5. 遠隔設定と監視

本章では、UNIVERGE IX-R/IX-V シリーズの遠隔設定と監視方法について説明します。

5.1. Telnetを利用した遠隔設定

UNIVERGE IX-R/IX-V シリーズでは、Telnet機能による遠隔からの設定ができます。

注意

UNIVERGE IX-V シリーズでは、Telnet機能は利用できません。

詳細なログデータをTelnetクライアントに出力することで、ネットワークトラブル等の解析ができるようになります。

機能を有効化するには、Telnetのパケットが通過するインタフェースで起動コマンドを設定します。宛先IPアドレスを持つインタフェースを指定するのではないことに注意してください(「パケット評価フロー」の章を参照し、フォワーダーとパケットの流れを確認してください)。これにより、特定のインタフェースからのアクセスに限定して機能を使うことができ、意図しないインタフェースからのアクセスを防止することができるので、セキュリティが向上します。

また、アクセスリストにより不特定アドレスからのTelnetアクセスを防止することが可能です。

Telnetサーバーの設定および確認は次のコマンドを使用します。

項目

説明

telnet-server ip enable

IPv4用Telnetサーバーの起動

telnet-server ip access-list

IPv4用Telnetサーバーへのアクセス制限

telnet-server ip port

IPv4用Telnetサーバーの受信ポートを変更

telnet-server ipv6 enable

IPv6用Telnetサーバーの起動

telnet-server ipv6 access-list

IPv6用Telnetサーバーへのアクセス制限

telnet-server ipv6 port

IPv6用Telnetサーバーの受信ポートを変更

注意

Telnetサーバーを有効にするとTCPの23番ポートが開放されるため、DOS攻撃などのセキュリティ上のリスクが生じます。
また、Telnetは通信が暗号化されないため、盗聴などのセキュリティ上のリスクが生じます。

次に、192.168.10.10のTelnetクライアントのみ、Telnetサーバーへのアクセスを許可する場合の例を示します。 (トンネルインタフェースを利用するような複雑な例は、「SSHを利用した遠隔設定」の章を参照してください)

リスト 5.1.1 設定例
ip access-list telnet4 permit ip src 192.168.10.10/32 dest any
telnet-server ip access-list telnet4
!
interface GigaEthernet1.0
  ip address 192.168.10.254/24
  telnet-server ip enable
  no shutdown

  • Telnet送信パケットサイズ

    showコマンドなどでデータを表示させると、約500バイトに到達するか、あるいは約1/60秒間の時間が経た際にデータがまとめて送信されます。

5.2. SSHを利用した遠隔設定

5.2.1. SSHサーバーの設定

UNIVERGE IX-R/IX-V シリーズでは、SSHサーバー機能に対応しています。SSHでは通信が暗号化されるため、より安全に遠隔からの操作ができるようになります。

機能を有効化するには、SSHのパケットが通過するインタフェースで起動コマンドを設定します。宛先IPアドレスを持つインタフェースを指定するのではないことに注意してください(「パケット評価フロー」の章を参照し、フォワーダーとパケットの流れを確認してください)。これにより、特定のインタフェースからのアクセスに限定して機能を使うことができ、意図しないインタフェースからのアクセスを防止することができるので、セキュリティが向上します。

また、アクセスリストにより不特定アドレスからのSSHアクセスを防止することが可能です。

SSHサーバーの設定は次のコマンドを使用します。

項目

説明

ssh-server ip enable

IPv4用SSHサーバーの起動

ssh-server ip access-list

IPv4用SSHサーバーへのアクセス制限

ssh-server ip port

IPv4用SSHサーバーの受信ポートを変更

ssh-server ipv6 enable

IPv6用SSHサーバーの起動

ssh-server ipv6 access-list

IPv6用SSHサーバーへのアクセス制限

ssh-server ipv6 port

IPv6用SSHサーバーの受信ポートを変更

注意

SSHサーバーを有効にするとTCPの22番ポートが開放されるため、DOS攻撃などのセキュリティ上のリスクが生じます。

自装置にNetMeisterのリモートログイン機能を使用してアクセスする場合は自装置のIPアドレスにポートマッピングするため、指定するIPアドレスを持つインタフェースに起動コマンドを設定してください。

Tunnel0.0経由で20.20.0.1のSSHクライアントをSSHサーバーにアクセス許可させる場合の例を示します。

リスト 5.2.1 設定例
ip route 20.20.0.0/24 Tunnel0.0
ip route 20.20.0.0/24 Tunnel1.0 metric 10
ip route 40.40.0.0/24 Tunnel0.0
ip route 60.60.0.0/24 Tunnel1.0
ip route 80.80.0.2/32 70.70.0.2
ip route 90.90.0.2/32 70.70.0.2
!
bridge irb enable
!
watch-group mon 10
  event 10 ip unreach-host 80.80.0.2 GigaEthernet0.0 70.70.0.2
  action 10 shutdown-interface Tunnel0.0
!
network-monitor mon enable
!
interface GigaEthernet0.0
  ip address 70.70.0.1/24
  no shutdown
!
interface GigaEthernet2.0
  no ip address
  bridge-group 1
  no shutdown
!
interface BVI0
  ip address 10.10.0.254/24
  bridge-group 1
  no shutdown
!
interface Loopback0.0
  ip address 80.80.0.1/32
!
interface Loopback1.0
  ip address 90.90.0.1/32
!
interface Tunnel0.0
  tunnel mode gre ip
  tunnel destination 80.80.0.2
  tunnel source Loopback0.0
  ip address 30.30.0.1/24
  ssh-server ip enable
  no shutdown
!
interface Tunnel1.0
  tunnel mode gre ip
  tunnel destination 90.90.0.2
  tunnel source Loopback1.0
  ip address 50.50.0.1/24
  no shutdown

この設定例の場合、「7. パケット評価フロー」に従うと、パケットフローは以下のようになります。

../_images/05_remote4.svg

ssh-server ip enableを設定するインタフェースに対する、SSHサーバの動作可否を以下に示します。

凡例: o SSHサーバ動作可能、x SSHサーバ動作不可

ユーザー端末位置

有効化設定

ユーザー端末がアクセスできるインタフェース

補足

GE2.0

BVI0

GE0.0

Tun0.0

Tun1.0

LB0.0

LB1.0

LAN側

GE2.0

x

x

x

x

x

x

x

IPアドレスなし

BVI0

o

o

o

o

o

o

o

全IPに到達可能

Tun0.0

x

x

x

x

x

x

x

LANから受信せず

Tun1.0

x

x

x

x

x

x

x

LANから受信せず

LB0.0

x

x

x

x

x

x

x

LBからは受信せず

LB1.0

x

x

x

x

x

x

x

LBからは受信せず

GE0.0

x

x

x

x

x

x

x

IPアドレスなし

WAN側

GE2.0

x

x

x

x

x

x

x

WANから受信せず

BVI0

x

x

x

x

x

x

x

WANから受信せず

Tun0.0

x

o (*)

x

o

x

x

x

(*)迂回時にxになる

Tun1.0

x

x (*)

x

x

o

x

x

(*)迂回時にoになる

LB0.0

x

x

x

x

x

x

x

LBからは受信せず

LB1.0

x

x

x

x

x

x

x

LBからは受信せず

GE0.0

x

x

o

x

x

o (*)

o (*)

