Internet経由でルータのリモート保守を行う場合、TelnetやFTPによる操作では、やりとりしている情報が平文で流れることになるため、ログイン時のユーザ名やパスワード、あるいは設定情報などが漏洩milan米兰体育官方网站危険性があります。
こうした問題を解決milan米兰体育官方网站ため、F100,F1000及びF100/F1000以降に発売された機器では、SSH（Secure SHell）およびSCP（Secure CoPy）機能をサポートしました。これにより、セキュアな通信でリモート保守を行うことが可能となりました。
SSH機能を利用milan米兰体育官方网站ことで、暗号化された通信によりTelnetと同様の操作を行うことができます。また、SCP機能を利用milan米兰体育官方网站ことで、SSHによるセキュアな通信を用いて、ファイル転送を行うことができます。これらの機能により、Internet経由でルータのリモート保守を行う場合でも、情報の漏洩を防止milan米兰体育官方网站ことができます。

以下のファームウェアからSSHおよびSCPmilan米兰体育官方网站をサポートしました。

対象機種	ファームウェア
FITELnet F60	V01.00(00)(初版) -
FITELnet-F80	V01.00(00)(初版) -
FITELnet-F100	V01.17(00) -
FITELnet-F140	V01.00(00)(初版) -
FITELnet F200	V01.00(00)(初版) -
FITELnet-F1000	V01.09(00) -
FITELnet F2000	V01.00(00)(初版) -
FITELnet F2200	V01.00(00)(初版) -

また、今回の機能追加では、ユーザ側のWebブラウザより、SSH、SCPを利用したリモート保守の許可に関milan米兰体育官方网站操作などを、簡単に行うことができるようになっています。

SSHmilan米兰体育官方网站は、「Internet接続はできているが、IPsec通信ができない」といった問題が発生した場合に、オンサイトせずにセキュアな通信を使って、リモートメインテナンスを行うことで解決したい、といった場面でご利用いただけるmilan米兰体育官方网站です。

図 2.1-1　SSHmilan米兰体育官方网站利用イメージ

ユーザ側のWebブラウザより、SSH機能を利用したリモート保守に関milan米兰体育官方网站操作を行うことができます。
操作画面は以下のとおりです。

＊Webブラウザによる操作はF100のみのサポートとなります。

図 2.2-1　リモート保守画面

各項目の意味は以下のとおりです。

「SSHサーバ動作状態」

SSHサーバの起動に関milan米兰体育官方网站操作を行います。
【起動】ボタンをクリックmilan米兰体育官方网站ことにより、SSHサーバが有効になります。


「SSHサーバホスト鍵の生成状態」

SSHサーバホスト鍵に関milan米兰体育官方网站操作を行います。
【生成】ボタンをクリックmilan米兰体育官方网站ことにより、SSHでホスト鍵として使用milan米兰体育官方网站秘密鍵、公開鍵のペアを生成します。


「SSH遠隔保守支援milan米兰体育官方网站の動作状態」

SSH遠隔保守支援機能に関milan米兰体育官方网站操作を行います。
SSH遠隔保守支援機能を有効にmilan米兰体育官方网站と、一定の時間だけ（Webブラウザによる操作では10分間）

・VPNセレクタをバイパス
・パケットフィルタリング（学習IP フィルタリングを含む）をバイパス
・SSHサーバアクセス制限milan米兰体育官方网站（アクセスリストによる制限）をバイパス
・SSHサーバのリモートアクセス制限milan米兰体育官方网站（不正アクセス防止milan米兰体育官方网站）をバイパス

milan米兰体育官方网站ことができるようになり、SSHを利用して一時的にメインテナンスを行う上で障害となる各種機能を無効化します（SSHによるアクセスについてのみ適用されます）。
【有効化】ボタンをクリックmilan米兰体育官方网站ことにより、SSH遠隔保守支援機能が有効になります。


「インタフェース情報」

ルータのインタフェース情報を表示します。

コンソールから実行できる各コマンドの仕様は以下のとおりです。

＜設定コマンド＞

ssh-server enable
SSHサーバmilan米兰体育官方网站を利用可能とします。

ssh-server access-group ＜1-99＞
SSHサーバにアクセスを許可milan米兰体育官方网站SSHクライアントを、アクセスリストにより制限します。
本設定を行わない場合は、アクセス制限は適用されません。

ssh-server response-timeout ＜1-120＞
SSHのネゴシエーションにおいて、SSHクライアントからの応答待ち時間（秒）を設定します。
本設定を行わない場合は、120秒でタイムアウトします。

ssh-server　exec-timeout [off|＜1-60＞]
SSHサーバに接続した際の、無通信タイムアウトによる自動ログアウトを行うまでの時間（単位：分）を設定します。offを設定した場合、自動ログアウトは行いません。
本設定を行わない場合は、5分でログアウトします。

ip scp server enable
SSHにより確立された通信路を用いたSCPサーバmilan米兰体育官方网站を利用可能とします。
＊同時にssh-server enableが設定されている必要があります。

