リモートアクセス制御

• 1 機能概要
• 2 用語の定義
• 3 機能詳細
• 4 関連コマンド
• 5 コマンド実行例
  • 5.1 Telnetサーバーに対するアクセス制御
  • 5.2 SSHサーバーに対するアクセス制御
  • 5.3 Httpサーバーに対するアクセス制限
  • 5.4 Tftpサーバーに対するアクセス制限
• 6 注意事項
• 7 関連文書

1 機能概要

本製品では、ネットワークサービスを実現する以下のアプリケーションに対して、アクセス制限を行う機能を提供します。

• Telnetサーバー
• SSHサーバー
• Http サーバー／セキュアHttp サーバー
• Tftp サーバー

2 用語の定義

特になし

3 機能詳細

ネットワークサービスに対するアクセス制限として、以下の4つを可能とします。

• 該当サービスをシステムに常駐させるかどうかの制御（起動・停止制御）
• 受付ポート番号の変更
• サービス起動中のアクセス先の限定
• サービス起動中のアクセス元IPアドレスの限定
  
  

下表にネットワークサービスごとに対応する機能を示します。

• ネットワークサービスに対するアクセス制御

  ネットワークサービス	起動・停止制御	受付ポート番号の変更	アクセス先の限定	アクセス元の限定
  Telnet サーバー	○	○	○	○
  SSH サーバー	○	○	○	○
  Http サーバー セキュアHttp サーバー	○	○	○	○
  Tftp サーバー	○	○	○	×

1. ネットワークサービスを多重起動させることはできません。
   サービス起動中に同一サービスに対して起動制御を行うと、再立ち上げします。このため、接続中のセッションは 切断 されます。
   
   
2. ネットワークサービスに対してのアクセス先の限定は、 VLANインターフェース に対して行います。
   
   
3. ネットワークサービスに対してのアクセス元の限定では、 アクセス元のIPアドレス と アクセスの許可/拒否 を指定することができます。
   
   
4. ネットワークサービスの初期設定は下表のようになっています。

   ネットワークサービス	起動・停止状態	受付ポート番号	アクセス先の限定	アクセス元の限定
   Telnet サーバー	起動	23	デフォルト保守VLAN (VLAN #1) のみ許可	全て許可
   SSH サーバー	停止	22	デフォルト保守VLAN (VLAN #1) のみ許可	全て許可
   Http サーバー	起動	80	デフォルト保守VLAN (VLAN #1) のみ許可	全て許可
   セキュアHttp サーバー	停止	443
   Tftp サーバー	停止	69	デフォルト保守VLAN (VLAN #1) のみ許可	全て許可

4 関連コマンド

関連コマンドについて、以下に示します。
詳細は、コマンドリファレンスを参照願います。

• 関連コマンド一覧

  ネットワークサービス	操作項目	操作コマンド
  共通	保守VLAN	management interface
  Telnetサーバー	起動停止	telnet-server
  	受付ポート番号変更	telnet-server enable (引数でポート番号を指定)
  	アクセス制御	telnet-server interface
  	IPアドレスアクセス制御	telnet-server access
  	設定の表示	show telnet-server
  SSHサーバー	起動停止	ssh-server
  	受付ポート番号変更	ssh-server enable (引数でポート番号を指定)
  	アクセス制御	ssh-server interface
  	IPアドレスアクセス制御	ssh-server access
  	クライアント生存確認	ssh-server client alive
  	設定の表示	show ssh-server
  	ホスト鍵の作成	ssh-server host key generate
  	ホスト鍵のクリア	clear ssh-server host key
  	公開鍵の表示	show ssh-server host key
  Httpサーバー	Httpサーバー起動停止	http-server
  	Httpサーバー受付ポート番号変更	http-server enable (引数でポート番号を指定)
  	セキュアHttpサーバー起動停止	http-server secure
  	セキュアHttpサーバー受付ポート番号変更	http-server secure enable (引数でポート番号を指定)
  	アクセス制御	http-server interface
  	IPアドレスアクセス制御	http-server access
  	設定の表示	show http-server
  Tftpサーバー	起動停止	tftp-server
  	アクセス制御	tftp-server interface

5 コマンド実行例

5.1 Telnetサーバーに対するアクセス制御

Telnetサーバーに対するアクセス制限を実現します。
Telnetサーバーの受付ポートを1024に変更します。
保守VLANを VLAN #1000 に変更しアクセスを許可します。保守VLAN以外からのアクセスは拒否します。
Telnetサーバーへの接続は192.168.100.1からのクライアントのみ許可します。
telnet-server accessを設定した場合、条件に当てはまらないIPアドレスからのアクセスは拒否します。

