目次
CiscoルータとCatalystスイッチの初期設定
シンプルなネットワーク構成で、CiscoルータおよびCatalystスイッチの初期設定を考えていきます。今回、初期設定で設定する項目は、以下の通りです。
- ホスト名
- パスワード
- バナーメッセージ
- IPアドレス
設定したら、その設定が正しいかどうかをしっかりと確認するということも意識しておきましょう。
ネットワーク構成
主なコマンド
以下の表に、初期設定のための主な設定コマンドと確認コマンドの概要をまとめています。
設定コマンド | 概要 |
(config)#hostname | ホスト名を設定します。 |
(conig)#enable secret (config)#enable password | 特権EXECモードに移行する際のパスワードを設定します。 |
(config)#service password-encryption | パスワードの表示を暗号化します。 |
(config)#banner motd | ログイン時に表示するメッセージを設定します。 |
(config)#username password | ユーザ名とパスワードを設定します。 |
(config-line)#login [local] (config-line)#password | コンソール/AUX/VTYのパスワードを設定します。 |
(config-line)#exec-timeout | コンソールやVTYアクセスのタイムアウト時間を指定します。 |
(config)#interface loopback | ループバックインタフェースを作成します。 |
(config-if)#ip address | インタフェースにIPアドレスを設定します。 |
(config-if)#no shutdown | インタフェースのshutdownを解除して有効化します。 |
確認コマンド | 概要 |
#show running-config | running-configを表示します。 |
#show startup-config | startup-configを表示します。 |
#show interface | インタフェースのレイヤ1/レイヤ2の状態の詳細を中心に表示します。 |
#show ip interface [brief] | インタフェースのレイヤ3の状態の詳細を中心に表示します。 |
#show protocols | インタフェースの状態とIPアドレスを表示します。 |
#ping | 指定したIPアドレスまたはホスト名に対する接続性を確認します。 |
#traceroute | 指定したIPアドレスまたはホスト名への通信経路を確認します。 |
設定
ホスト名の設定
ルータおよびスイッチにホスト名を設定します。
機器 | ホスト名 |
ルータ | R1 |
レイヤ2スイッチ | SW1 |
ホスト名を設定するために、グローバルコンフィグレーションモードで次のコマンドを入力します。
(config)#hostname <hostname>
<hostname> : ホスト名
<hostname>で指定するホスト名のルールは以下のとおりです。
- 63文字以下
- 使える文字種別
- アルファベット
- 数字
- -(ハイフン)
- 先頭の文字はアルファベット
以下は、ルータでの設定の様子です。
Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R1 R1(config)#
コマンドを入力すると、すぐにホスト名が「R1」となっています。また、running-configに「hostname R1」が反映されています。
特権EXECモードのパスワード設定
enableコマンドで特権EXECモードへ移行する際のパスワードを設定します。パスワードの設定には、次の2つのコマンドがあります。
(config)#enable password <password>
(config)#enable secret <password>
<password> : パスワード
enable secretコマンドで設定したパスワードは、show running-configで設定を表示した時に暗号化されます。一方、enable passwordコマンドで設定したパスワードは、show running-configで設定を表示した時に暗号化されません。
両方とも設定した場合は、enable secretコマンドで設定したパスワードが適用されます。パスワードが管理者以外に漏えいしてしまう可能性を小さくするために、enable secretコマンドでパスワード「cisco」を設定します。
R1での設定は次のようになります。
R1(config)#enable secret cisco R1(config)#end R1#disable R1>enable Password: R1#show running-config Building configuration... ~省略~ ! hostname R1 ! ~省略~ ! enable secret 5 $1$2MAq$beW3VsjpYu2oo3GvzG7ry/ ! ~省略~ !
