動作確認環境
- Firepower 2100 シリーズ
- ASA OS 9.16.x
Firepower(ASA) での Telnet 接続用設定
Telnet 接続用設定
■認証用ローカルユーザの設定
Telnet 接続時の認証で使用するローカルユーザの設定です。
username <name> password <password>
ciscoasa(config)# username hogeuser password hogepassword■接続許可クライアント IP の設定
Telnet 接続を許可する接続元クライアント IP の設定です。
telnet <source_IP_address> <mask> <source_interface>source_interfaceには Telnet アクセスを着信するインターフェースのnameifの名前を指定
ciscoasa(config)# telnet 10.1.1.0 255.255.255.0 inside■認証方法としてローカルユーザを使用するための設定
Telnet 接続をする際の認証方法としてローカルユーザを使用するための設定です。
aaa authentication telnet console LOCAL
ciscoasa(config)# aaa authentication telnet console LOCALこの設定をしていない場合、ローカルユーザで認証しようとしても認証に失敗します。
ACL での Telnet 通信許可は不要
Telnet 接続をするために ACL で Telnet 通信を許可するルールの設定は必要ありません。
security-level 最低の IF へは Telnet 接続不可
security-level が最も低いインターフェース宛の Telnet 接続はできません。
※ただし、VPN トンネル内で Telnet を使用する場合を除きます
Firepower(ASA) での SSH 接続用設定
SSH 接続用設定
■SSH に必要な RSA キー ペアの生成
crypto key generate rsa modulus <size>size:鍵サイズ。512、768、1024、2048、3072、または 4096。2048 以上が推奨
ciscoasa(config)# crypto key generate rsa modulus 2048■認証用ローカルユーザの設定
SSH 接続時の認証で使用するローカルユーザの設定です。
username <name> password <password>
ciscoasa(config)# username hogeuser password hogepassword■接続許可クライアント IP の設定
SSH 接続を許可する接続元クライアント IP の設定です。
ssh <source_IP_address> <mask> <source_interface>source_interfaceには SSH アクセスを着信するインターフェースのnameifの名前を指定
ciscoasa(config)# ssh 10.1.1.0 255.255.255.0 inside■認証方法としてローカルユーザを使用するための設定
SSH 接続をする際の認証方法としてローカルユーザを使用するための設定です。
aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication ssh console LOCALこの設定をしていない場合、ローカルユーザで認証しようとしても認証に失敗します。
ACL での SSH 通信許可は不要
SSH 接続をするために ACL で SSH 通信を許可するルールの設定は必要ありません。
事例:SSH 接続時「unknown host KEY type」エラー
クライアントから SSH 接続時に「unknown host KEY type」と表示されて接続できない場合があります。
Firepower(ASA) にて SSH に必要な RSA キーペアが生成されていない場合にこのエラーになります。キーペアを生成していない場合は crypto key generate rsa modulus size コマンドでキーペアを生成します。
参考資料