(*)GE0から到達可能

LAN側からの端末のIPパケットはBVI0で受信してIPフォワーダーに渡されます。BVI0にssh-server ip enable を設定すると、BVI0を通過してIPフォワーダーに渡されたIPパケットが到達できるIPアドレスを持つインタフェースでSSHサーバを使用することができます。この事例の場合、すべてのインタフェースでSSHサーバ機能を使用できます。 BVI0以外のインタフェースに ssh-server ip enable を指定しても、IPフォワーダーが受信インタフェースとして認識するインタフェースはないので、SSHサーバを使用することはできません。 GE2はIPアドレスを持たないので、ssh-server ip enable を指定してもSSHサーバを使用することはできません。

WAN側からの端末のIPパケットはTunnel0.0で受信したとしてIPフォワーダーに渡されます。Tunnel0.0にssh-server ip enable を設定すると、Tunnel0.0を通過してIPフォワーダーに渡されたIPパケットが到達できるIPアドレスを持つインタフェースでSSHサーバを使用することができます。この事例の場合、Tunnel0.0自身とBVI0インタフェースでSSHサーバを使用できます。GE0とLB0/LB1はTunnel0.0を構築するために使用されるためTunnel0.0を経由したパケットはインタフェースに到達できないので、SSHサーバを使用できません。 GE0に ssh-server ip enable を指定した場合は、GE0自身とLoopbackインタフェースでSSHサーバを使用することができますが、その他のインタフェースにssh-server ip enable を指定しても、IPフォワーダーが受信インタフェースとして認識するインタフェースはないので、SSHサーバを使用することはできません。

5.2.2. 秘密鍵の操作

SSHサーバー機能ではサーバー認証には公開鍵認証を使用します。このため、秘密鍵が必要となります。UNIVERGE IX-R/IX-V シリーズは初回起動時に秘密鍵を生成します。

バージョンアップ時に新たなバージョンのUNIVERGE IX-R/IX-V シリーズを起動した場合は秘密鍵も新たに生成されます。

秘密鍵の操作および確認には以下のコマンドを使用します。

項目

説明

ssh-server host-key regenerate

秘密鍵の更新

show ssh-server host-key fingerprint

秘密鍵のfingerprintの表示

SSHクライアント側において表示されるfingerprintと、秘密鍵のfingerprint表示の内容が一致していることを確認することで、正しくUNIVERGE IX-R/IX-V シリーズに接続していることを判断できます。

5.2.3. 仕様

5.2.3.1. SSHサーバー仕様

項目

説明

対応バージョン

SSHv2

鍵交換アルゴリズム
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256

暗号アルゴリズム
aes256-ctr
aes192-ctr
aes128-ctr

MACアルゴリズム
hmac-sha2-512
hmac-sha2-256

認証方式
サーバー認証:RSA
クライアント認証:パスワード認証

5.2.3.2. 秘密鍵仕様

項目

説明

鍵長

RSA(2048bit)

5.3. SNMPを利用した監視

UNIVERGE IX-R/IX-V シリーズでは、管理オブジェクトを実装しています。SNMP(Simple Network Management Protocol)を使用することにより、UNIVERGE IX-R/IX-V シリーズの動作状態を遠隔監視することができます。UNIVERGE IX-R/IX-V シリーズの機種ごとのsysObjectIDについては設定パラメータの一覧を参照してください。

IPv6での管理オブジェクトへのアクセスにも対応しています。

5.3.1. Trapと管理オブジェクト

UNIVERGE IX-R/IX-V シリーズで監視可能なTrapと管理オブジェクトを下記に示します。

5.3.1.1. Trap

注意

UNIVERGE IX-V シリーズでは、一部のenterpriseSpecificのTrapは発行できません。

  • generic-trap

    Trap-ID

    内容

    備考

    0

    cold-start

    RFC1215, RFC3418

    2

    link-down

    RFC1215, RFC2863

    3

    link-up

    RFC1215, RFC2863

    4

    authentication-failure

    RFC1215, RFC3418

  • enterpriseSpecific

    Trap-ID

    内容

    備考

    zp10

    3

    zp10TemperatureFault

    温度アラーム発生

    zp10

    4

    zp10TemperatureRestoration

    温度アラーム復旧

    zp10

    5

    zp10VoltageFault

    電圧異常発生

    zp10

    6

    zp10VoltageRestoration

    電圧異常復旧

    zp10

    7

    zp10FanFault

    ファン異常発生

    zp10

    8

    zp10FanRestoration

    ファン異常復旧

    zp10

    13

    zp10LoginSession

    ログイン

    zp10

    14

    zp10LoginFailure

    ログイン失敗

    zp10

    15

    zp10ConfigMode

    モード変更

    zp10

    16

    zp10ConfigModified

    コンフィグ変更

    zp10

    17

    zp10ExtIfLinkDown

    SW-HUBポートダウン

    zp10

    18

    zp10ExtIfLinkUp

    SW-HUBポートアップ

    zp10PostMIBNotificationPrefix

    1

    zp10PostFailMessage

    起動時自己診断NG

注釈

Trapの詳細については付録を参照してください。

5.3.1.2. 管理オブジェクト

注意

UNIVERGE IX-V シリーズでは、一部のプライベート管理オブジェクトは取得できません。

  • 標準管理オブジェクト

    項目

    内容

    備考

    SNMPv2-MIB
    sysDescr
    sysObjectID
    sysUpTime
    sysContact
    sysName
    sysLocation
    sysServices

    RFC3418

    IF-MIB
    interface
    ifXTable

    RFC2863

    IP-MIB
    ipForwarding
    ipDefaultTTL
    ipReasmTimeout
    ipv6IpForwarding
    ipv6IpDefaultHopLimit
    ipNetToPhysicalTable(IPv4のみ)
    ipAddressTable

    • ipAddressIfIndex

    • ipAddressType

    • ipAddressOrigin

    • ipAddressStatus

    • ipAddressRowStatus

    • ipAddressStorageType

    RFC4293

    IP-FORWARD-MIB
    inetCidrRouteNumber(IPv4のみ)
    inetCidrRouteTable(IPv4のみ)

