目次
コンソール ポート、Telnet、および SSH の処理
Cisco ASR 1000 シリーズ ルータのコンソール ポートの概要
コンソール ポートの処理について
Cisco ASR 1000 シリーズ ルータの Telnet および SSH について
持続性 Telnet および持続性 SSH の概要
コンソール ポートのトランスポート マップの設定
例
持続性 Telnet の設定
前提条件
例
持続性 SSH の設定
例
コンソール ポート、SSH、および Telnet の処理設定の表示
重要事項および制約事項
Cisco ASR 1000 シリーズ ルータのコンソール ポートの概要
Cisco ASR 1000 シリーズ ルータ上のコンソール ポートは、EIA/TIA-232 非同期、フロー制御なしのシリアル接続で、コネクタは RJ-45 コネクタを使用します。コンソール ポートはルータへのアクセスに使用され、ルート プロセッサ(RP)の前面パネルに位置しています。
コンソール ポートを使用したルータへのアクセスについては、を参照してください。
コンソール ポートの処理について
コンソール ポートを使用してルータにアクセスすると、デフォルトで自動的に IOS コマンドライン インターフェイスに導かれます。
コンソール ポートを通じてルータにアクセスするとき、IOS CLI に接続する前にブレーク信号を送信すると(ブレーク信号を送信するには、Ctrl+C キーまたは Ctrl+Shift+6 キーを押すか、Telnet プロンプトで send break コマンドを入力します )、非 RPIOS サブパッケージにアクセスできる場合、デフォルトで診断モードに導かれます。
これらの設定を変更するには、コンソール ポートに設定したトランスポート マップをコンソール インターフェイスに適用します。
持続性 Telnet および持続性 SSH の概要
従来のシスコ ルータでは、IOS 障害が発生した場合に Telnet または SSH を使用してルータにアクセスできませんでした。従来のシスコ ルータで Cisco IOS の障害が発生した場合、ルータにアクセスする方法はコンソール ポートを介する方法しかありません。同様に、持続性 Telnet または持続性 SSH を使用しない Cisco ASR 1000 シリーズ ルータ上のすべてのアクティブな IOS プロセスで障害が発生した場合は、コンソール ポート経由でしかルータにアクセスできません。
ただし、持続性 Telnet または持続性 SSH を使用すると、ユーザは管理イーサネット インターフェイスの着信 Telnet トラフィックまたは SSH トラフィックの処理を定義するトランスポート マップを設定できます。数多くの設定オプションの中で、トランスポート マップは、すべてのトラフィックが IOS CLI や診断モードに導かれるように設定したり、またはユーザが IOS 仮想端末(vty)回線が使用可能になるのを待機している間にブレーク信号を送信すると、vty 回線が使用可能になるまで待機してから、ユーザを診断モードに導くように設定することができます。Telnet または SSH を使用して診断モードにアクセスする場合、アクティブな IOS プロセスがなくても、この Telnet 接続または SSH 接続は使用可能です。つまり、持続性 Telnet および持続性 SSH には、IOS プロセスが非アクティブな場合に診断モード経由でルータにアクセスできる機能が導入されています。診断モードについては、を参照してください。
持続性 Telnet または持続性 SSH トランスポート マップを使用して設定できるその他の各種オプションについては、「持続性 Telnet の設定」および「持続性 SSH の設定」を参照してください。
コンソール ポートのトランスポート マップの設定
このタスクでは、Cisco ASR 1000 シリーズ ルータ上のコンソール ポート インターフェイスにトランスポート マップを設定する方法について説明します。
手順の概要
1.
