本製品では、ネットワークサービスを実現する以下のアプリケーションに対して、アクセス制限を行う機能を提供します。
特になし
ネットワークサービスに対するアクセス制限として、以下の4つを可能とします。
下表にネットワークサービスごとに対応する機能を示します。
ネットワークサービス | 起動・停止制御 | 受付ポート番号の変更 | アクセス先の限定 | アクセス元の限定 |
---|---|---|---|---|
TELNET サーバー | ○ | ○ | ○ | ○ |
SSH サーバー | ○ | ○ | ○ | ○ |
HTTP サーバー HTTPS サーバー |
○ | ○ | ○ | ○ |
TFTP サーバー | ○ | ○ | ○ | × |
SNMP サーバー | ×(常に起動) | ×(常に161) | × | ○ |
ネットワークサービス | 起動・停止状態 | 受付ポート番号 | アクセス先の限定 | アクセス元の限定 |
---|---|---|---|---|
TELNET サーバー | 起動 | 23 | デフォルト保守VLAN (VLAN #1) のみ許可 | 全て許可 |
SSH サーバー | 停止 | 22 | デフォルト保守VLAN (VLAN #1) のみ許可 | 全て許可 |
HTTP サーバー | 起動 | 80 | デフォルト保守VLAN (VLAN #1) のみ許可 | 全て許可 |
HTTPS サーバー | 停止 | 443 | ||
TFTP サーバー | 停止 | 69 | デフォルト保守VLAN (VLAN #1) のみ許可 | 全て許可 |
SNMP サーバー | 起動 | 161 | 全て許可 | 全て許可 |
関連コマンドについて、以下に示します。
詳細は、コマンドリファレンスを参照願います。
ネットワークサービス | 操作項目 | 操作コマンド |
---|---|---|
共通 | 保守VLAN | management interface |
TELNETサーバー | 起動停止 | telnet-server |
受付ポート番号変更 | telnet-server enable (引数でポート番号を指定) | |
アクセス制御 | telnet-server interface | |
IPアドレスアクセス制御 | telnet-server access | |
設定の表示 | show telnet-server | |
SSHサーバー | 起動停止 | ssh-server |
受付ポート番号変更 | ssh-server enable (引数でポート番号を指定) | |
アクセス制御 | ssh-server interface | |
IPアドレスアクセス制御 | ssh-server access | |
クライアント生存確認 | ssh-server client alive | |
設定の表示 | show ssh-server | |
ホスト鍵の作成 | ssh-server host key generate | |
ホスト鍵のクリア | clear ssh-server host key | |
公開鍵の表示 | show ssh-server host key | |
HTTPサーバー | HTTPサーバー起動停止 | http-server |
HTTPサーバー受付ポート番号変更 | http-server enable (引数でポート番号を指定) | |
HTTPSサーバー起動停止 | http-server secure | |
HTTPSサーバー受付ポート番号変更 | http-server secure enable (引数でポート番号を指定) | |
アクセス制御 | http-server interface | |
IPアドレスアクセス制御 | http-server access | |
設定の表示 | show http-server | |
TFTPサーバー | 起動停止 | tftp-server |
アクセス制御 | tftp-server interface | |
SNMPサーバー | IPアドレスおよびコミュニティー名でのアクセス制御 | snmp-server access |
TELNETサーバーに対するアクセス制限を実現します。
TELNETサーバーの受付ポートを1024に変更します。
保守VLANを VLAN #1000 に変更しアクセスを許可します。保守VLAN以外からのアクセスは拒否します。
TELNETサーバーへの接続は192.168.100.1からのクライアントのみ許可します。
telnet-server accessを設定した場合、条件に当てはまらないIPアドレスからのアクセスは拒否します。
Yamaha(config)#telnet-server enable 1024 ... (受付ポートを1024に変更し、TELNETサーバーを再起動する) Yamaha(config)#management interface vlan1000 ... (保守VLANとしてVLAN #1000 のアクセスを許可する) Yamaha(config)#telnet-server access permit 192.168.100.1 ... (192.168.100.1からのみアクセスを許可する) Yamaha(config)#end Yamaha#show telnet-server ... (設定状況の確認) Service:Enable Port:1024 Management interface(vlan):1000 Interface(vlan):None Access: permit 192.168.100.1