    RFC4292

  • プライベート管理オブジェクト

    項目

    内容

    システムMIB

    zp10System

    ログイン状態MIB

    zp10LoginMIB

    コンフィグ状態MIB

    zp10ConfigEventMIB

    SW-HUB MIB

    zp10ExtIfMIB

    起動時ハードウェア自己診断MIB

    zp10PostMIB

    IPv4キャッシュMIB

    zp10IPv4MIB

    IPv6キャッシュMIB

    zp10IPv6MIB

    NAPT MIB

    zp10NAPTMIB

    トンネルMIB

    zp10TunnelMIB

    IPsec MIB

    zp10IPsecMIB

注釈

プライベート管理オブジェクトの詳細については付録を参照してください。

5.3.1.3. sysObjectID

装置毎にsysObjectIDが設定されています。

値は以下のとおりです。

装置名(IX-Rシリーズ)

sysObjectID

IX-R2530

1.3.6.1.4.1.119.1.293.2.1

IX-R2520

1.3.6.1.4.1.119.1.293.3.1

IX-R2610

1.3.6.1.4.1.119.1.293.4.1

IX-R2510

1.3.6.1.4.1.119.1.293.5.1

装置名(IX-Vシリーズ)

sysObjectID

IX-V100

1.3.6.1.4.1.119.1.293.1.1

5.3.1.4. IF-MIB

5.3.1.4.1. ifIndex

UNIVERGE IX-R/IX-V シリーズでは、ifIndexはインタフェースごとに決まった値が設定されます。インタフェースのifIndexはshow interfacesコマンドで確認できます。

設定されるifIndexの規則は以下のとおりです。

インタフェース

ifIndex算出式
物理インタフェース
GigaEthernet[port].0

ifIndex = [port] + 100
サブインタフェース
GigaEthernet[port].[sub-interface]
ifIndex = [port] * 10,000
+ [sub-interface]
+ 1,000,000
ポートVLANグループ
GigaEthernet[port]:[group].[sub-interface]
ifIndex = [port] * 1,000,000
+ [group] * 10,000
+ [sub-interface]
+ 100,000,000
BVIインタフェース
BVI[port]

ifIndex = [port] + 7,000,000
トンネルインタフェース
Tunnel[port].0

ifIndex = [port] + 8,000,000
Loopbackインタフェース
Loopback[port].0

ifIndex = [port] + 9,100,000
Nullインタフェース
Null[port].0

ifIndex = [port] + 9,200,000

設定されるifIndexの例は以下のとおりです。ポート番号やサブインタフェース番号、ポートVLANグループ番号が、ifIndexの特定の桁に対応しています。

../_images/05_remote1.svg

図 5.3.1 設定されるifIndexの例

5.3.1.4.2. ifDescr

ifDescrにはインタフェース名が入ります。

5.3.1.4.3. ifType

各インタフェースのifTypeは以下のようになっています。

インタフェース

ifType

GigaEthernet

ethernetCsmacd(6)

BVI

propVirtual(53)

Tunnel

Tunnel(131)

Loopback

softwareLoopback(24)

Null

softwareLoopback(24)
5.3.1.4.4. ifAdminStatusとifOperStatus

インタフェース設定および状態と、ifAdminStatusおよびifOperStatusの関係を以下に示します。

インタフェース設定

インタフェース状態

ifAdminStatus

ifOperStatus

shutdown

リンクダウン

down(2)

down(2)

shutdown

正常状態

down(2)

down(2)

no shutdown

リンクダウン

up(1)

down(2)

no shutdown

正常状態

up(1)

up(1)
5.3.1.4.5. ポートVLAN

VLANグループの設定を行ったインタフェースのMIBの値は以下のようになります。MIBはインタフェース単位となります。物理ポート単位のMIBはプライベートMIBでサポートしています。

Object

ifSpeed

同一VLANグループ内において各ポートの設定が異なる場合、最も速いインタフェーススピード

ifAdminStatus

インタフェース単位(no shutdownでup)

ifOperStatus

同一VLANグループ内の全ポートDown時にDown

5.3.2. SNMPバージョン

UNIVERGE IX-R/IX-V シリーズでは、SNMPv1, SNMPv2c, SNMPv3に対応しています。それぞれ、以下の機能に対応しています。

機能

SNMPv1

SNMPv2

SNMPv3

Get

Getnext

Getbulk

×

Trap

×

×

SNMPv2-Trap

×

Get/Getnext/Getbulkについては、SNMPマネージャからの要求がSNMPv1であればSNMPv1で、SNMPv2であればSNMPv2、SNMPv3であればSNMPv3で応答を返します。

SNMPマネージャからSNMPv1を使用し、SNMPv1ではサポートしていないMIBをアクセスしようとした場合は、そのオブジェクトがサポートされていない場合と同様な動作となります。Getの場合は、“No Such Name(2)”を返し、Getnextの場合は、次のアクセス可能なオブジェクトを返します。

SNMPv2およびSNMPv3で、獲得できるMIBのタイプは以下のとおりです。

SYNTAX

使用している主なオブジェクト

Counter64

ifXTableのifHCInOctetsなど

バージョンによって、対応しているエラーコードが異なります。SNMPv1, SNMPv2c, SNMPv3でサポートしているエラー種別は以下のとおりです。

  • SNMPv1のエラーコード

    エラーステータス

    エラーコード

    内容

    no Error

    0

    エラーがありません

    too Big

    1

    SNMPメッセージに応答が入りきりません

    no such Name

    2

    指定したオブジェクトが存在しません

    gen Err

    5

    受信したパケットにて異常を検出しました

  • SNMPv2cのエラーコード

    エラーステータス

    エラーコード

    内容

    no Error

    0

    エラーがありません

    too Big

    1

    SNMPメッセージに応答が入りきりません

    no such Name

    2

    指定したオブジェクトが存在しません

    gen Err

    5

    受信したパケットにて異常を検出しました

    no Access

    6

    アクセスできないオブジェクトです。

    Not Writable

    17

    セットできないオブジェクトです。

  • SNMPv3のエラーコード

    エラーステータス

    エラーコード

    内容

    no Error

    0

    エラーがありません

    too Big

    1

    SNMPメッセージに応答が入りきりません

    no such Name

    2

    指定したオブジェクトが存在しません

    gen Err

    5

    受信したパケットにて異常を検出しました

    no Access

    6

    アクセスできないオブジェクトです。

    authorization Error

    16

    認証に失敗しました。

    Not Writable

    17

    セットできないオブジェクトです。

Trapは設定したバージョンで送信します。ホストとコミュニティの組み合わせ毎にSNMPv1で送信するか、SNMPv2cで送信するかを指定することができます。

5.3.3. SNMPの設定

SNMPを使用した監視を行うためには、装置側にコミュニティ名とトラップ送信先の設定を事前に行うことが必要です。以下にその設定概要を示します。

SNMPを利用した監視を行わない場合は、設定は必要ありません。

5.3.3.1. SNMPの有効化

SNMPを使用した監視を行うために、SNMP機能を有効にする必要があります。

SNMPデータの転送(SNMPマネージャからのアクセス、トラップの送信)にIPv4/IPv6ともに使用可能です。有効化はIPv4/IPv6で別々に行うことができます。

