MENU
全てのネットワークエンジニアのために

Cisco機器のSSH設定 – ASA

Cisco CML ネットワーク基礎
Cisco機器のSSH設定 - ASA

ASA(Cisco)にSSH接続するための設定について説明します。

目次

ネットワーク構成

下記の構成をCMLで構築します。

ネットワーク構成

各機器の基本設定

ASAのSSHサーバー設定

ASAをSSHサーバーとして動作させる設定を行います。

ログイン認証のためのユーザー名とパスワードを設定します。

username cisco password cisco

SSH接続時にローカル認証を利用するための設定を行います。

aaa authentication ssh console LOCAL

SSH接続を許可するセグメント(orホストアドレス)を指定します。

ssh 192.168.0.0 255.255.255.0 inside
ssh 172.16.0.0 255.255.255.0 inside

SSHの暗号鍵を生成します。ここでは、2048ビットを指定しています。

crypto key generate rsa general-keys modulus 2048
ASA1(config)# crypto key generate rsa general-keys modulus 2048
WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.

Do you really want to replace them? [yes/no]: yes
Keypair generation process begin. Please wait...

SSH接続確認

サーバーからのSSH接続

Sever1からSSH接続を行います。

Server1
ssh -l cisco 192.168.0.253
cisco@Server:~$ ssh -l cisco 192.168.0.253
The authenticity of host '192.168.0.253 (192.168.0.253)' can't be established.
RSA key fingerprint is SHA256:*******************************************.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.0.253' (RSA) to the list of known hosts.
cisco@192.168.0.253's password: 
User cisco logged in to ASA1
Logins over the last 1 days: 1.  
Failed logins since the last login: 0.  
Type help or '?' for a list of available commands.
ASA1>

鍵交換アルゴリズムの不一致によるエラー

CiscoルーターからのSSH接続

Router1からSSH接続すると、ログインエラーとなり、下記のログが表示されます。

Router1
ssh -l cisco 192.168.0.253
Router1#ssh -l cisco 192.168.0.253
[Connection to 192.168.0.253 aborted: error status 0]
Router1#
*Jan  1 23:46:09.623: %SSH-3-NO_MATCH: No matching kex algorithm found: client diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1 server diffie-hellman-group14-sha256

Router1とASA1で利用可能な鍵交換アルゴリズムが不一致となっている旨のログとなります。

スクロールできます
ホスト名利用可能な鍵交換アルゴリズム
Router1(SSHクライアント)diffie-hellman-group-exchange-sha1
diffie-hellman-group14-sha1
ASA1(SSHサーバー)diffie-hellman-group14-sha256

ASA1の設定を確認すると、”ssh key-exchange group”コマンドで指定されていることがわかります。

show run | inc ssh key-exchange
ASA1# show run | inc ssh key-exchange
ssh key-exchange group dh-group14-sha256

対処方法

ASAで設定可能なアルゴリズムを確認します。

ASA1
ssh key-exchange group ?
ASA1(config)# ssh key-exchange group ?

configure mode commands/options:
  dh-group1-sha1     Diffie-Hellman group 2 (DEPRECATED)
  dh-group14-sha1    Diffie-Hellman group-14-sha1
  dh-group14-sha256  Diffie-Hellman group-14-sha256

ASAの設定を変更します。

ASA1
ssh key-exchange group dh-group14-sha1

Router1から接続可能となったことを確認します。

Router1
ssh -l cisco 192.168.0.253
Router1#ssh -l cisco 192.168.0.253
Password: 
User cisco logged in to ASA1
Logins over the last 1 days: 5.  Last login: 00:55:31 UTC Jan 2 2022 from 172.16.0.1
Failed logins since the last login: 0.  
Type help or '?' for a list of available commands.
ASA1>

以上で、Cisco機器のSSH設定 – ASAの説明は完了です!

Cisco CML ネットワーク基礎
CCNA CCNP Cisco TCP/IP ネットワークエンジニア ネットワーク基礎
  • URLをコピーしました!
  • URLをコピーしました!

関連記事

目次