Yamaha(config)#telnet-server enable 1024 ... (受付ポートを1024に変更し、Telnetサーバーを再起動する)
Yamaha(config)#management interface vlan1000 ... (保守VLANとしてVLAN #1000 のアクセスを許可する)
Yamaha(config)#telnet-server access permit 192.168.100.1 ... (192.168.100.1からのみアクセスを許可する)
Yamaha(config)#end 
Yamaha#show telnet-server ... (設定状況の確認)
Service:Enable
Port:1024
Management interface(vlan):1000
Interface(vlan):None
Access:
    permit 192.168.100.1

5.2 SSHサーバーに対するアクセス制御

SSHサーバーに対するアクセス制限を実現します。
SSHサーバーホスト鍵の作成を行います。
ユーザー名とパスワードの登録をします。
SSHクライアントからは登録したユーザーとパスワードのみログイン可能です。
SSHサーバーの受付ポートを1024に変更します。
保守VLANを VLAN #1000 に変更、 VLAN #2 のアクセスを許可します。
これにより保守VLAN VLAN #1000 と、 VLAN #2 からのみアクセスを許可します。
ssh-server accessを設定した場合、条件に当てはまらないIPアドレスからのアクセスは拒否します。

Yamaha#ssh-server host key generate ... (ホスト鍵を作成する)
Yamaha#show ssh-server host key ... (鍵の内容をの確認)
ssh-dss （省略）
ssh-rsa （省略）
Yamaha#
Yamaha#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Yamaha(config)#username user1 password pw1 ... (ユーザー名とパスワードを登録する)
Yamaha(config)#ssh-server enable 1024 ... (受付ポートを1024に変更し、SSHサーバーを再起動する)
Yamaha(config)#management interface vlan1000 ... (保守VLANとして #1000 のアクセスを許可する)
Yamaha(config)#ssh-server interface vlan2 ... (VLAN #2 のアクセスを許可する)
Yamaha(config)#end
Yamaha#show ssh-serverr ... (設定状況の確認)
Service:Enable
Port:1024
Hostkey:Generated
Client alive :Disable
Management interface(vlan):1000
Interface(vlan):2
Access:None
Yamaha#

5.3 Httpサーバーに対するアクセス制限

Httpサーバーに対するアクセス制限を実現します。
Httpサーバーの受付ポートを8000に変更し、 VLAN #2 のアクセスを許可します。
これによりデフォルト保守VLAN VLAN #1 と、 VLAN #2 からのみアクセスを許可します。
Httpサーバーへの接続は192.168.100.1からのクライアントのみ許可します。
http-server accessを設定した場合、条件に当てはまらないIPアドレスからのアクセスは拒否します。

Yamaha(config)#http-server enable 8000 ... (受付ポートを8000に変更し、httpサーバーを再起動する)
Yamaha(config)#http-server interface vlan2 ... (VLAN #2 のアクセスを許可する)
Yamaha(config)#http-server access permit 192.168.100.1 ... (192.168.100.1からのみアクセスを許可する)
Yamaha(config)#end 
Yamaha#show http-server ... (設定状況の確認)
HTTP :Enable(8000)
HTTPS:Disable
Management interface(vlan):1
Interface(vlan):2
Access:
    permit 192.168.100.1

5.4 Tftpサーバーに対するアクセス制限

Tftpサーバーに対するアクセス制限を実現します。
Tftpサーバーの受付ポートを2048に変更し、 VLAN #10 のアクセスを許可します。
デフォルト保守VLAN VLAN #1 と、 VLAN #10 からのみアクセスを許可します。

Yamaha(config)#tftp-server enable 2048 ... (受付ポートを2048に変更し、tftpサーバーを再起動する)
Yamaha(config)#tftp-server interface vlan10 ... (VLAN #10 のアクセスを許可する)

6 注意事項

TftpクライアントからTftpサーバーにアクセスする場合、以下の制限があります。

• アクセス先VLANのプライマリアドレスとセカンダリアドレスが同じセグメントの場合、セカンダリアドレスにはアクセスできません。
• 経路的にTftpクライアントから最も近いVLANのIPアドレスへのみアクセスできます。
  例えば、VLAN 1に属するTftpクライアントから本製品のVLAN 2のIPアドレスにはアクセスできません。

7 関連文書

• ユーザーアカウント管理