SNMP設定を有効にすることで、SNMPv1, SNMPv2c, SNMPv3すべてが有効となります。いずれか1つのみ有効にすることはできません。

設定は以下のとおりです。

項目

説明

snmp-agent ip enable

SNMP(IPv4)の有効化

snmp-agent ipv6 enable

SNMP(IPv6)の有効化

注意

SNMPを有効にするとUDPの161番ポートが開放されるため、DOS攻撃などのセキュリティ上のリスクが生じます。

5.3.3.2. コミュニティ名の設定

コミュニティ名の設定を行います。

下記の手順にしたがって、設定を行ってください。

  1. アクセスを許可するSNMPマネージャを制限する

アクセスリストを使用して、アクセスを許可するSNMPマネージャを登録してください。制限する必要がなければ設定は不要です。アクセスリストはsrcアドレスのみ設定し、destはanyとしてください。

リスト 5.3.1 設定例
ip access-list <アクセスリスト名> permit ip src <SNMPマネージャアドレス> dest any
ipv6 access-list <アクセスリスト名> permit ip src <SNMPマネージャアドレス> dest any

  1. アクセスリストを指定する

アクセスリストによる制限を行う場合は、ここで登録します。

項目

説明

snmp-agent ip access-list

アクセスを許可するSNMPマネージャの設定(IPv4)

snmp-agent ipv6 access-list

アクセスを許可するSNMPマネージャの設定(IPv6)

  1. アクセスを許可するビュー名を制限する

特定のオブジェクトIDのみアクセスを許可したい場合に設定してください。通常設定する必要はありません。設定しない場合はすべてのオブジェクトのアクセスを許可します。

項目

説明

snmp-agent view

アクセス制限するビュー(ObjectID)の設定

  1. コミュニティ名を指定する

ビューによる制限を行う場合は、ここで登録します。

項目

説明

snmp-agent ip community

コミュニティの設定(IPv4)

snmp-agent ipv6 community

コミュニティの設定(IPv6)

コミュニティ名をtestとし、GigaEthernet2.0経由の10.0.0.1/32からifTable(1.3.6.1.2.1.2.2)のみアクセス可能とする場合の例を示します。

リスト 5.3.2 設定例
ip access-list snmp-manager permit ip src 10.0.0.1/32 dest any
!
snmp-agent view test-view 1.3.6.1.2.1.2.2
snmp-agent ip access-list snmp-manager
snmp-agent ip community test view test-view
!
interface GigaEthernet2.0
  ip address 10.0.0.254/24
  snmp-agent ip enable
  no shutdown

5.3.3.3. トラップ送信先の設定

トラップの送信先SNMPマネージャとして、送信先アドレスとコミュニティ名、送信SNMPバージョンを設定します。

項目

説明

snmp-agent ip trap

送信するトラップの選択(IPv4)

snmp-agent ip host

送信先SNMPマネージャの設定(IPv4)

snmp-agent ip trap-source

送信元インタフェースの設定(IPv4)

snmp-agent ipv6 trap

送信するトラップの選択(IPv6)

snmp-agent ipv6 host

送信先SNMPマネージャの設定(IPv6)

snmp-agent ipv6 trap-source

送信元インタフェースの設定(IPv6)

トラップの送信元アドレスの設定で、エージェントアドレス(Trap PDU Source Address Field)も任意に設定することができます。

IPv6を使用する場合、エージェントアドレスはIPv4アドレス形式となっています。エージェントアドレスを指定しない場合は、ルータID選択と同様の論理でエージェントアドレスが設定されます。IPv4アドレスが1つも設定されていない場合は、0.0.0.0が設定されます。

SNMPv2cで送信する場合は、エージェントアドレスは送信されません。

インタフェース単位にトラップの送信設定が可能です。これは、該当インタフェースのトラップの送信設定となります。トラップの送信はルーティング情報にしたがって出力されますので、該当インタフェースからトラップの送信設定を行う訳ではありません。

認証エラーのトラップを出力せず、GigaEthernet1.0のlink-up/downのトラップを送信しない設定の例を示します。

リスト 5.3.3 設定例
no snmp-agent ip trap com_pub snmp auth-fail
!
interface GigaEthernet1.0
  no snmp-agent ip trap com_pub link-status

5.3.3.4. トラップ送信タイマー設定

トラップの送信タイマーを変更することができます。

IPv4/IPv6共通となります。

項目

説明

snmp-agent trap-timeout

トラップ送信タイマー設定

5.3.3.5. SNMPメッセージサイズ設定

SNMPメッセージサイズを変更することができます。

項目

説明

snmp-agent message-size

SNMPメッセージサイズ設定

5.3.3.6. 設定例

リスト 5.3.4 設定例
snmp-agent ip community com_pub
snmp-agent ip host 192.168.1.1 com_pub
snmp-agent contact NEC
snmp-agent location Floor1
!
interface GigaEthernet2.0
  ip address 192.168.1.254/24
  snmp-agent ip enable
  no shutdown

5.3.3.7. グループの設定(SNMPv3)

ユーザーごとのMIBの参照範囲を設定可能にするため、MIBビューとユーザーをつなぐためのグループを作成することができます。グループは最大253件作成できます。

項目

説明

snmpv3 group

SNMPv3セキュリティグループの設定

グループには以下のパラメータを設定することができます。

  • 認証レベル

    グループに所属するユーザーが必要とするセキュリティレベルをnoauth/auth/privから設定できます。設定したレベルに満たないユーザーが所属する場合、そのユーザーはすべてのMIBオブジェクトに対してアクセスすることができず、すべてのMIBオブジェクトに関するトラップも発送されません。

    セキュリティレベルは以下のような包含関係で設定されることになります。たとえば、noauthを設定した場合、auth/privレベルのユーザーも条件を満たします。privを設定した場合、noauth/authレベルのユーザーは条件を満たしません。

    ../_images/05_remote2.svg

    図 5.3.2 包含関係

  • Readビュー

    所属ユーザーは設定されたMIBビューの範囲内でMIBを読み出すことができます。

    存在しないビュー名を設定することはできません。

    設定を省略した場合、ユーザーはすべてのMIBを読み出し可能となります。

  • Notifyビュー

    所属ユーザーにトラップ(PDUタイプがSNMPv2-TrapのSNMPパケット)を送信する際に、設定されたMIBビューの範囲内でのみMIBの通知を送信することができます。

    存在しないビュー名を設定することはできません。

    設定を省略した場合、ユーザーへすべてのMIBについてトラップにより通知可能となります。

  • アクセスリスト

    ユーザーの認証を許可/拒否するIPアドレスのアクセスリストを設定することができます。

    ユーザー名/パスワードが正しくても、アクセスリストで許可されないIPアドレスの場合は認証を拒否します。

    設定を省略した場合、IPアドレスの確認は行われません。

5.3.3.8. ユーザーの設定(SNMPv3)

USMに必要となるユーザー名および認証/暗号化アルゴリズムを設定することができます。

ユーザーのセキュリティレベルはユーザーの認証/暗号化アルゴリズムの設定に有無に応じて決定します。

“snmpv3 user”コマンドでは所属するグループの設定が必須となりますが、作成されていないグループ名に設定することはできないため「グループの設定」で先にグループの作成をしてください。