enable secretコマンドで「cisco」のパスワードを設定したあと、ユーザEXECモードに戻っています。そして、enableコマンドで特権EXECモードへ移行するときにパスワードが求められるようになっています。show running-configで設定を表示すると、「cisco」というパスワードの文字列は暗号化されて表示されています。
コンソール/AUX/VTYパスワードの設定
コンソール/AUX/VTYなどでアクセスするときのパスワードを設定します。ラインコンフィグレーションモードで次のように設定します。
(config)#line {console 0|aux 0|vty 0 4}
(config-line)#login [local]
(config-line)#password <password>
<password> : パスワード
login localと設定すると、ローカルのユーザ名/パスワードでの認証を有効化します。ローカルのユーザ名/パスワードの設定コマンドは以下のとおりです。
(config)#username <username> password <password>
<username> : ユーザ名
<password> : パスワード
R1、SW1で設定するコンソール/AUX/VTYパスワードを表にまとめています。
コンソール | cisco |
AUX | cisco |
VTY | ローカルのユーザ名/パスワード |
ユーザ名 | パスワード |
cisco | cisco |
R1での設定は次のようになります。
R1(config)#line con 0 R1(config-line)#login % Login disabled on line 0, until 'password' is set R1(config-line)#password cisco R1(config-line)#exit R1(config)#line aux 0 R1(config-line)#login % Login disabled on line 129, until 'password' is set R1(config-line)#password cisco R1(config-line)#exit R1(config)#line vty 0 4 R1(config-line)#login local R1(config)#username cisco password cisco
コンソール/AUX/VTYタイムアウトの設定
コンソールやVTYアクセスでCLIにログインしているときに、一定時間入力がなければタイムアウトします。タイムアウト時間を変更するには、ラインコンフィグレーションモードで次のコマンドを入力します。
(config)#line {con 0|aux 0|vty 0 4}
(config-line)#exec-timeout <minute> <sec>
<minute> : タイムアウト分
<sec> : タイムアウト秒
デフォルトは5分間です。タイムアウトを無効化するには、exec-timeout 0 0のコマンドでタイムアウト時間を0とします。
R1でコンソールのタイムアウト時間を無効化します。そのための設定はコマンドは、以下のようになります。
R1(config)#line con 0 R1(config-line)#exec-timeout 0 0
パスワード表示の暗号化
コンソール/AUX/VTYのパスワードは、running-configの表示では暗号化されていません。running-configでのパスワード表示を暗号化したほうがセキュリティ上望ましい設定です。グローバルコンフィグレーションモードで次のコマンドを入力することで、パスワードの表示を暗号化します。
(config)#service password-encryption
R1では、以下のようになります。
R1(config)#service password-encryption R1(config)#end R1#show running-config Building configuration... ~省略~ service password-encryption ! ! username cisco password 7 070C285F4D06 ! ~省略 ! line con 0 password 7 094F471A1A0A login line aux 0 password 7 060506324F41 login line vty 0 4 login local ! end R1#
バナーメッセージの設定
機器にログインしたときにコンソール上にバナーメッセージを表示できます。グローバルコンフィグレーションモードで次のコマンドを入力します。
(config)#banner motd <message>
<message> : 表示するメッセージ
表示するバナーメッセージは、「権限のあるユーザのみがログイン可能」といった内容にするのがセキュリティ上望ましい設定です。以下のバナーメッセージを設定するものとします。
************************************************
Only administrator can login this device
************************************************
R1での設定は次のようになります。
R1(config)#banner motd ^ Enter TEXT message. End with the character '^'. ************************************************ Only administrator can login this device ************************************************ ^ R1(config)#
「^」は区切り文字として設定しています。「^」で囲まれた範囲の複数行のメッセージが表示されるようになります。
バナーメッセージの設定コマンドは、他にbanner loginコマンド、banner execコマンドもあります。banner loginのメッセージもユーザ認証プロンプトの前に表示されますが、banner motdと一緒に設定している場合は、そのあとに表示されます。banner
execのメッセージはユーザ認証したあとにEXECモードに入るときに表示されるメッセージです。
IPアドレスの設定
インタフェースにIPアドレスを設定します。インタフェースにIPアドレスを設定することで、IPのネットワークに接続しIPパケットを送受信できるようになります。ルータのインタフェースはデフォルトでshutdownコマンドによって、無効化(administratively down)されていることに気をつけてください。no shutdownコマンドでインタフェースを有効にしなければいけません。また、ルータは管理のためにループバックインタフェースを作成することが多くなっています。
(config)#interface <interface-name>
(config-if)#ip address <address> <subnetmask>
(config-if)#no shutdown
<interface-name> : インタフェース名
<address> <subnetmask> : IPアドレス サブネットマスク
interface loopbackコマンドでループバックインタフェースを作成します。
機器 | インタフェース | IPアドレス |
R1 | FastEthernet0/0 | 192.168.1.254/24 |
