milan米兰体育官网
milan米兰体育官方网站milan米兰体育官方网站FITELnetシリーズは、国内開発・製造の純国産品  製品ラインナップ  FITELnet-Fシリーズ  FITELnet-F100・1000  技術情報SSHによるリモートメインテナンスmilan米兰体育官网について
FITELnet-milan米兰体育官网・milan米兰体育官网0技術情報

SSHによるリモートメインテナンスmilan米兰体育官网について
2004年11月16日初版
1.SSH、SCPmilan米兰体育官网について

Internet経由でルータのリモート保守を行う場合、TelnetやFTPによる操作では、やりとりしている情報が平文で流れることになるため、ログイン時のユーザ名やパスワード、あるいは設定情報などが漏洩milan米兰体育官网危険性があります。
こうした問題を解決milan米兰体育官网ため、FITELnet-F100(以後、F100とします)およびFITELnet-F1000(以後、F1000とします)では、SSH(Secure SHell)およびSCP(Secure CoPy)機能をサポートしました。これにより、セキュアな通信でリモート保守を行うことが可能となりました。
SSH機能を利用milan米兰体育官网ことで、暗号化された通信によりTelnetと同様の操作を行うことができます。また、SCP機能を利用milan米兰体育官网ことで、SSHによるセキュアな通信を用いて、ファイル転送を行うことができます。これらの機能により、Internet経由でルータのリモート保守を行う場合でも、情報の漏洩を防止milan米兰体育官网ことができます。

FITELnet-F100・F1000では、以下のファームウェアからSSHおよびSCPmilan米兰体育官网をサポートしました。

・FITELnet-F100    V01.17(00)〜
・FITELnet-F1000   V01.09(00)〜

また、今回の機能追加では、ユーザ側のWebブラウザより、SSH、SCPを利用したリモート保守の許可に関milan米兰体育官网操作などを、簡単に行うことができるようになっています。
2.milan米兰体育官网概要

 2.1 想定している構成

SSHmilan米兰体育官网は、「Internet接続はできているが、IPsec通信ができない」といった問題が発生した場合に、オンサイトせずにセキュアな通信を使って、リモートメインテナンスを行うことで解決したい、といった場面でご利用いただけるmilan米兰体育官网です。


 milan米兰体育官网

図 2.1-1 SSHmilan米兰体育官网利用イメージ
2.2 F100・F1000の操作

 2.2.1 milan米兰体育官网画面

ユーザ側のWebブラウザより、SSH機能を利用したリモート保守に関milan米兰体育官网操作を行うことができます。
操作画面は以下のとおりです。

*Webブラウザによる操作はF100のみのサポートとなります。


 milan米兰体育官网

図 2.2-1 milan米兰体育官网画面



各項目の意味は以下のとおりです。

「SSHサーバ動作状態」

SSHサーバの起動に関milan米兰体育官网操作を行います。
【起動】ボタンをクリックmilan米兰体育官网ことにより、SSHサーバが有効になります。


「SSHサーバホスト鍵の生成状態」

SSHサーバホスト鍵に関milan米兰体育官网操作を行います。
【生成】ボタンをクリックmilan米兰体育官网ことにより、SSHでホスト鍵として使用milan米兰体育官网秘密鍵、公開鍵のペアを生成します。


 「SSH遠隔保守支援milan米兰体育官网の動作状態」

SSH遠隔保守支援機能に関milan米兰体育官网操作を行います。
SSH遠隔保守支援機能を有効にmilan米兰体育官网と、一定の時間だけ(Webブラウザによる操作では10分間)

・VPNセレクタをバイパス
・パケットフィルタリング(学習IP フィルタリングを含む)をバイパス
・SSHサーバアクセス制限milan米兰体育官网(アクセスリストによる制限)をバイパス
・SSHサーバのリモートアクセス制限milan米兰体育官网(不正アクセス防止milan米兰体育官网)をバイパス

milan米兰体育官网ことができるようになり、SSHを利用して一時的にメインテナンスを行う上で障害となる各種機能を無効化します(SSHによるアクセスについてのみ適用されます)。
【有効化】ボタンをクリックmilan米兰体育官网ことにより、SSH遠隔保守支援機能が有効になります。


「インタフェース情報」

ルータのインタフェース情報を表示します。
2.2.2 コマンド仕様

コンソールから実行できる各コマンドの仕様は以下のとおりです。

<設定コマンド>

ssh-server enable
SSHサーバmilan米兰体育官网を利用可能とします。

ssh-server access-group <1-99>
SSHサーバにアクセスを許可milan米兰体育官网SSHクライアントを、アクセスリストにより制限します。
本設定を行わない場合は、アクセス制限は適用されません。

ssh-server response-timeout <1-120>
SSHのネゴシエーションにおいて、SSHクライアントからの応答待ち時間(秒)を設定します。
本設定を行わない場合は、120秒でタイムアウトします。

ssh-server exec-timeout [off|<1-60>]
SSHサーバに接続した際の、無通信タイムアウトによる自動ログアウトを行うまでの時間(単位:分)を設定します。offを設定した場合、自動ログアウトは行いません。
本設定を行わない場合は、5分でログアウトします。

ip scp server enable
SSHにより確立された通信路を用いたSCPサーバmilan米兰体育官网を利用可能とします。
*同時にssh-server enableが設定されている必要があります。