項目

説明

snmpv3 user

SNMPv3ユーザーの設定

認証の設定

暗号化の設定

セキュリティレベル

設定しない

設定しない

noauth

設定する

設定しない

auth

設定する

設定する

priv

認証/暗号化では以下のアルゴリズムをサポートしています。

項目

説明

認証アルゴリズム

  • MD5

  • SHA-1

  • SHA-224

  • SHA-256

  • SHA-384

  • SHA-512

暗号化アルゴリズム

  • DES

  • AES-128

noauth/authレベルのユーザーはデフォルトでは設定が正しい場合でも無条件で認証に失敗します。

noauth/authレベルのユーザーでの認証を許可する場合、以下の設定が必要です。

項目

説明

snmpv3 no-password enable

SNMPv3パスワード省略による認証の許可の設定

5.3.3.9. エンジンIDの設定(SNMPv3)

SNMPエンジンの識別、および暗号化の共通鍵生成に使われるエンジンIDを設定することができます。このエンジンIDはエンティティとは1対1の関係にあるため、1つのみ設定することができます。

マネージャ側がエンジンIDによりエージェントを識別する必要がない場合、エンジンIDはユーザーが任意の値を設定する必要はありません。

コマンド未設定の場合、エンジンIDは装置のGE0のMACアドレスをベースとした固定のエンジンIDが装置に設定されます。

現在のエンジンIDは”show snmp-agent statistics”コマンドで確認することができます。

項目

説明

snmpv3 engine-id

SNMPv3エンジンIDの設定

エンジンIDのフォーマットは以下になります。

項目

コマンド未設定

コマンド設定済み

1~4オクテット

80000077

80000077

5オクテット

03

04

6オクテット以降

GE0のMACアドレス

設定値(ASCIIコード)

5.3.3.10. トラップの設定(SNMPv3)

トラップ送信先のアドレス設定および送信するトラップの設定ができます。

  • トラップ送信先アドレスの設定

    ユーザーごとにトラップ送信先のIPアドレスを設定することができます。

    項目

    説明

    snmpv3 ip host

    SNMPv3トラップ送信先のIPアドレスの設定

    snmpv3 ipv6 host

    SNMPv3 IPv6用トラップ送信先のIPアドレスの設定

    存在しないユーザー名を指定することはできません。「ユーザーの設定」で先にユーザー名の作成をしてください。

  • 送信するトラップの選択

    ユーザー毎に送信可能なトラップの種別を設定することができます。

    項目

    説明

    snmpv3 trap

    SNMPv3トラップの設定

    存在しないユーザー名を指定することはできません。「ユーザーの設定」で先にユーザー名の作成をしてください。

5.3.3.11. 設定例(SNMPv3)

リスト 5.3.5 設定例
snmpv3 group admin_group priv
snmpv3 user admin_user admin_group auth md5 plain auth_pass priv des plain priv_pass
snmpv3 ip host 192.168.1.1 admin_user
!
interface GigaEthernet2.0
  ip address 192.168.1.254/24
  snmp-agent ip enable
  no shutdown

5.4. syslogによるログ情報監視

UNIVERGE IX-R/IX-V シリーズでは各機能で発生した事象のログ情報をsyslog機能によって監視することが出来ます。

ネットワークトラブルの解析に重要な情報を取得することができますので、なるべく設定するようにしてください。

5.4.1. syslog機能

syslog機能によって本装置の各機能ごとに指定した取得ログレベルのログ情報を採取し確認することができます。ログ情報は内部バッファに保存され、showコマンドにより保存されたログ情報が表示されます。

注釈

ログ情報には事象発生時刻が含まれますが、機能毎に時刻差分が発生することがあるためNTPによる時刻が必要となります。

5.4.1.1. syslogの設定

ログ情報の採取と保存は次のsyslogコマンドで設定します。

項目

説明

syslog enable <バッファサイズ>

ログ情報の採取と保存の有効化、および保存バッファサイズの設定

syslog function <機能名> <レベル>

ログ情報の採取対象とする機能と取得レベルの設定
リスト 5.4.1 設定例
syslog enable 1000000
syslog function all warn
syslog function ikev2 info

バッファサイズの指定単位はバイト数になります。1行あたり80バイト程度が目安となります。

指定可能な機能の種類やレベルの設定については後述の項を参照してください。設定によっては膨大な数のログが取得されることがあり、性能が激しく劣化する可能性があります。

機能名allを指定した場合はすべての機能が対象となります。全機能指定allと異なるレベルで各機能個別のsyslog functionまたはno syslog functionが設定された場合、コンフィグ上にはallの設定と個別設定したコマンドの両方が表示されます。この場合のログ情報の出力について、設定された個別機能以外はallの設定で動作します。

リスト 5.4.2 設定例:IPv4機能のみdebugレベルで出力、それ以外すべてwarnレベルで出力
syslog function all warn
syslog function ipv4 debug
リスト 5.4.3 設定例:IPv4機能のみsyslog出力なし、それ以外すべてwarnレベルで出力
syslog function all warn
no syslog function ipv4

