CiscoIOSの基本として操作のモードを知らなければなりません。IOSではモードにより可能なことが異なり,それぞれで使えるコマンドも違います。また,モードはセキュリティと密接に関係しています。セキュリティ確保のためにパスワードの設定方法を覚えましょう。
操作モードを理解しよう
IOSではセキュリティの確保のため,さらには操作をわかりやすくするために数種類のモードが存在します(図1)。モードは最初にログインした時点のモード(ユーザモード)から段階的に変化させていくことになります。
図1 操作モード
- ユーザモード ・・・ ログインした時点のモード。ルータの基本的な状態の確認が可能
- 特権モード ・・・ ルータの設定が可能なモード。詳細な状態の確認やファイルの移動などを行う
- グローバルコンフィギュレーションモード ・・・ ルータ全体の設定を行うためモード。名前の変更など
- インタフェースモード・ルータモードなど ・・・ それぞれ個別の詳細な設定を行うためのモード
ログイン時にログインパスワードを,設定変更が可能な特権モードに移行する際にenableパスワードを必要とすることによって,セキュリティを確保しています。
自分が,現在どのモードでコマンドを入力しているかということは,プロンプトの記号(ルータ名の後ろにつく記号)でわかります(図2)。
図2 現在のモード
モードによって使用可能なコマンドの種類が違いますので,どのモードで何が可能かしっかり覚える必要があります。
モードの移行
モードを移行する時には特定のコマンドを入力する必要があります(図3)。また,モードを出る際にも必要なコマンドがあります。
図3 モードの移行コマンド
基本的にルータの設定時ではユーザモードは使用しませんので,特権モードが中心になります。この場合,exitで一つ前のモードに戻る,と覚えておくのがよいでしょう。個別の詳細設定モードに入っている場合は,Ctrl+Zかendで特権モードに戻ります。また,個別の詳細設定モードに入るには図3ではinterfaceコマンドを使用していますが,実際は設定したい項目にあわせたコマンドが必要になります(図4)。
図4 モードの移行
パスワードの設定
IOSではセキュリティ保護のため,二つのパスワードを設定できます。enableパスワードとログインパスワードです。enableパスワードはユーザモードから特権モードに移行する際に必要となるパスワードになります。デフォルトではパスワードなしのため,設定しておく必要があります(図5)。
enableパスワードを設定するコマンドは2種類あります。設定はグローバルコンフィギュレーションモードで行います。
- (config)# enable password [パスワード] … 設定ファイルにパスワードが平文のまま保存される
- (config)# enable secret [パスワード] … 設定ファイルにパスワードが暗号化されて保存される(図6)
図5 enable secretコマンド
図6 暗号化されて保存されたパスワード
enable passwordコマンドとenable secretコマンドの両方を実施した場合,enable secretコマンドで設定されたパスワードが有効になります。
一方,ログインパスワードはルータに接続し,ログインする時点で必要となるパスワードです。ルータへの接続はコンソール接続と仮想端末(VTY)接続の2種類がありますので,それぞれ個別にパスワードを設定します。
ログインパスワードの設定は,詳細設定のラインモードで行います(図7)。
- (config)# line [接続ポート] ・・・ コンソールもしくはVTYの設定モードへ入る
- (config-line)# login ・・・ ログイン時にパスワード入力を必要とする
- (config-line)# password [パスワード] ・・・ コンソール接続でのパスワード設定
図7 コンソールポートのパスワード設定
lineの後に続く接続ポートには,コンソールか仮想端末(VTY)が入ります。基本的には「console 0」(コンソールポート0番)か,「vty 0 4」(VTYポート0~4番)になります。VTYは仮想的なポートを5個持っていて,それぞれ個別にパスワードを設定できますが,接続する際にどのVTYポートに接続するという指定ができませんのですべて同じパスワードを設定します。
コンソールまたはVTYに設定されたパスワードや,enable passwordコマンドで設定されたパスワードは平文で設定ファイルに保存されます。この平文のパスワードを暗号化して保存するためのコマンドもあります。
- (config)# service password-encryption ・・・ 設定ファイルのパスワードを暗号化する
ルータの識別設定コマンド
複数のルータをVTY接続で設定していると,現在の画面がどのルータのものかわかりづらくなる場合があります。その場合,ルータに名前を設定しておくと便利になります(図8)。
- (config)# hostname [ルータ名]
図8 ルータ名の設定
また,ルータにログイン時に文字列(バナーメッセージ)を表示させて,注意を促したりルータの説明を書いておくこともできます(図9)。banner motdコマンドを使用しますが,表示させたいメッセージの区切りとして「#」を使います。
- (config)# banner motd # [メッセージ] #
図9 バナーメッセージ
さらに,インタフェースごとにメッセージを設定できます。設定すると,設定を確認する際にそのメッセージが表示されます。どのインタフェースがどこに接続されているか明確にする時など便利です。設定したいインタフェースのインタフェースモードで設定します(図10)。
- (config-if)# description [メッセージ]
図10 インタフェースメッセージ