本製品では、ネットワークサービスを実現する以下のアプリケーションに対して、アクセス制限を行う機能を提供します。
特になし
ネットワークサービスに対するアクセス制限として、以下の4つを可能とします。
下表にネットワークサービスごとに対応する機能を示します。
ネットワークサービス | 起動・停止制御 | 受付ポート番号の変更 | アクセス先の限定 | アクセス元の限定 |
---|---|---|---|---|
Telnet サーバー | ○ | ○ | ○ | ○ |
SSH サーバー | ○ | ○ | ○ | ○ |
Http サーバー セキュアHttp サーバー |
○ | ○ | ○ | ○ |
Tftp サーバー | ○ | ○ | ○ | × |
ネットワークサービス | 起動・停止状態 | 受付ポート番号 | アクセス先の限定 | アクセス元の限定 |
---|---|---|---|---|
Telnet サーバー | 起動 | 23 | デフォルト保守VLAN (VLAN #1) のみ許可 | 全て許可 |
SSH サーバー | 停止 | 22 | デフォルト保守VLAN (VLAN #1) のみ許可 | 全て許可 |
Http サーバー | 起動 | 80 | デフォルト保守VLAN (VLAN #1) のみ許可 | 全て許可 |
セキュアHttp サーバー | 停止 | 443 | ||
Tftp サーバー | 停止 | 69 | デフォルト保守VLAN (VLAN #1) のみ許可 | 全て許可 |
関連コマンドについて、以下に示します。
詳細は、コマンドリファレンスを参照願います。
ネットワークサービス | 操作項目 | 操作コマンド |
---|---|---|
共通 | 保守VLAN | management interface |
Telnetサーバー | 起動停止 | telnet-server |
受付ポート番号変更 | telnet-server enable (引数でポート番号を指定) | |
アクセス制御 | telnet-server interface | |
IPアドレスアクセス制御 | telnet-server access | |
設定の表示 | show telnet-server | |
SSHサーバー | 起動停止 | ssh-server |
受付ポート番号変更 | ssh-server enable (引数でポート番号を指定) | |
アクセス制御 | ssh-server interface | |
IPアドレスアクセス制御 | ssh-server access | |
クライアント生存確認 | ssh-server client alive | |
設定の表示 | show ssh-server | |
ホスト鍵の作成 | ssh-server host key generate | |
ホスト鍵のクリア | clear ssh-server host key | |
公開鍵の表示 | show ssh-server host key | |
Httpサーバー | Httpサーバー起動停止 | http-server |
Httpサーバー受付ポート番号変更 | http-server enable (引数でポート番号を指定) | |
セキュアHttpサーバー起動停止 | http-server secure | |
セキュアHttpサーバー受付ポート番号変更 | http-server secure enable (引数でポート番号を指定) | |
アクセス制御 | http-server interface | |
IPアドレスアクセス制御 | http-server access | |
設定の表示 | show http-server | |
Tftpサーバー | 起動停止 | tftp-server |
アクセス制御 | tftp-server interface |
Telnetサーバーに対するアクセス制限を実現します。
Telnetサーバーの受付ポートを1024に変更します。
保守VLANを VLAN #1000 に変更しアクセスを許可します。保守VLAN以外からのアクセスは拒否します。
Telnetサーバーへの接続は192.168.100.1からのクライアントのみ許可します。
telnet-server accessを設定した場合、条件に当てはまらないIPアドレスからのアクセスは拒否します。
Yamaha(config)#telnet-server enable 1024 ... (受付ポートを1024に変更し、Telnetサーバーを再起動する) Yamaha(config)#management interface vlan1000 ... (保守VLANとしてVLAN #1000 のアクセスを許可する) Yamaha(config)#telnet-server access permit 192.168.100.1 ... (192.168.100.1からのみアクセスを許可する) Yamaha(config)#end Yamaha#show telnet-server ... (設定状況の確認) Service:Enable Port:1024 Management interface(vlan):1000 Interface(vlan):None Access: permit 192.168.100.1
SSHサーバーに対するアクセス制限を実現します。
SSHサーバーホスト鍵の作成を行います。
ユーザー名とパスワードの登録をします。
SSHクライアントからは登録したユーザーとパスワードのみログイン可能です。
SSHサーバーの受付ポートを1024に変更します。
保守VLANを VLAN #1000 に変更、 VLAN #2 のアクセスを許可します。
これにより保守VLAN VLAN #1000 と、 VLAN #2 からのみアクセスを許可します。
ssh-server accessを設定した場合、条件に当てはまらないIPアドレスからのアクセスは拒否します。
Yamaha#ssh-server host key generate ... (ホスト鍵を作成する) Yamaha#show ssh-server host key ... (鍵の内容をの確認) ssh-dss (省略) ssh-rsa (省略) Yamaha# Yamaha#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Yamaha(config)#username user1 password pw1 ... (ユーザー名とパスワードを登録する) Yamaha(config)#ssh-server enable 1024 ... (受付ポートを1024に変更し、SSHサーバーを再起動する) Yamaha(config)#management interface vlan1000 ... (保守VLANとして #1000 のアクセスを許可する) Yamaha(config)#ssh-server interface vlan2 ... (VLAN #2 のアクセスを許可する) Yamaha(config)#end Yamaha#show ssh-serverr ... (設定状況の確認) Service:Enable Port:1024 Hostkey:Generated Client alive :Disable Management interface(vlan):1000 Interface(vlan):2 Access:None Yamaha#
Httpサーバーに対するアクセス制限を実現します。
Httpサーバーの受付ポートを8000に変更し、 VLAN #2 のアクセスを許可します。
これによりデフォルト保守VLAN VLAN #1 と、 VLAN #2 からのみアクセスを許可します。
Httpサーバーへの接続は192.168.100.1からのクライアントのみ許可します。
http-server accessを設定した場合、条件に当てはまらないIPアドレスからのアクセスは拒否します。
Yamaha(config)#http-server enable 8000 ... (受付ポートを8000に変更し、httpサーバーを再起動する) Yamaha(config)#http-server interface vlan2 ... (VLAN #2 のアクセスを許可する) Yamaha(config)#http-server access permit 192.168.100.1 ... (192.168.100.1からのみアクセスを許可する) Yamaha(config)#end Yamaha#show http-server ... (設定状況の確認) HTTP :Enable(8000) HTTPS:Disable Management interface(vlan):1 Interface(vlan):2 Access: permit 192.168.100.1
Tftpサーバーに対するアクセス制限を実現します。
Tftpサーバーの受付ポートを2048に変更し、 VLAN #10 のアクセスを許可します。
デフォルト保守VLAN VLAN #1 と、 VLAN #10 からのみアクセスを許可します。
Yamaha(config)#tftp-server enable 2048 ... (受付ポートを2048に変更し、tftpサーバーを再起動する) Yamaha(config)#tftp-server interface vlan10 ... (VLAN #10 のアクセスを許可する)
特になし