5.4.1.2. 指定可能な機能と取得レベル

ログ情報の収集対象として指定可能な機能は以下のようになります。

機能名

説明

補足

all

全機能

個別指定されない機能についてのデフォルト設定となります。

aaa

Authentication Authorization and Accounting

acl

アクセスリスト

apa

アプリケーション解析

arp

ARP

bgp4

BGP

cmd-act

コマンドアクション

ddns

ダイナミックDNS

dhcp6

IPv6 DHCP

dhcp4c

IPv4 DHCPクライアント

dhcp4s

IPv4 DHCPサーバー

dhcp4r

IPv4 DHCPリレーエージェント

dns

DNS

※1

dot1x

IEEE802.1x

dqos

ダイナミック QoS

eap

Extensible Authentication Protocol

env

Environment Monitor

電圧、温度など

ether

イーサネット

gre

トンネル

http-sv

HTTP Server

icmp4

IPv4 ICMP

icmp6

IPv6 ICMP

ids

Intrusion Detection System

ikev1

IKEv1

ikev2

IKEv2

ip-flt

IPトラフィックフィルタ

ipsec

IPsec

ipv4

IPv4

※1

ipv6

IPv6

irb

ブリッジ

ktsa

キーテレフォンシステム連携機能

l2tpv2

L2TPv2

ldf

ループガード機能

linkmgr

リンクマネージャ機能

macacl

MACアクセスリスト

macauth

MAC認証

mac-flt

MACフィルタ

map-e

MAP-E

mobile

5Gモバイル通信

nat

NAT/NAPT

netmon

ネットワークモニタ

ngna

データコネクトSIPアクセス

ngns

データコネクトセッション

ngnt

データコネクトトンネル

nhrp

NHRP

nm

NetMeister

nm-dnssec

NetMeister DNS-Security

ntp

SNTP

ospfv2

OSPFv2

ospfv3

OSPFv3

pbr

ポリシールーティング

pdns

プロキシDNS

※1

ppp

PPP

pppoe

PPPoE

qos

QoS

radius-s

RADIUS サーバー

radius-c

RADIUS クライアント

rip

RIPv2

ripng

RIPng

rtmap

ルートマップ

scp

SCPクライアント

snmp

SNMP

ssh-c

SSHクライアント

ssh

SSHサーバー

svc-edge

マルチベンダ管理

system

システム

個別機能に含まれないログ情報に対する設定となります。

tcp

TCP

telnet

Telnetサーバー

telnet-c

Telnetクライアント

udp

UDP

usb

USB

url-flt

URLフィルタリング機能

url-list

URLリスト

url-offld

URLオフロード機能

v6pv

IPv6国内標準プロビジョニング

vrrp

VRRP

wol

Wake on LAN

ztp

ZTP機能

ix-v

IX-V ライセンス

注釈

※1:VRF-Lite機能利用時は、一部のログ情報のメッセージの先頭にVRF名が出力されます。

ログ情報の収集対象として指定可能なレベルは以下のようになります。

レベル

意味

error

エラー状態レベル

warn

警告状態レベル

notice

注意レベル

info

情報レベル

debug

デバッグレベル

レベル指定は以下のような包含関係で設定されることになります。たとえば、warnレベルを設定すると、errorレベルのログ情報も同時に収集対象となります。

../_images/05_remote3.svg

図 5.4.1 包含関係

5.4.1.3. 注意事項

debugレベルはパケットトレースを行うものが多いので、運用時には表示量が多く性能が激しく劣化することがありますので注意してください。

特に SSH 中に event-terminal start コマンドを使用してロギング情報を表示させる場合に、syslog func ip debug を行うと、
ロギングを表示するためのパケットに反応して、ロギングが次々と表示されるため、正常に動作しなくなります。

5.4.2. ログ情報の出力

保存されたログ情報は、以下の方法で出力できます。

  • コマンドによる出力

  • syslogによる出力

5.4.2.1. コマンドによる出力

以下のコマンドで、ログ情報をターミナル画面やUSBメモリに出力できます。

項目

説明

show syslog

取得ログ情報を表示

copy syslog <USBメモリ>

取得ログ情報をUSBメモリのファイルに書き込み

5.4.2.2. syslogによる出力

UNIVERGE IX-R/IX-V シリーズでは、ログ情報をsyslogサーバーへ転送することで、syslogサーバー側にログ情報を保存することができます。

これにより、syslogサーバー側でのデータを基に、ネットワークトラブル等の解析ができるようになります。ただし、あらかじめsyslogの設定を実施しておく必要があります。

syslogは、次のコマンドにより設定することができます。送信先サーバーを複数設定することができます。 syslog は、event-terminal コマンドと独立して動作しますので、syslog のみ使用する場合は、event-terminal コマンドによる開始は不要 です。

項目

説明

syslog facility

送信するファシリティ設定

syslog ip host

送信先IPv4 syslogサーバーの設定

syslog ipv6 host

送信先IPv6 syslogサーバーの設定

syslog ip source

送信元IPv4アドレスの設定

syslog ipv6 source

送信元IPv6アドレスの設定

syslogのメッセージ部分に内容が出力されます。

ファシリティは、UNIVERGE IX-R/IX-V シリーズからsyslogパケットを送信する際に付加するラベルのようなもので、syslogサーバー側で監視する際のログ情報種別を判断するために使用します。デフォルトでは、local0(16)が割り当てられています。

すべてのログ情報に対して、ただ1つのファシリティが選択可能です。設定できるファシリティは以下です。

ファシリティ

送信されるファシリティコード番号

local0

16

local1

17

local2

18

local3

19

local4

20

local5

21

local6

22

local7

23

セビリティ(重要度)については、ロギングレベル設定と以下のように対応します。

セビリティ

error

3

warn

4

notice

5

info

6

debug

7

注釈

  • syslogは、イベント発生時に送信されます。syslog送信を停止している状態でのログ情報最大保持件数は、0件です。

  • infoやdebugを利用する場合は、syslogパケット送信ログでsyslogが生成されるなどによる大量パケット送信に注意してください。

5.4.3. ログ情報の出力制御

Ver.1.4以降、syslog functionコマンドで設定したレベル内で表示不要なログの出力を抑止することができます。
また、syslog functionコマンドで設定したレベル外のログを追加で出力することができます。

5.4.3.1. ログ情報の出力抑止

機能名とログ番号を設定することでログの出力を抑制することができます。

項目

説明

syslog function <機能名> exclude <ログ番号>
指定したログ番号のメッセージ表示を無効
※ログ番号は複数設定可能
リスト 5.4.4 設定例
 ipv4 - 006 (debug レベル) と ipv4 - 021(warn レベル)を出力せず、debug レベル以下の IP ログを出力する場合

 (config)# syslog enable
 (config)# syslog function ipv4 debug
 (config)# syslog function ipv4 exclude 6 21

5.4.3.2. ログ情報の出力追加

機能名とログ番号を設定することでログを追加出力することができます。

項目

説明

syslog function <機能名> include <ログ番号>
指定したログ番号のメッセージ表示を有効
※ログ番号は複数設定可能
リスト 5.4.5 設定例
warn レベルの IP ログの出力と、ipv4 - 006 (debug レベル) を出力する場合

(config)# syslog enable
(config)# syslog function ipv4 warn
(config)# syslog function ipv4 include 6

5.4.3.3. 設定の追加

既に設定がある状態で、出力抑止(exclude) / 出力追加(include)した場合、設定は上書きされます。

ログ番号を重複して指定した場合、重複している番号はまとめて表示します。

リスト 5.4.6 設定の追加
【動作例 1】
既に syslog function ipv4 exclude 1 2 3 が設定済みの状態で
"syslog function ipv4 exclude 7 8 15 20"を再設定した場合。

-再設定前-
(config)# show running-config
      :
syslog function ipv4 exclude 1 2 3

-再設定後-
(config)# syslog functon ipv4 exclude 7 8 15 20
(config)# show running-config
      :
syslog function ipv4 exclude 7 8 15 20

【動作例 2】
重複するログ番号を設定した場合。

(config)# syslog function ipv4 include 1 2 2 3 3 3
(config)# show running-config
      :
syslog function ipv4 include 1 2 3

なお、syslog function all コマンドでは出力抑止(exclude) / 出力追加(include)の設定をすることはできません。

5.4.3.4. 設定の削除

設定を削除する場合、no syslog function コマンドのオプションの有無で動作が異なります

リスト 5.4.7 設定の削除
【設定】
syslog function arp warn
syslog function arp include 1 2 3
syslog sunction arp exclude 4 5 6
syslog function ipv4 warn
syslog function ipv4 include 1 2 3
syslog function ipv4 exclude 4 5 6

【動作例 1】
no syslog function <機能名> コマンドを実行した場合、
該当する機能名のすべての設定を削除します。

(config)# no syslog function ipv4
(config)# show running-config
     :
syslog function arp warn
syslog function arp include 1 2 3
syslog function arp exclude 4 5 6

【動作例 2】
no syslog function <機能名> <レベル>コマンドを実行した場合、
syslog function <機能名> <レベル>コマンドの設定を削除します。