(必須) enable
2. (必須) configure terminal
3. (必須) transport-map type console transport-map-name
4. (必須) connection wait [ allow interruptible | none { disconnect }]
5. (任意) banner [ diagnostic | wait ] banner-message
6. (必須) exit
7. (必須) transport type console console-line-number input transport-map-name
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
transport-map type console transport-map-name
Router(config)# transport-map type console consolehandler |
コンソール接続を処理するためのトランスポート マップを作成して名前を付け、トランスポート マップ コンフィギュレーション モードを開始します。 |
ステップ 4 |
connection wait [ allow interruptible | none ]
Router(config-tmap)# connection wait none |
コンソール接続を処理する方法を、このトランスポート マップで指定します。 • allow interruptible :コンソール接続は IOS vty 回線が使用可能になるのを待機します。また、ユーザは IOS vty 回線が使用可能になるのを待機しているコンソール接続に割り込むことにより、診断モードを開始できます。これはデフォルトの設定です。
(注) Ctrl+C キーまたは Ctrl+Shift+6 キーを入力すると、ユーザは待機中の接続に割り込むことができます。
• none :コンソール接続はただちに診断モードを開始します。 |
ステップ 5 |
banner [diagnostic | wait] banner-message
Router(config-tmap)# banner diagnostic X Enter TEXT message. End with the character 'X'. --Welcome to Diagnostic Mode-- X Router(config-tmap)# |
(任意)診断モードを開始しているユーザ、またはコンソールのトランスポート マップ設定によって IOS vty 回線を待機しているユーザに表示するバナー メッセージを作成します。 • diagnostic :コンソールのトランスポート マップ設定により、診断モードに導かれたユーザに表示するバナー メッセージを作成します。 • wait :IOS vty が使用可能になるのを待機しているユーザに表示するバナー メッセージを作成します。 • banner-message :同じデリミタで開始および終了するバナー メッセージ。 |
ステップ 6 |
exit
Router(config-tmap)# exit |
トランスポート マップ コンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードを再開します。 |
ステップ 7 |
transport type console console-line-number input transport-map-name
Router(config)# transport type console 0 input consolehandler |
トランスポート マップで定義された設定をコンソール インターフェイスに適用します。 このコマンドの transport-map-name は、 transport-map type console コマンドで定義された transport-map-name と一致する必要があります。 |
例
次の例では、コンソール ポート アクセス ポリシーを設定するトランスポート マップが作成され、コンソール ポート 0 に付加されます。
Router(config)# transport-map type console consolehandler
Router(config-tmap)# connection wait allow interruptible
Router(config-tmap)# banner diagnostic X
Enter TEXT message. End with the character 'X'.
Welcome to diagnostic mode
Router(config-tmap)# banner wait X
Enter TEXT message. End with the character 'X'.
Router(config-tmap)# exit
Router(config)# transport type console 0 input consolehandler
持続性 Telnet の設定
このタスクでは、Cisco ASR 1000 シリーズ ルータで持続性 Telnet を設定する方法について説明します。
前提条件
Cisco ASR 1000 シリーズ ルータ上の IOS vty 回線にアクセスする持続性 Telnet の場合、vty 回線にローカル ログイン認証が設定されている必要があります(回線コンフィギュレーション モードで login コマンド)。ローカル ログイン認証が設定されていない場合、Telnet 接続で IOS にアクセスして、トランスポート マップが適用された管理イーサネット インターフェイスに接続できません。ただし、この場合でも、診断モードにはアクセスできます。
手順の概要
1. (必須) enable
2. (必須) configure terminal
3. (必須) transport-map type persistent telnet transport-map-name
4. (必須) connection wait [ allow { interruptible } | none { disconnect }]
5. (任意) banner [ diagnostic | wait ] banner-message
6. (必須) transport interface GigabitEthernet 0
7. (必須) exit
8. (必須) transport type persistent telnet input transport-map-name
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
transport-map type persistent telnet transport-map-name
Router(config)# transport-map type persistent telnet telnethandler |
持続性 Telnet 接続を処理するためのトランスポート マップを作成して名前を付け、トランスポート マップ コンフィギュレーション モードを開始します。 |
ステップ 4 |
connection wait [ allow { interruptible }| none { disconnect }]
Router(config-tmap)# connection wait none |
