CiscoIOSの基本として操作のモードを知らなければなりません。IOSではモードにより可能なことが異なり,それぞれで使えるコマンドも違います。また,モードはセキュリティと密接に関係しています。セキュリティ確保のためにパスワードの設定方法を覚えましょう。

操作モードを理解しよう

 IOSではセキュリティの確保のため,さらには操作をわかりやすくするために数種類のモードが存在します(図1)。モードは最初にログインした時点のモード(ユーザモード)から段階的に変化させていくことになります。

 図1 操作モード
操作モード

  • ユーザモード ・・・ ログインした時点のモード。ルータの基本的な状態の確認が可能
  • 特権モード ・・・ ルータの設定が可能なモード。詳細な状態の確認やファイルの移動などを行う
  • グローバルコンフィギュレーションモード ・・・ ルータ全体の設定を行うためモード。名前の変更など
  • インタフェースモード・ルータモードなど ・・・ それぞれ個別の詳細な設定を行うためのモード

 ログイン時にログインパスワードを,設定変更が可能な特権モードに移行する際にenableパスワードを必要とすることによって,セキュリティを確保しています。

 自分が,現在どのモードでコマンドを入力しているかということは,プロンプトの記号(ルータ名の後ろにつく記号)でわかります(図2)。

  • ユーザモード … >
  • 特権モード ・・・ #
  • グローバルコンフィギュレーションモード ・・・ (config)#
  • インタフェースモード・ルータモードなど ・・・ (config-if)#,(config-router)#など

    •  図2 現在のモード
    現在のモード

     モードによって使用可能なコマンドの種類が違いますので,どのモードで何が可能かしっかり覚える必要があります。

    モードの移行

     モードを移行する時には特定のコマンドを入力する必要があります(図3)。また,モードを出る際にも必要なコマンドがあります。

     図3 モードの移行コマンド
    モードの移行コマンド

     基本的にルータの設定時ではユーザモードは使用しませんので,特権モードが中心になります。この場合,exitで一つ前のモードに戻る,と覚えておくのがよいでしょう。個別の詳細設定モードに入っている場合は,Ctrl+Zかendで特権モードに戻ります。また,個別の詳細設定モードに入るには図3ではinterfaceコマンドを使用していますが,実際は設定したい項目にあわせたコマンドが必要になります(図4)。

     図4 モードの移行
    モードの移行

    パスワードの設定

     IOSではセキュリティ保護のため,二つのパスワードを設定できます。enableパスワードとログインパスワードです。enableパスワードはユーザモードから特権モードに移行する際に必要となるパスワードになります。デフォルトではパスワードなしのため,設定しておく必要があります(図5)。

     enableパスワードを設定するコマンドは2種類あります。設定はグローバルコンフィギュレーションモードで行います。

    • (config)# enable password [パスワード] … 設定ファイルにパスワードが平文のまま保存される
    • (config)# enable secret [パスワード] … 設定ファイルにパスワードが暗号化されて保存される(図6

     図5 enable secretコマンド
    enable secretコマンド

     図6 暗号化されて保存されたパスワード
    暗号化されて保存されたパスワード

     enable passwordコマンドとenable secretコマンドの両方を実施した場合,enable secretコマンドで設定されたパスワードが有効になります。

     一方,ログインパスワードはルータに接続し,ログインする時点で必要となるパスワードです。ルータへの接続はコンソール接続と仮想端末(VTY)接続の2種類がありますので,それぞれ個別にパスワードを設定します。

     ログインパスワードの設定は,詳細設定のラインモードで行います(図7)。

    • (config)# line [接続ポート] ・・・ コンソールもしくはVTYの設定モードへ入る
    • (config-line)# login ・・・ ログイン時にパスワード入力を必要とする
    • (config-line)# password [パスワード] ・・・ コンソール接続でのパスワード設定

     図7 コンソールポートのパスワード設定
    コンソールポートのパスワード設定

     lineの後に続く接続ポートには,コンソールか仮想端末(VTY)が入ります。基本的には「console 0」(コンソールポート0番)か,「vty 0 4」(VTYポート0~4番)になります。VTYは仮想的なポートを5個持っていて,それぞれ個別にパスワードを設定できますが,接続する際にどのVTYポートに接続するという指定ができませんのですべて同じパスワードを設定します。

     コンソールまたはVTYに設定されたパスワードや,enable passwordコマンドで設定されたパスワードは平文で設定ファイルに保存されます。この平文のパスワードを暗号化して保存するためのコマンドもあります。

    • (config)# service password-encryption ・・・ 設定ファイルのパスワードを暗号化する

    ルータの識別設定コマンド

     複数のルータをVTY接続で設定していると,現在の画面がどのルータのものかわかりづらくなる場合があります。その場合,ルータに名前を設定しておくと便利になります(図8)。

    • (config)# hostname [ルータ名]

     図8 ルータ名の設定
    ルータ名の設定

     また,ルータにログイン時に文字列(バナーメッセージ)を表示させて,注意を促したりルータの説明を書いておくこともできます(図9)。banner motdコマンドを使用しますが,表示させたいメッセージの区切りとして「#」を使います。

    • (config)# banner motd # [メッセージ] #

     図9 バナーメッセージ
    バナーメッセージ

     さらに,インタフェースごとにメッセージを設定できます。設定すると,設定を確認する際にそのメッセージが表示されます。どのインタフェースがどこに接続されているか明確にする時など便利です。設定したいインタフェースのインタフェースモードで設定します(図10)。

    • (config-if)# description [メッセージ]

     図10 インタフェースメッセージ
    インタフェースメッセージ