(config)# no syslog function ipv4 warn
(config)# show running-config
     :
syslog function arp error (※ 設定されたレベルと異なるレベルを指定した場合も指定した機能の設定を削除します。)
syslog function arp include 1 2 3
syslog function arp exclude 4 5 6
syslog function ipv4 include 1 2 3
syslog function ipv4 exclude 4 5 6


【動作例 3】
no syslog function <機能名> include(exclude)コマンドを実行した場合、
該当する機能名の include(exclude)設定を削除します。

(config)# no syslog function ipv4 include
(config)# show running-config
      :
syslog function arp warn
syslog function arp include 1 2 3
syslog function arp exclude 4 5 6
syslog function ipv4 warn
syslog function ipv4 exclude 4 5 6

※ ログ番号を指定して設定を削除することはできません。

なお、no syslog function all コマンドを実行した場合、syslog function の設定をすべて削除します

5.4.3.5. 注意事項

  • ログ番号ごとのログ内容はバージョンによって変更される可能性があります。

  • 1行あたり文字数 511 文字(改行含む)以上になるコンフィグは投入できません。

  • 上記文字数まで設定を投入した状態で、no コマンドによるコンフィグ全削除は数を超えることになる為投入できなくなります。

  • 同じ機能名のログ番号を 出力抑止(exclude)と 出力追加(include)の両方に設定した場合、抑止(exclude)処理が動作します。

  • 機能に関わらず1-500でログ番号の指定が可能です。

  • 未定義のログ番号も指定可能となっており、ログの抑止・追加は行わないがshow running-config/startup-configには表示されます。

5.4.4. ターミナル画面への出力

ログ情報をリアルタイムにターミナル画面へ出力します。

コマンド

説明

event-terminal

取得ログのターミナル画面への直接出力
リスト 5.4.8 動作例
(config)# event-terminal start
2025-06-20T15:28:09.006913+09:00 env - 007 - Environment monitor: 5.0 volt line is 5.026V.
2025-06-20T15:28:09.006920+09:00 env - 008 - Environment monitor: Temperature is 47.0C.
      :
(config)# event-terminal stop
開始の設定(start)を行うと、リアルタイムにログ情報が表示されます。
停止設定(stop)を行うとログ情報の表示は停止します。
ログ情報の表示の状態でも、他のコマンドを実行することが可能です。
ただし、show コマンド実行時にログ情報が表示された場合、コマンド結果表示途中にログ情報が表示される場合があります。
また、大量のログ情報が表示された場合は、一部のログ情報が表示されない場合があります。

5.4.5. syslog送信抑止設定

syslogが大量に送信された場合、送信が抑止されます。

  • Ver.1.4以前

1秒間あたり平均10個までに制限され、超えた分は最大100個キューイングが行われ、次回以降に送信されます。

  • Ver.1.5以降

デフォルトではレベル毎に、1秒間あたり平均10個までに制限され、超えた分は廃棄されます。また、送信数が平均に満たない場合は、その分をバッファとして最大100個まで蓄積します。
蓄積したバッファ分は平均の送信数にかかわらず、一気に送信(バースト送信)が可能となります。
設定コマンドは以下のとおりです。

項目

説明

syslog rate-limit

syslog 送信抑止設定(Ver.1.5以降)
リスト 5.4.9 設定例
・error レベルのパケットは無制限に送信される。
・warn レベルのパケットは1秒間あたり平均15個、バースト送信で最大200個まで送信される。
・notice レベルのパケットは1秒間あたり平均10個、バースト送信で最大100個まで送信される。(rate, burstを省略した場合、デフォルト値が設定される)
・info レベルのパケットは1秒間あたり平均20個、バースト送信で最大20個まで送信される。(burstを省略した場合、rateと同じ値が設定される)
・debug レベルのパケットは送信されない。

no syslog rate-limit error
syslog rate-limit warn rate 15 burst 200
syslog rate-limit notice
syslog rate-limit info rate 20
syslog rate-limit debug rate 0 burst 0

5.5. Telnetクライアントを利用したリモートアクセス

UNIVERGE IX-R/IX-V シリーズでは、Telnetクライアント機能に対応しています。

Telnetクライアント機能を利用して遠隔のTelnetサーバーへリモートアクセスができます。

注意

UNIVERGE IX-V シリーズでは、Telnetクライアント機能は利用できません。
また、Telnetは通信が暗号化されないため、盗聴などのセキュリティ上のリスクが生じます。

5.5.1. Telnetクライアントの設定

グローバルコンフィグモードでクライアント機能を有効に設定することで利用することができます。デフォルトでは機能が無効になっていますので、意図しないTelnetクライアントによるリモートアクセスを防止することが可能です。

Telnetクライアントの設定は次のコマンドを使用します。

項目

説明

telnet-client enable

Telnetクライアント機能の有効化

5.5.2. Telnetクライアントの起動

EXECモードでtelnetコマンドを使用してTelnetクライアントを起動します。宛先はIPv4アドレス、IPv6アドレス、FQDNで指定することができます。

リスト 5.5.1 表示例
Router# telnet 192.168.1.254
Trying 192.168.1.254  ...
Connected to 192.168.1.254

Entering character mode
Escape character is '^]'.

login:

Trying表示中の状態では、Ctrl+C を入力することでTelnetサーバーへの接続を中断します。

注釈

  • localhost、自局アドレス、リンクローカルアドレスへの Telnet 接続についてはサポートしておりません。

  • NetMeisterの任意コマンドの実行、Webコンソールの任意コマンドの実行、スケジューラによるコマンド実行では、telnetコマンドは実行できません。

  • Telnetクライアント接続中はログインタイマーは一時停止し、接続終了後に0から再開します。

5.5.3. Telnet接続の終了

Telnetサーバーへ接続している状態では、exitコマンド等によりTelnet接続を終了します。

注釈

接続先のTelnetサーバーにより終了するためのコマンド、操作等は異なります。

5.5.4. エスケープ・シーケンス

Telnetサーバーへ接続している状態では、Ctrl+] を入力することで利用可能なコマンド一覧を表示し、コマンド入力待ち状態になります。

リスト 5.5.2 表示例
Console escape. Commands are:

 e      exit telnet

この状態で e を入力することでTelnetクライアントを終了します。 それ以外のキーを入力することで continuing... を表示し、通常状態へ戻ります。

リスト 5.5.3 表示例:eキーを入力した場合
Console escape. Commands are:

 e      exit telnet
Connection closed.

Router#
リスト 5.5.4 表示例:それ以外キーを入力した場合
Console escape. Commands are:

 e      exit telnet
continuing...