このトランスポート マップを使用して持続性 Telnet 接続を処理する方法を指定します。 • allow :Telnet 接続では、IOS vty 回線が使用可能になるのを待機し、割り込みがあると、ルータとの接続を終了します。 • allow interruptible :Telnet 接続は IOS vty 回線が使用可能になるのを待機します。また、ユーザは IOS vty 回線が使用可能になるのを待機している Telnet 接続に割り込むことにより、診断モードを開始できます。これはデフォルトの設定です。
(注) Ctrl+C キーまたは Ctrl+Shift+6 キーを入力すると、ユーザは待機中の接続に割り込むことができます。
• none :Telnet 接続はただちに診断モードを開始します。 • none disconnect :Telnet 接続は IOS vty 回線を待機せず、診断モードを開始しません。そのため、IOS で vty 回線が即時に使用可能にならなければ、すべての Telnet 接続が拒否されます。 |
ステップ 5 |
banner [diagnostic | wait] banner-message
Router(config-tmap)# banner diagnostic X Enter TEXT message . End with the character 'X'. --Welcome to Diagnostic Mode-- X Router(config-tmap)# |
(任意)診断モードを開始しているユーザ、または持続性 Telnet 設定によって IOS vty 回線を待機しているユーザに表示するバナー メッセージを作成します。 • diagnostic :持続性 Telnet 設定により、診断モードに導かれたユーザに表示するバナー メッセージを作成します。 • wait :vty 回線が使用可能になるのを待機しているユーザに表示するバナー メッセージを作成します。 • banner-message :同じデリミタで開始および終了するバナー メッセージ。 |
ステップ 6 |
transport interface gigabitethernet 0
Router(config-tmap)# transport interface gigabitethernet 0 |
管理イーサネット インターフェイス(インターフェイス gigabitethernet 0)に、トランスポート マップ設定を適用します。 持続性 Telnet は、Cisco ASR 1000 シリーズ ルータ上の管理イーサネット インターフェイスだけに適用できます。管理イーサネット インターフェイスにトランスポート マップを適用する前に、この手順を実行する必要があります。 |
ステップ 7 |
exit
Router(config-tmap)# exit |
トランスポート マップ コンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードを再開します。 |
ステップ 8 |
transport type persistent telnet input transport-map-name
Router(config)# transport type persistent telnet input telnethandler |
トランスポート マップで定義された設定を管理イーサネット インターフェイスに適用します。 このコマンドの transport-map-name は、 transport-map type persistent telnet コマンドで定義された transport-map-name と一致する必要があります。 |
例
次の例では、トランスポート マップの設定によってすべての Telnet 接続が、IOS vty 回線が使用可能になるまで待機してルータに接続します。また、ユーザはこのプロセスに割り込みを行って、診断モードを開始できます。この設定は管理イーサネット インターフェイス(インターフェイス gigabitethernet 0)に適用されています。
また、診断バナーと待機バナーも設定されます。
transport type persistent telnet input コマンドが入力され、持続性 Telnet がイネーブルになると、トランスポート マップがインターフェイスに適用されます。
Router(config)# transport-map type persistent telnet telnethandler
Router(config-tmap)# connection wait allow interruptible
Router(config-tmap)# banner diagnostic X
Enter TEXT message. End with the character 'X'.
--Welcome to Diagnostic Mode--
Router(config-tmap)# banner wait X
Enter TEXT message. End with the character 'X'.
--Waiting for IOS Process--
Router(config-tmap)# transport interface gigabitethernet 0
Router(config-tmap)# exit
Router(config)# transport type persistent telnet input telnethandler
持続性 SSH の設定
このタスクでは、Cisco ASR 1000 シリーズ ルータ上に持続性 SSH を設定する方法について説明します。
手順の概要
1. (必須) enable
2. (必須) configure terminal
3. (必須) transport-map type persistent ssh transport-map-name
4. (必須) connection wait [ allow { interruptible } | none { disconnect }]
5. (必須) rsa keypair-name rsa-keypair-name
6. (任意) authentication-retries number-of-retries
7. (任意) banner [ diagnostic | wait ] banner-message
8. (任意) time-out timeout-interval-in-seconds
9. (必須) transport interface GigabitEthernet 0
10. (必須) exit
11. (必須) transport type persistent ssh input transport-map-name
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
transport-map type persistent ssh transport-map-name
Router(config)# transport-map type persistent ssh sshhandler |
持続性 SSH 接続を処理するためのトランスポート マップを作成して名前を付け、トランスポート マップ コンフィギュレーション モードを開始します。 |
ステップ 4 |
connection wait [ allow { interruptible }| none { disconnect }]
Router(config-tmap)# connection wait allow interruptible |