<操作コマンド>

 generate key ssh
SSHでホスト鍵として使用milan米兰体育官网秘密鍵、公開鍵のペアを生成します。

clear crypto key ssh
SSHのホスト鍵を削除します。

 remote-maintenance ssh [enable duration<1-30>|disable]
SSH遠隔保守支援milan米兰体育官网の有効/無効に関milan米兰体育官网操作を行います。
装置起動時は無効となっています。
本コマンドでenableを指定した場合、duration<1-30>(単位:分)で指定された時間だけ有効となり、それを経過milan米兰体育官网と無効となります。時間指定を省略した場合は10分となります。
本コマンドは実行時点で更新されるため、無効状態に戻るまでの時間を延長milan米兰体育官网ことも短縮milan米兰体育官网ことも可能です。
3.SSH、SCPを利用したmilan米兰体育官网

 3.1 一時的にリモート保守を許可milan米兰体育官网場合

SSHを利用して、一時的にmilan米兰体育官网を行うには次のようにします。

*手順1〜6までを、拠点側から実行milan米兰体育官网必要があります。

手順1 WebブラウザでF100にアクセスmilan米兰体育官网
拠点のLAN側にある端末から、Webブラウザを使ってF100にアクセスします。

手順2 左フレームの「リモート保守」をクリックmilan米兰体育官网図2.2-1参照)
「リモート保守」をクリックmilan米兰体育官网ことにより、リモート保守の操作画面に移行します。

手順3 SSHサーバホスト鍵を生成milan米兰体育官网
「SSHサーバホスト鍵の生成状態」が「未生成」の場合は【鍵生成】ボタンを押します。
「生成済み」の場合は手順4に移行してください。

手順4 SSHサーバ機能を起動milan米兰体育官网
「SSHサーバ動作状態」が「未起動」の場合は、【起動】ボタンを押します。

手順5 SSH遠隔保守支援機能を有効にmilan米兰体育官网
「SSH遠隔保守支援milan米兰体育官网の動作状態」が「無効」の場合は、【有効化】ボタンを押します。
【有効化】ボタンをクリックmilan米兰体育官网ことにより、遠隔地からSSHサーバに接続milan米兰体育官网際に、妨げになるVPNセレクタ、パケットフィルタリングなどを回避してアクセスmilan米兰体育官网ことを可能にします。

手順6 保守員にIPアドレスを通知milan米兰体育官网
ブラウザ下方に表示されているインタフェース情報の中で、PPPoE1などのWAN側のIPアドレスをmilan米兰体育官网を行う保守員に通知してください。

以上の手順により、SSHを利用したリモート保守が可能となります。SSH遠隔保守支援milan米兰体育官网は、デフォルトでは10分間限定のmilan米兰体育官网です。必要に応じて、「remote-maintenance ssh」コマンドにより時間を延長して下さい。
3.2 リモート保守を常時許可milan米兰体育官网場合

SSH、SCPを利用したリモート保守を常時許可milan米兰体育官网場合、以下のような設定が必要となります。

[設定]

拠点側の192.168.2.0/24とセンター側の192.168.1.0/24のネットワークの間でIPsec通信していて、拠点側で常時リモート保守を許可milan米兰体育官网とします。
ssh-server enable
SSHサーバmilan米兰体育官网を有効にします。

ip scp server enable
SCPサーバmilan米兰体育官网を有効にします。

ipsec access-list 64 bypass ip any any
bypassの設定をして、IPsec以外での通信を許可します。

access-list 100 permit tcp any any eq 22
SSHクライアントから送信されるパケットを通す設定とします。

access-list 110 permit udp any eq 500 any eq 500
IKEのネゴパケットは通す設定とします。
 *dynamicのフィルタを設定している場合、この設定は不要です。

access-list 120 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
センター側からの通信を通す設定とします。
 *ESPパケット(IPプロトコル番号50番)はフィルタリングの対象とはならず、
  復号化された後のパケットがフィルタリング対象となります。

access-list 190 deny ip any any
上記以外の通信は廃棄milan米兰体育官网ようにします。

interface pppoe 1
PPPoE1インターフェースの設定モードへ移行します。

ip access-group 100 in interface
ip access-group 110 in interface
ip access-group 120 in
ip access-group 190 in
access-listで設定したフィルタリングルールをPPPoE1インタフェースに
 入ってくるパケットに適用します。
 *interfaceオプションを付けることで、そのフィルタリングルールが適用される範囲を、
  インターフェース宛の通信に限定milan米兰体育官网ことができます。

exit
*あらかじめ「generate key ssh」コマンドにより、鍵ペアを作成しておく必要があります。
4.注意事項

本milan米兰体育官网では、SSH/SCPクライアントとして以下の動作を確認しております。

SSHクライアント
OpenSSHに対応したOS(NetBSD,FreeBSD,Linux,Solarisなど)からのssh
Cygwin(Windows上で使用)からのssh
TTSSH(Tera Term+SSHv1)

SCPクライアント
OpenSSHに対応したOS(NetBSD,FreeBSD,Linux,Solarisなど)からのscp
Cygwin(Windows上で使用) からのscp

*CygwinをインストールしてSSHを利用milan米兰体育官网場合、パッケージの選択でAdminのカテゴリーから「cygrunsry」とNetのカテゴリーから「openssh」を選択してください。

*TTSSH 日本語版についてはこちら

*WinSCPは利用できません。



All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2004