くなっています。

IPアドレスの設定

(config)#interface <interface-name>
(config-if)#ip address <address> <subnetmask>
(config-if)#no shutdown

<interface-name> : インタフェース名
<address> <subnetmask> : IPアドレス サブネットマスク

interface loopbackコマンドでループバックインタフェースを作成します。

機器 インタフェース IPアドレス
R1 FastEthernet0/0 192.168.1.254/24
Loopback0 192.168.0.1/32
SW1 Vlan1 192.168.1.250/24
表 設定するIPアドレス

R1での設定は次のようになります。

R1(config)#interface loopback 0
*Mar  1 01:48:20.763: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up
R1(config-if)#ip address 192.168.0.1 255.255.255.255
R1(config-if)#exit
R1(config)#interface FastEthernet 0/0
R1(config-if)#ip address 192.168.1.254 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#
*Mar  1 01:48:49.519: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar  1 01:48:50.519: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

SW1での設定は次のようになります。

SW1(config)#interface vlan 1
SW1(config-if)#ip address 192.168.1.250 255.255.255.0

インタフェースの確認

インタフェースの状態と設定したIPアドレスを確認します。インタフェースの状態とIPアドレスを確認するためのshowコマンドは、以下のとおりです。

  • show ip interface [brief]
  • show interface
  • show protocols

R1でのshowコマンドは次のように表示されます。

R1#show ip interface brief
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            192.168.1.254   YES manual up                    up
Loopback0                  192.168.0.1     YES manual up                    up
R1#show ip interface
FastEthernet0/0 is up, line protocol is up
  Internet address is 192.168.1.254/24
  Broadcast address is 255.255.255.255
  Address determined by setup command
  MTU is 1500 bytes
~省略~
Loopback0 is up, line protocol is up
  Internet address is 192.168.0.1/32
  Broadcast address is 255.255.255.255
  Address determined by setup command
  MTU is 1514 bytes
R1#show interfaces
FastEthernet0/0 is up, line protocol is up
  Hardware is AmdFE, address is cc0c.6410.0000 (bia cc0c.6410.0000)
  Internet address is 192.168.1.254/24
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 100Mb/s, 100BaseTX/FX
Loopback0 is up, line protocol is up
  Hardware is Loopback
  Internet address is 192.168.0.1/32
  MTU 1514 bytes, BW 8000000 Kbit/sec, DLY 5000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation LOOPBACK, loopback not set
R1#show protocols
Global values:
  Internet Protocol routing is enabled
FastEthernet0/0 is up, line protocol is up
  Internet address is 192.168.1.254/24
Loopback0 is up, line protocol is up
  Internet address is 192.168.0.1/32

インタフェースの状態は次のように2つ表示されます。

FastEthernet0/0 is up, line protocol is up

<interface-name> is ~の部分は物理層レベルの状態です。そして、line protocol is ~はデータリンク層レベルの状態です。両方ともupになっている状態が正常です。もし、両方ともupでなければ何らかの問題が発生していることになりますので、その問題を解消する必要があります。インタフェースの状態の取りうるケースをまとめているのが次の表です。

<interface-name> is line protocol is 意味
administratively down down インタフェースがshutdownされている。no shutdownが必要
down down 物理層の問題。ケーブル接続などを確認
up down データリンク層の問題。レイヤ2カプセル化プロトコルなどを確認
up up 物理層、データリンク層には問題がない
表 インタフェースの状態
up/upの状態はあくまでもデータリンク層までの話です。ネットワーク層以上のトラブルでup/upになっていても通信できない場合はあります。

Ciscoのキホン