Cisco ASA, IOS, IOS-XE, NX-OS, XR へ鍵交換方式で SSH する設定例
Cisco ASA, IOS, IOS-XE, NX-OS, XR へ鍵交換方式で SSH ログインする設定をメモしておきます。
検証環境
クライアント側は以下で検証しました。
| 対象機器 |
バージョン |
| Ubuntu |
22.04LTS |
サーバ側は以下で検証しました。
| 対象機器 |
バージョン |
| ASAv |
9.20(2)2 |
| IOSv |
15.9(3)M6 |
| IOS-XE |
17.13.01a |
| NX-OSv |
10.4(1) |
| XR |
7.7.1 |
Cisco ASA
ASA の場合、登録する公開鍵は「---- BEGIN SSH2 PUBLIC KEY ---- で始まり、---- END SSH2 PUBLIC KEY ---- で終わる」形式である必要があります。 これは ssh-keygen -e -f ~/.ssh/id_rsa.pub を実行することで出力出来ます。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22 | hostname ASA
domain-name EXAMPLE.LOCAL
!
aaa authentication ssh console LOCAL
!
ssh 0.0.0.0 0.0.0.0 management
!
username USER privilege 15
username USER attributes
service-type admin
ssh authentication pkf
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "4096-bit RSA, converted by user@172-29-0-190 from OpenSSH"
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
…………………………………………………………………………………………
AAAAAAAAAAAAAA==
---- END SSH2 PUBLIC KEY ----
quit
!
crypto key generate rsa modulus 2048 noconfirm
!
end
|
IOSv
IOS の場合、特筆することはありません。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21 | hostname IOSv
ip domain-name EXAMPLE.LOCAL
!
aaa new-model
!
ip ssh pubkey-chain
username USER
key-string
ssh-rsa AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
…………………………………………………………………………………………
AAAAAAAAAAAAAA==
exit
!
ip ssh version 2
!
line vty 0 4
transport input ssh
!
crypto key generate rsa modulus 2048
!
end
|
IOS-XE
IOS 同様、IOS-XE の場合も特筆することはありません。 SSH アクセスと関係ありませんが、IOS の ip domain-name コマンドは存在せず、ip domain name (domain と name の間がスペース) に置き換える必要があります。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21 | hostname IOS-XE
ip domain name EXAMPLE.LOCAL
!
aaa new-model
!
ip ssh pubkey-chain
username USER
key-string
ssh-rsa AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
…………………………………………………………………………………………
AAAAAAAAAAAAAA==
exit
!
ip ssh version 2
!
line vty 0 4
transport input ssh
!
crypto key generate rsa modulus 2048
!
end
|
NX-OSv
NX-OSv の場合、デフォルトで feature ssh も有効になっていた為、下記を設定するだけです。
| username USER role network-admin
username USER sshkey ssh-rsa AAA………AAA==
|
XR
XR は未だに公開鍵の文字列を直接、設定することが出来ないようです。 IOS-XR(Cisco ASR 9000)へ公開鍵認証方式を使い、パスワード無しで SSH ログインする の手順に従って BASE64 エンコードされた公開鍵をインポートします。