＜操作コマンド＞

generate key ssh
SSHでホスト鍵として使用milan米兰体育官方网站秘密鍵、公開鍵のペアを生成します。

clear crypto key ssh
SSHのホスト鍵を削除します。

remote-maintenance ssh [enable duration＜1-30＞|disable]
SSH遠隔保守支援milan米兰体育官方网站の有効/無効に関milan米兰体育官方网站操作を行います。
装置起動時は無効となっています。
本コマンドでenableを指定した場合、duration＜1-30＞(単位：分)で指定された時間だけ有効となり、それを経過milan米兰体育官方网站と無効となります。時間指定を省略した場合は10分となります。
本コマンドは実行時点で更新されるため、無効状態に戻るまでの時間を延長milan米兰体育官方网站ことも短縮milan米兰体育官方网站ことも可能です。

SSHを利用して、一時的にリモート保守を行うには次のようにします。

＊手順１〜６までを、拠点側から実行milan米兰体育官方网站必要があります。

手順１　WebブラウザでF100にアクセスmilan米兰体育官方网站
拠点のLAN側にある端末から、Webブラウザを使ってF100にアクセスします。

手順２　左フレームの「リモート保守」をクリックmilan米兰体育官方网站（図2.2-1参照）
「リモート保守」をクリックmilan米兰体育官方网站ことにより、リモート保守の操作画面に移行します。

手順３　SSHサーバホスト鍵を生成milan米兰体育官方网站
「SSHサーバホスト鍵の生成状態」が「未生成」の場合は【鍵生成】ボタンを押します。
「生成済み」の場合は手順４に移行してください。

手順４　SSHサーバ機能を起動milan米兰体育官方网站
「SSHサーバ動作状態」が「未起動」の場合は、【起動】ボタンを押します。

手順５　SSH遠隔保守支援機能を有効にmilan米兰体育官方网站
「SSH遠隔保守支援milan米兰体育官方网站の動作状態」が「無効」の場合は、【有効化】ボタンを押します。
【有効化】ボタンをクリックmilan米兰体育官方网站ことにより、遠隔地からSSHサーバに接続milan米兰体育官方网站際に、妨げになるVPNセレクタ、パケットフィルタリングなどを回避してアクセスmilan米兰体育官方网站ことを可能にします。

手順６　保守員にIPアドレスを通知milan米兰体育官方网站
ブラウザ下方に表示されているインタフェース情報の中で、PPPoE1などのWAN側のIPアドレスをリモート保守を行う保守員に通知してください。

以上の手順により、SSHを利用したリモート保守が可能となります。SSH遠隔保守支援milan米兰体育官方网站は、デフォルトでは10分間限定のmilan米兰体育官方网站です。必要に応じて、「remote-maintenance ssh」コマンドにより時間を延長して下さい。

SSH、SCPを利用したリモート保守を常時許可milan米兰体育官方网站場合、以下のような設定が必要となります。

[設定]

拠点側の192.168.2.0/24とセンター側の192.168.1.0/24のネットワークの間でIPsec通信していて、拠点側で常時リモート保守を許可milan米兰体育官方网站とします。

ssh-server enable
SSHサーバmilan米兰体育官方网站を有効にします。

ip scp server enable
SCPサーバmilan米兰体育官方网站を有効にします。

ipsec access-list 64 bypass ip any any
bypassの設定をして、IPsec以外での通信を許可します。

access-list 100 permit tcp any any eq 22
SSHクライアントから送信されるパケットを通す設定とします。

access-list 110 permit udp any eq 500 any eq 500
IKEのネゴパケットは通す設定とします。
　＊dynamicのフィルタを設定している場合、この設定は不要です。

access-list 120 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
センター側からの通信を通す設定とします。
　＊ESPパケット（IPプロトコル番号50番）はフィルタリングの対象とはならず、
　　復号化された後のパケットがフィルタリング対象となります。

access-list 190 deny ip any any
上記以外の通信は廃棄milan米兰体育官方网站ようにします。

interface pppoe 1
PPPoE1インターフェースの設定モードへ移行します。

ip access-group 100 in interface
ip access-group 110 in interface
ip access-group 120 in
ip access-group 190 in
access-listで設定したフィルタリングルールをPPPoE1インタフェースに
　入ってくるパケットに適用します。
　＊interfaceオプションを付けることで、そのフィルタリングルールが適用される範囲を、
　　インターフェース宛の通信に限定milan米兰体育官方网站ことができます。

exit

＊あらかじめ「generate key ssh」コマンドにより、鍵ペアを作成しておく必要があります。

本milan米兰体育官方网站では、SSH/SCPクライアントとして以下の動作を確認しております。

SSHクライアント
・OpenSSHに対応したOS（NetBSD，FreeBSD，Linux，Solarisなど）からのssh
・Cygwin（Windows上で使用）からのssh
・TTSSH（Tera Term+SSHv1）

SCPクライアント
・OpenSSHに対応したOS（NetBSD，FreeBSD，Linux，Solarisなど）からのscp
・Cygwin（Windows上で使用） からのscp

＊CygwinをインストールしてSSHを利用milan米兰体育官方网站場合、パッケージの選択でAdminのカテゴリーから「cygrunsry」とNetのカテゴリーから「openssh」を選択してください。

＊TTSSH 日本語版についてはこちら。

＊WinSCPは利用できません。