Loopback0 | 192.168.0.1/32 | |
SW1 | Vlan1 | 192.168.1.250/24 |
R1での設定は次のようになります。
R1(config)#interface loopback 0 *Mar 1 01:48:20.763: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up R1(config-if)#ip address 192.168.0.1 255.255.255.255 R1(config-if)#exit R1(config)#interface FastEthernet 0/0 R1(config-if)#ip address 192.168.1.254 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# *Mar 1 01:48:49.519: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up *Mar 1 01:48:50.519: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
SW1での設定は次のようになります。
SW1(config)#interface vlan 1 SW1(config-if)#ip address 192.168.1.250 255.255.255.0
インタフェースの確認
インタフェースの状態と設定したIPアドレスを確認します。インタフェースの状態とIPアドレスを確認するためのshowコマンドは、以下のとおりです。
- show ip interface [brief]
- show interface
- show protocols
R1でのshowコマンドは次のように表示されます。
R1#show ip interface brief Interface IP-Address OK? Method Status Protocol FastEthernet0/0 192.168.1.254 YES manual up up Loopback0 192.168.0.1 YES manual up up R1#show ip interface FastEthernet0/0 is up, line protocol is up Internet address is 192.168.1.254/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes ~省略~ Loopback0 is up, line protocol is up Internet address is 192.168.0.1/32 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1514 bytes R1#show interfaces FastEthernet0/0 is up, line protocol is up Hardware is AmdFE, address is cc0c.6410.0000 (bia cc0c.6410.0000) Internet address is 192.168.1.254/24 MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s, 100BaseTX/FX Loopback0 is up, line protocol is up Hardware is Loopback Internet address is 192.168.0.1/32 MTU 1514 bytes, BW 8000000 Kbit/sec, DLY 5000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation LOOPBACK, loopback not set R1#show protocols Global values: Internet Protocol routing is enabled FastEthernet0/0 is up, line protocol is up Internet address is 192.168.1.254/24 Loopback0 is up, line protocol is up Internet address is 192.168.0.1/32
インタフェースの状態は次のように2つ表示されます。
FastEthernet0/0 is up, line protocol is up
<interface-name> is ~の部分は物理層レベルの状態です。そして、line protocol is ~はデータリンク層レベルの状態です。両方ともupになっている状態が正常です。もし、両方ともupでなければ何らかの問題が発生していることになりますので、その問題を解消する必要があります。インタフェースの状態の取りうるケースをまとめているのが次の表です。
<interface-name> is | line protocol is | 意味 |
administratively down | down | インタフェースがshutdownされている。no shutdownが必要 |
down | down | 物理層の問題。ケーブル接続などを確認 |
up | down | データリンク層の問題。レイヤ2カプセル化プロトコルなどを確認 |
up | up | 物理層、データリンク層には問題がない |
Ciscoのキホン
- Ciscoルータのメモリ領域とコンフィグレーションレジスタ
- Ciscoルータの起動シーケンス
- 設定のための準備
- Cisco機器の設定ファイル running-configとstartup-config
- Cisco機器の設定の流れ
- Cisco CLIの基礎知識 ~コマンドの種類とモード~
- Cisco機器のインタフェース
- Cisco CLIのヘルプと補完
- Cisco CLIの主なエラーメッセージ
- Cisco 設定コマンドの削除
- default interfaceコマンド ~インタフェースの設定を初期化~
- Cisco コマンドの一括入力
- doコマンド ~コンフィグレーションモードからEXECコマンドを実行~
- interface rangeコマンド ~複数インタフェースの一括設定~
- showコマンド表示のフィルタ ~見たい情報だけを適切に表示~
- Cisco機器の時刻設定
- Cisco IOS 名前解決の設定
- terminal lengthコマンド ~コマンド出力の表示行数の設定~
- debugコマンド ~リアルタイムの動作確認~
- CLIログイン時に自動的に特権EXECモードに移行する
- Cisco 設定ファイルの保存とバックアップ
- 設定ファイルのバージョン管理 ~archiveコマンド~
- IOSファイルシステムの操作
- Catalystスイッチの管理 ~スイッチにIPアドレスを設定する意味~
- VTYアクセス(Telnet/SSH)によるリモート管理
- Cisco IOS SSH待ち受けポート番号の変更
- terminal monitorコマンド ~Telnet/SSHのログイン先のログを表示~
- 多段階Telnetのセッション中断
- Cisco パスワードの最小文字数設定
- ログイン試行の制限 ~login block-forコマンド~
- Cisco 初期設定の例
- CDP ~つながっている機器はなに?~
- Ciscoルータ パスワードリカバリ
- Catalystスイッチのパスワードリカバリ