前回(「第0回 どこからでも利用できるリモートラボとは?」)の最後に、予習問題を出題した。今回の目標は、その問題を解き、さらに結論に至る考え方などを理解できることにある。シスコのルータ/スイッチに触れるときに覚えておかなければならない基本の基本となるスタートラインの知識ばかりなので、きちんと理解してほしい。
Q1) 次のうち、特権モードに移行するコマンドはどれですか。
Q2) 次のうち、特権モードに移行するパスワードをglobalに構成するコマンドはどれですか。
シスコのルータ/スイッチを設定(構成)するには、CLI(Command Line Interface)を使用する。CLIにはいくつかのモードがあり、モードが合っていなければ正しいコマンドであっても認識されない。そのため、単にコマンドを理解するだけでなく、どのモードで入力するのかを理解する必要がある。また、モードによって表示されるプロンプトの形が異なるため、どのモードで入力するコマンドかをプロンプトの形で表現する場合もある。代表的なモードは、次のとおりである。
モード | プロンプト | 解説 |
---|---|---|
ユーザーモード | Router> | 一般ユーザーが簡単なルータの動作確認をする。また、特権モードに移行する前提となる。 |
特権モード | Router# | 管理者がルータの動作確認をする。また、グローバルコンフィグモードに移行する前提なる。 |
グローバルコンフィグモード | Router(config)# | ルータそのものに関する構成をする。また、ほかのコンフィグモードに移行する前提となる。 |
インターフェイスコンフィグモード | Router(config-if)# | インターフェイスに関する構成をする。 |
ラインコンフィグモード | Router(config-line)# | 回線(コンソールやtelnetなど)に関する構成をする。 |
ルータコンフィグモード | Router(config-router)# | ルーティングプロトコルに関する構成をする。 |
シスコのルータ/スイッチの代表的なモード |
ルータにログインした直後は、ユーザーモードである。ユーザーモードでは、ごく簡単な確認コマンドしか使用することができない。そのため、通常はすべての確認コマンドを実行できる特権モードを使用する。また、ルータの構成を行うには、いったん特権モードに移行する必要がある。ユーザーモードから特権モードへ移行するコマンドは、enableである。なお、ここではユーザーモードと特権モードの具体的なコマンド例は取り上げない。なぜならリモートラボで扱う場合、ほとんどが特権モードであるためである。ユーザーモードや特権モードでしか利用できないコマンドは、個々のケースで学習してほしい。
ルータの構成を行うには、コンフィグモードに移行する必要がある。コンフィグモードとは、ルータの構成を行うときに使用するモードである。ルータの構成要素のうち、どれを構成するかによってコンフィグモードを使い分ける。ただし、どのコンフィグモードを使用する場合でも、まずは特権モードからグローバルコンフィグモードに移行する必要がある。特権モードからグローバルコンフィグモードに移行するコマンドは、configure terminalである。
グローバルコンフィグモードは、ほかのコンフィグモードへ移行する前提となるほか、ルータそのものの構成を行う。代表的なものが、特権モードへ移行するときのパスワードの構成である。
特権モードへ移行するときのパスワードを構成するコマンドは、enable passwordとenable secretの2種類である。enable passwordは古いコマンドで、パスワードを暗号化しない。enable secretは、パスワードを暗号化する。そのため、通常はenable secretを使用する。なお、両方のコマンドを入力した場合は、enable secretが優先される。
では、実際にリモートラボを使って確認してみよう。今回は、「Cisco ルータおよび Catalyst 1900 スイッチの初期設定」というコースを使用した。なお、以下の例では、次のような前提で構成している。
特権モードパスワード | san-fran |
---|---|
コンソールパスワード (コンソールケーブルを使用したときのパスワード) |
cisco |
vtyパスワード(telnet接続したときのパスワード) | sanjose |
まずは、ルータ/スイッチにログインし、そこから特権モードへ移行する(リスト1)。ユーザーモードから特権モードへ移行するため、enableコマンドを入力する。すると、プロンプトの形が変わる。ホスト名に続く#が、特権モードであることを示す。次にconfigure terminalコマンドを入力した後、またプロンプトが変わるが、これはホスト名に続く(config)#が、グローバルコンフィグモードであることを表している。
その後のline console 0コマンドは、コンソールに関する構成を行う前に入力する。同様に、line vty 0 4コマンドは、telnetに関する構成を行う前に入力する。これらのコマンドを入力するとラインコンフィグモードに移行し、プロンプトがホスト名に続いて(config-line)#となる。lineコマンドに続いて、loginコマンド、passwordコマンドを入力すると、それぞれの回線を利用するときのパスワードを構成できる。例えば、上記のように構成すると、コンソールを利用するときのパスワードがciscoになる(リスト2)。
これらのコマンドは、入力すると即座に有効になる。これらのコマンドの入力後、再度同じルータにコンソール接続すると、User Access Verificationと画面に表示され、さらにパスワードを要求するプロンプトが表示される(リスト3)。
このように表示されるのは、先ほど入力したリスト1のコマンドが有効になっているためである。なお、画面には表示されていないが、筆者はここでパスワード(cisco)を入力している。その後、enableコマンドを入力すると、そこでもパスワードが要求される。これは、enable secret san-franコマンドが有効になっているためだ。ここでも同じようにパスワード(san-fran)を入力すると、router1#のプロンプトが表示される。
このように、コマンドは入力すると即座に有効になるため、不用意なコマンドを入力しないように注意する。特に、今回紹介したパスワードを変更するコマンドを誤って入力すると、最悪の場合ユーザーモードですら使用できなくなる。
最後に、前述したenable secretコマンドとenable passwordコマンドを利用した場合の“見た目の違い”を解説する。次のリストは、この2つのコマンドを使用して、show running-configコマンドで、現在の構成情報を表示させたところである(リスト4)。
show running-configコマンドは、現在どの構成コマンドが入力されているのかが分かる。ここでは、enable password globalとなっているところから、enable passwordに続くパスワードのglobalが暗号化されていないことが分かる。ただし、enable secretコマンドに続いて意味不明の文字列が並んでいるのは、san-franというパスワードを暗号化したものである。ご覧のとおり、enable passwordコマンドを使用するよりも、enable secretコマンドを使用した方がパスワードが暗号化されるため安全である。
Q1: A
Q2: BとC
Q1) 次のうち、ルータにIPアドレスを構成するコマンドはどれですか。
Q2) 次のうち、ルータの構成情報をNVRAMに保存するコマンドはどれですか。
Copyright © ITmedia, Inc. All Rights Reserved.