SSHサーバーに対するアクセス制限を実現します。
SSHサーバーホスト鍵の作成を行います。
ユーザー名とパスワードの登録をします。
SSHクライアントからは登録したユーザーとパスワードのみログイン可能です。
SSHサーバーの受付ポートを1024に変更します。
保守VLANを VLAN #1000 に変更、 VLAN #2 のアクセスを許可します。
これにより保守VLAN VLAN #1000 と、 VLAN #2 からのみアクセスを許可します。
ssh-server accessを設定した場合、条件に当てはまらないIPアドレスからのアクセスは拒否します。
Yamaha#ssh-server host key generate ... (ホスト鍵を作成する) Yamaha#show ssh-server host key ... (鍵の内容をの確認) ssh-dss (省略) ssh-rsa (省略) Yamaha# Yamaha#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Yamaha(config)#username user1 password pw1 ... (ユーザー名とパスワードを登録する) Yamaha(config)#ssh-server enable 1024 ... (受付ポートを1024に変更し、SSHサーバーを再起動する) Yamaha(config)#management interface vlan1000 ... (保守VLANとして #1000 のアクセスを許可する) Yamaha(config)#ssh-server interface vlan2 ... (VLAN #2 のアクセスを許可する) Yamaha(config)#end Yamaha#show ssh-serverr ... (設定状況の確認) Service:Enable Port:1024 Hostkey:Generated Client alive :Disable Management interface(vlan):1000 Interface(vlan):2 Access:None Yamaha#
HTTPサーバーに対するアクセス制限を実現します。
HTTPサーバーの受付ポートを8000に変更し、 VLAN #2 のアクセスを許可します。
これによりデフォルト保守VLAN VLAN #1 と、 VLAN #2 からのみアクセスを許可します。
HTTPサーバーへの接続は192.168.100.1からのクライアントのみ許可します。
http-server accessを設定した場合、条件に当てはまらないIPアドレスからのアクセスは拒否します。
Yamaha(config)#http-server enable 8000 ... (受付ポートを8000に変更し、HTTPサーバーを再起動する) Yamaha(config)#http-server interface vlan2 ... (VLAN #2 のアクセスを許可する) Yamaha(config)#http-server access permit 192.168.100.1 ... (192.168.100.1からのみアクセスを許可する) Yamaha(config)#end Yamaha#show http-server ... (設定状況の確認) HTTP :Enable(8000) HTTPS:Disable Management interface(vlan):1 Interface(vlan):2 Access: permit 192.168.100.1
TFTPサーバーに対するアクセス制限を実現します。
TFTPサーバーの受付ポートを2048に変更し、 VLAN #10 のアクセスを許可します。
デフォルト保守VLAN VLAN #1 と、 VLAN #10 からのみアクセスを許可します。
Yamaha(config)#tftp-server enable 2048 ... (受付ポートを2048に変更し、TFTPサーバーを再起動する) Yamaha(config)#tftp-server interface vlan10 ... (VLAN #10 のアクセスを許可する)
SNMPサーバーに対するアクセス制限を実現します。
publicコミュニティーへのアクセスを192.168.100.0/24からのクライアントのみに制限します。
加えて、privateコミュニティーへのアクセスを192.168.100.1からのクライアントのみに制限します。
Yamaha(config)#snmp-server access permit 192.168.100.0/24 community public ... (コミュニティー名publicでは192.168.100.0/24からのみアクセスを許可する) Yamaha(config)#snmp-server access permit 192.168.100.1 community private ... (コミュニティー名privateでは192.168.100.1からのみアクセスを許可する)
初期管理ユーザー admin のパスワードが初期値(admin)のまま変更されていない場合、以下の制限があります。
TFTPクライアントからTFTPサーバーにアクセスする場合、以下の制限があります。