持続性 SSH 接続を処理する方法を、このトランスポート マップで指定します。 • allow :SSH 接続は、vty 回線が使用可能になるのを待機し、割り込みがあると、ルータとの接続を終了します。 • allow interruptible :SSH 接続は vty 回線が使用可能になるのを待機します。また、ユーザは vty 回線が使用可能になるのを待機している SSH 接続に割り込むことにより、診断モードを開始できます。これはデフォルトの設定です。
(注) Ctrl+C キーまたは Ctrl+Shift+6 キーを入力すると、ユーザは待機中の接続に割り込むことができます。
• none :SSH 接続はただちに診断モードを開始します。 • none disconnect :SSH 接続は IOS からの vty 回線を待機せず、診断モードを開始しません。そのため、vty 回線が即時に使用可能にならなければ、すべての SSH 接続が拒否されます。 |
ステップ 5 |
rsa keypair-name rsa-keypair-name
Router(config-tmap)# rsa keypair-name sshkeys |
持続性 SSH 接続に使用される Rivest, Shamir, Adelman(RSA)キーペアに名前を付けます。 持続性 SSH 接続では、トランスポート マップ コンフィギュレーション モードでこのコマンドを使用して、RSA キーペアの名前を定義する必要があります。ルータの他のコマンド( ip ssh rsa keypair-name コマンドを使用するなど)で定義された RSA キーペアの定義は、持続性 SSH 接続に適用されません。 rsa-keypair-name は、デフォルトで定義されていません。 |
ステップ 6 |
authentication-retries number-of-retries
Router(config-tmap)# authentication-retries 4 |
(任意)接続をドロップするまでの認証リトライ数を指定します。 デフォルトの number-of-retries は、3 です。 |
ステップ 7 |
banner [diagnostic | wait] banner-message
Router(config-tmap)# banner diagnostic X Enter TEXT message . End with the character 'X'. --Welcome to Diagnostic Mode-- X Router(config-tmap)# |
(任意)診断モードを開始しているユーザ、または持続性 SSH 設定によって vty 回線を待機しているユーザに表示するバナー メッセージを作成します。 • diagnostic :持続性 SSH 設定により、診断モードに導かれたユーザに表示するバナー メッセージを作成します。 • wait :vty 回線がアクティブになるのを待機しているユーザに表示するバナー メッセージを作成します。 • banner-message :同じデリミタで開始および終了するバナー メッセージ。 |
ステップ 8 |
time-out timeout-interval
Router(config-tmap)# time-out 30 |
(任意)SSH タイムアウト インターバル(秒)を指定します。 デフォルトの timeout-interval は、120 秒です。 |
ステップ 9 |
transport interface gigabitethernet 0
Router(config-tmap)# transport interface gigabitethernet 0 |
管理イーサネット インターフェイス(インターフェイス gigabitethernet 0)に、トランスポート マップ設定を適用します。 持続性 SSH は、Cisco ASR 1000 シリーズ ルータ上の管理イーサネット インターフェイスだけに適用できます。 |
ステップ 10 |
exit
Router(config-tmap)# exit |
トランスポート マップ コンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードを再開します。 |
ステップ 11 |
transport type persistent ssh input transport-map-name
Router(config)# transport type persistent ssh input sshhandler |
トランスポート マップで定義された設定を管理イーサネット インターフェイスに適用します。 このコマンドの transport-map-name は、 transport-map type persistent ssh コマンド で定義された transport-map-name と一致する必要があります。 |
例
次の例では、トランスポート マップの設定によってすべての SSH 接続が、IOS vty 回線がアクティブになるまで待機してルータに接続します。この設定は管理イーサネット インターフェイス(インターフェイス gigabitethernet 0)に適用されています。RSA キーペアには、sshkeys という名前が付けられています。
この例では、持続性 SSH の設定に必要なコマンドだけを使用しています。
Router(config)# transport-map type persistent ssh sshhandler
Router(config-tmap)# connection wait allow
Router(config-tmap)# rsa keypair-name sshkeys
Router(config-tmap)# transport interface gigabitethernet 0
次の例では、トランスポート マップの設定により、管理イーサネット ポートに対し SSH 経由でのアクセスを試行するすべてのユーザに次の設定が適用されます。
• SSH を使用しているユーザは vty 回線がアクティブになるのを待機しますが、vty 回線による IOS へのアクセス試行に割り込みがあると、診断モードを開始します。
• RSA キー ペアの名前は sshkeys です
• この接続により、1 回の認証リトライが許可されます。
• このトランスポート マップによる SSH 処理によって診断モードが開始されると、バナー「 --Welcome to Diagnostic Mode-- 」が表示されます。
• 接続が vty 回線がアクティブになるのを待機している場合、バナー「 --Waiting for vty line-- 」が表示されます。
transport type persistent ssh input コマンドが入力され、持続性 SSH がイネーブルになると、トランスポート マップがインターフェイスに適用されます。
Router(config)# transport-map type persistent ssh sshhandler
Router(config-tmap)# connection wait allow interruptible
Router(config-tmap)# rsa keypair-name sshkeys
Router(config-tmap)# authentication-retries 1
Router(config-tmap)# banner diagnostic X
Enter TEXT message. End with the character 'X'.
--Welcome to Diagnostic Mode--
X
Router(config-tmap)#banner wait X
Enter TEXT message. End with the character 'X'.
