VTYアクセス制御

VTYアクセス制御

VTYアクセス制御とは、ルータやスイッチに対するTelnet/SSHのコマンドラインベースのリモートアクセスのアクセス制御です。無制限にVTYアクセスできてしまうのは、セキュリティ上望ましくありません。ログイン時に認証を行いますが、認証だけではなく管理者のホストなど特定のIPアドレスからのみVTYアクセスできるようにするとよりセキュアです。

関連記事

VTYアクセスについての詳細は、以下の記事をご覧ください。

ネットワークのおべんきょしませんか？

 

2 Users

5 Pockets

VTYアクセス(Telnet/SSH)によるリモート管理

https://www.n-study.com/cisco-basic/vty/

VTYアクセスコンソール接続でCiscoルータやCatalystスイッチを管理できますが、そのためには管理したい機器と直接コンソールケーブルで接続する必要があります。コンソール接続では、離れた場所にある機器を管理するには効率がよくありません。TelnetやSSHなどのプロトコルを利用したVTYアクセスを行います。Telnetは、TCPポート番号23番を利用します。Telnetはシンプルなプロトコルで、通信の暗号化を行いません。そのため、通信を盗聴されると悪意を持つユーザにログインするためのユーザID/パスワードのアカウント情報が漏れてしま...

Telnet/SSHはアプリケーションプロトコルで、拡張アクセスコントロールリストによるパケットフィルタリングを行えば、VTYアクセス制御が可能です。TelnetはTCPポート番号23、SSHはTCPポート番号22を利用するプロトコルです。

拡張アクセスコントロールリストをインタフェースに適用するパケットフィルタでも可能なのですが、もっとシンプルにVTYアクセス制御が可能です。

CiscoのルータやスイッチへのVTYアクセスは、最終的に内部の仮想的なインタフェースであるVTYラインで扱います。インタフェースではなくVTYラインに標準アクセスコントールリストを適用することで、シンプルなVTYアクセス制御ができます。VTYラインで扱うパケットは、その機器へのTelnet/SSHであるはずなので宛先IPアドレスや宛先ポート番号などを気にしなくてかまいません。送信元IPアドレスのみをチェックして、VTYアクセスさせるかどうかを決めればよいだけです。そのため、拡張アクセスコントロールリストではなくもっとシンプルな標準アクセスコントールリストを利用できます。

VTYアクセス制御の設定手順

VTYアクセス制御の設定を行うときの手順は次のとおりです。

1. VTYアクセスを許可するIPアドレスまたは拒否するIPアドレスを指定した標準アクセスコントロールリストを作成
2. 作成した標準アクセスコントールリストをVTYラインのインバウンドで適用

標準アクセスコントロールの作成は、「Cisco ACLによるパケットフィルタの設定」で解説しています。VTYラインで標準アクセスコントロールを適用するには、VTYのラインコンフィグレーションモードでaccess-classコマンドを利用します。

VTYアクセス制御の設定例

管理者のホストのIPアドレスが「192.168.100.100」で、このIPアドレスのみがルータにVTYアクセスできるようにするための設定は、次のように行います。

access-list 1 permit host 192.168.100.100 
!
line vty 0 4
 access-class 1 in

ネットワークのおべんきょしませんか？

2022年ページビューランキング | ネットワークのおべんきょしませんか？

https://www.n-study.com/2022-pv-ranking/

2022年「ネットワークのおべんきょしませんか？」コンテンツのページビューランキングTOP10です。

ネットワーク技術解説記事のアップデートや新規記事をTwitterでお知らせしています。
Follow @Gene2016Nstudy

CCNAを目指すなら『基礎からのCCNA(200-301)攻略テキスト』

詳細な解説と実践的な演習シナリオでスキルアップ

「ネットワークのおべんきょしませんか？」内の記事を検索