5.5.5. Telnetクライアント状態の確認方法

show telnet-client statusにより、接続中のTelnetクライアントの状態を確認できます。

リスト 5.5.5 表示例
Router(config)# show telnet-client status
Client Users:
  ID 1
    User   : user1
    Server : foo.bar
    VRF    : -
  ID 3
    User   : user1
    Server : 192.168.1.254
    VRF    : -
  ID 4
    User   : user2
    Server : 2001:db8::1
    VRF    : -
  ID 9
    User   : user3
    Server : 192.168.1.254
    VRF    : vrf1
リスト 5.5.6 表示例:接続中のユーザーがない場合
Router(config)# show telnet-client status
Client Users:
  no user

IX-Rから Telnet サーバーへの意図しないユーザーのクライアントが残っているとわかった場合には、clear telnet-client userにより強制切断することができます。 IDにはshow telnet-client statusで確認した意図しないユーザーのIDを指定します。

リスト 5.5.7 表示例
Router(config)# clear telnet-client user id 1

すべてのクライアントを強制終了する場合にはallを指定します。

リスト 5.5.8 表示例
Router(config)# clear telnet-client user all

5.5.6. Telnetネゴシエーション

Telnetサーバーへ接続した後、サーバーからネゴシエーション要求を受信した場合に応答を送信します。

サポートしているオプションは次のとおりです。 サポートしているオプションであってもサーバーから受信していないオプションをクライアントから送ることはありません。

  • Echo

  • Suppress Go Ahead

  • Terminal Type

  • Window Size

注釈

Telnetクライアント起動後にウィンドウサイズを変更しても、変更後のウィンドウサイズはサーバーへ送信されません。

5.6. SSHクライアントを利用したリモートアクセス

UNIVERGE IX-R/IX-V シリーズでは、SSHクライアント機能に対応しています。

SSHクライアント機能を利用して遠隔のSSHサーバーへリモートアクセスができます。

5.6.1. SSHクライアントの設定

グローバルコンフィグモードでクライアント機能を有効に設定することで利用することができます。デフォルトでは機能が無効になっていますので、意図しないSSHクライアントによるリモートアクセスを防止することが可能です。

SSHクライアントの設定は次のコマンドを使用します。

項目

説明

ssh-client enable

SSHクライアント機能の有効化

5.6.2. SSHクライアントの起動

EXECモードでsshコマンドを使用してSSHクライアントを起動します。宛先はIPv4アドレス、IPv6アドレス、FQDNで指定することができます。

注釈

  • SSHログイン時に使用する、暗号化、MAC、鍵交換の各アルゴリズムについては使用可能なものから自動的に指定され、特定のアルゴリズムを明示的に指定することはできません。

  • localhost、自局アドレス、IPv6リンクローカルアドレスへの SSH接続についてはサポートしておりません。

  • NetMeisterの任意コマンドの実行、Webコンソールの任意コマンドの実行、スケジューラによるコマンド実行では、sshコマンドは実行できません。

5.6.3. SSH接続の開始

SSHクライアント機能として、ログイン中の無操作タイムアウトによる自動切断は行われません。 ログインタイマ―(terminal timeout)については、SSH接続の開始時に停止し、SSH接続中は動作しません。 SSH接続の終了時に0から再開します。

注釈

  • SSHクライアント起動後にウィンドウサイズ変更を行っても、画面表示は追従しません。

  • SSHクライアント機能のユーザー認証はパスワード認証にのみ対応しております。秘密鍵認証には対応しておりません。

  • SSHサーバー側が接続要求時にホスト鍵の配布を行わない(事前共有型)設定の場合、SSH 接続を行うことはできません。

5.6.4. SSH接続中のエスケープ・シーケンス

SSHサーバーへ接続している状態では、改行直後の行の先頭で ~ を入力することでエスケープシーケンス入力待ち状態になります。 この時点では、入力した ~ は画面上に表示されません。

リスト 5.6.1 表示例
SSHSV#

この状態で . を入力することでSSHクライアントを終了します。 ~BC?VvCtrl+ZR#& を入力した場合は画面に表示されず、何も行いません。 それ以外のキーを入力することでそれまで入力した文字列を表示し、通常文字入力に戻ります。

リスト 5.6.2 表示例:.キーを入力した場合
SSH-SV# Connection to 192.168.1.254 closed.
Router#
リスト 5.6.3 表示例:~キーを入力した場合
SSH-SV#
リスト 5.6.4 表示例:それ以外キー(例としてA)を入力した場合
SSH-SV#~A

注釈

ユーザー端末とIX-R/IX-Vの間の接続方法によっては、入力したエスケープシーケンスがIX-R/IX-VのSSHクライアントまで届かない場合があります。その場合、「~」はターミナルソフトの仕様に従って入力してください。
(例) CloudShellを利用してIX-Vに接続している場合、「~」入力はCloudShellに対するエスケープシーケンスとして処理されてしまいます。

5.6.5. SSH接続の終了

SSHサーバーへ接続している状態では、exitコマンド等によりSSH接続を終了します。

注釈

接続先のSSHサーバーにより終了するためのコマンド、操作等は異なります。

5.6.6. 接続先SSHサーバーのホスト鍵の管理

SSHサーバーへの初回接続時にサーバーのホスト鍵を保存し、次の接続時にサーバーの検証を行うことができます。

自装置に保存済のホスト鍵は show ssh-client host-key コマンドで確認することができます。

接続先のSSHサーバーのホスト鍵が更新された場合など、SSHサーバーのホスト鍵が自装置に保存されているホスト鍵と一致しない場合、接続先の正当性を確認できないため、接続を中断します。

その場合は、自装置に保存されているホスト鍵を clear ssh-client host-key コマンドで削除することで、再接続が可能になります。

5.6.7. SSHクライアント状態の確認方法

show ssh-client statusにより、接続中のSSHクライアントの状態を確認できます。

リスト 5.6.5 表示例
Router(config)# show ssh-client status
Client Users:
  ID 1
    User   : user1
    Server : foo.bar
    VRF    : -
  ID 3
    User   : user1
    Server : 192.168.1.254
    VRF    : -
  ID 4
    User   : user2
    Server : 2001:db8::1
    VRF    : -
  ID 9
    User   : user3
    Server : 192.168.1.254
    VRF    : vrf1
リスト 5.6.6 表示例:接続中のユーザーがない場合
Router(config)# show ssh-client status
Client Users:
  no user

IX-Rから SSH サーバーへの意図しないユーザーのクライアントが残っているとわかった場合には、clear ssh-client userにより強制切断することができます。 IDにはshow ssh-client statusで確認した意図しないユーザーのIDを指定します。

リスト 5.6.7 表示例
Router(config)# clear ssh-client user id 1

すべてのクライアントを強制終了する場合にはallを指定します。

リスト 5.6.8 表示例
Router(config)# clear ssh-client user all

5.6.8. 仕様

項目

説明

対応バージョン

SSHv2

暗号化アルゴリズム
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com

MACアルゴリズム
hmac-sha1
hmac-sha2-256
hmac-sha2-512
hmac-md5
hmac-sha2-256-etm@openssh.com
hmac-sha2-512-etm@openssh.com

鍵交換アルゴリズム
diffie-hellman-group14-sha1
diffie-hellman-group14-sha256
diffie-hellman-group16-sha512
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
curve25519-sha256
curve25519-sha256@libssh.org

公開鍵アルゴリズム
ssh-ed25519
ssh-rsa
ecdsa-sha2-nistp256
ecdsa-sha2-nistp384
ecdsa-sha2-nistp512