Router(config-tmap)# time-out 30
Router(config-tmap)# transport interface gigabitethernet 0
Router(config-tmap)# exit
Router(config)# transport type persistent ssh input sshhandler
コンソール ポート、SSH、および Telnet の処理設定の表示
トランスポート マップの設定を表示するには、 show transport-map [ all | name transport-map-name | type [ console | persistent [ ssh | telnet ]]] EXEC または特権 EXEC コマンドを使用します。
次の例では、コンソール ポート、持続性 SSH、および持続性 Telnet トランスポートがルータ上で設定されています。また、さまざまな形式の show transport-map コマンドを入力することで、トランスポート マップの設定情報を収集するための方法をいくつか示しています。
Router# show transport-map all
Wait option: Wait Allow Interruptable
Welcome to Diagnostic Mode
Type: Persistent SSH Transport
Wait option: Wait Allow Interruptable
Welcome to Diagnostic Mode
Authentication retries: 5
Type: Persistent Telnet Transport
Wait option: Wait Allow Interruptable
Welcome to Diagnostic Mode
Type: Persistent Telnet Transport
Router# show transport-map type console
Wait option: Wait Allow Interruptable
Welcome to Diagnostic Mode
Router# show transport-map type persistent ssh
Type: Persistent SSH Transport
Wait option: Wait Allow Interruptable
Welcome to Diagnostic Mode
Authentication retries: 5
Router# show transport-map type persistent telnet
Type: Persistent Telnet Transport
Wait option: Wait Allow Interruptable
Welcome to Diagnostic Mode
Type: Persistent Telnet Transport
Router# show transport-map name telnethandler
Type: Persistent Telnet Transport
Wait option: Wait Allow Interruptable
Welcome to Diagnostic Mode
Router# show transport-map name consolehandler
Wait option: Wait Allow Interruptable
Welcome to Diagnostic Mode
Router# show transport-map name sshhandler
Type: Persistent SSH Transport
Wait option: Wait Allow Interruptable
Welcome to Diagnostic Mode
Authentication retries: 5
着信コンソール ポート、SSH、および Telnet 接続の処理に関する現在の設定を表示する場合は、 show platform software configuration access policy コマンドを使用できます。このコマンド出力では、各接続タイプの現在の待機ポリシーが、現在設定されているバナー情報とともに示されます。このコマンドは、 show transport-map コマンドとは異なり、診断モードでも使用できるため、トランスポート マップの設定情報が必要でも IOS CLI にアクセスできない場合に入力します。
Router# show platform software configuration access policy
The current access-policies
Rule : wait with interrupt
次の例では、接続ポリシーおよびバナーが持続性 SSH トランスポート マップに設定され、トランスポート マップがイネーブルになっています。
新しいトランスポート マップがイネーブルになる前後で、 show platform software configuration access policy 出力が表示されるため、出力には SSH 設定に対する変更点が示されます。
Router# show platform software configuration access policy
The current access-policies
Rule : wait with interrupt
Welcome to Diagnostic Mode
Rule : wait with interrupt
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# transport-map type persistent ssh sshhandler
Router(config-tmap)# connection wait allow interruptible
Router(config-tmap)# banner diagnostic X
Enter TEXT message. End with the character 'X'.
Router(config-tmap)# banner wait X
Enter TEXT message. End with the character 'X'.
Router(config-tmap)# rsa keypair-name sshkeys
Router(config-tmap)# transport interface gigabitethernet 0
Router(config-tmap)# exit
Router(config)# transport type persistent ssh input sshhandler
Router# show platform software configuration access policy
The current access-policies
Rule : wait with interrupt
Welcome to Diagnostic Mode
Rule : wait with interrupt
Rule : wait with interrupt
重要事項および制約事項
コンソール ポート、SSH、および telnet の処理に関する重要事項および制約事項は次のとおりです。
• トランスポート マップが管理イーサネット インターフェイスに適用される場合、トランスポート マップの Telnet および SSH の設定は他のすべての Telnet および SSH の設定を上書きします。
• 管理イーサネット インターフェイスを開始するユーザの認証には、ローカル ユーザ名およびパスワードだけを使用できます。持続性 Telnet または持続性 SSH を使用して管理イーサネット インターフェイス経由でルータにアクセスするユーザは、AAA 認証を使用できません。
• アクティブな Telnet セッションまたは SSH セッションがある管理イーサネット インターフェイスにトランスポート マップを適用すると、アクティブなセッションの接続が切断されます。ただし、インターフェイスからトランスポート マップを削除すると、アクティブな Telnet セッションまたは SSH セッションの接続は切断されません。
• 診断バナーおよび待機バナー の設定は任意ですが、作成することを推奨します。バナーは、特にユーザの Telnet または SSH の試行ステータスのインジケータとして役に立ちます。
フィードバック