show version コマンド
Ciscoルータを管理するときに必ず使う基本コマンドのひとつが show version です。このコマンドを入力すると、ルータの動作環境やハードウェアの状態をまとめて確認することができます。
例えば、どのIOS(CiscoのOS)が稼働しているのか、搭載しているメモリの容量はどのくらいか、ルータが何時間動作しているかなどが分かります。車で例えると、車検証やメーターの情報を一度に確認するようなものです。
ネットワークエンジニアにとって基本中の基本であり、試験でもよく問われるので、どこにどの情報があるかを整理して覚えておきましょう。
show version で確認できる主な項目として、ルータのモデル名、IOSのフィーチャーセット、IOSのバージョン、ROMのバージョン、稼働時間(アップタイム)、使用しているIOSイメージ名と保存先、CPUの情報、DRAMのサイズ、ルータのシリアル番号、搭載されているインターフェースの種類と数、フラッシュメモリの容量、コンフィグレーションレジスタの値があります。特にコンフィグレーションレジスタはパスワードリカバリの際にも登場する重要な値なので、表示場所と意味をきちんと押さえておくことが大切です。
show running-config コマンド
もうひとつ、ネットワークエンジニアが最もよく入力するコマンドが show running-config(省略して show run) です。このコマンドはルータで現在動作している設定をそのまま確認できます。設定を変更するたびに内容が書き換わるため、「今このルータがどのように動作しているか」を把握するためには欠かせません。トラブル対応や設定の確認では必ず使用されます。
show run で確認できる内容には、IOSのバージョンやコンフィグファイルのサイズ、ログメッセージのタイムスタンプ設定、パスワードを暗号化するかどうかの設定(service password-encryption)、ホスト名、AAAの有効化や無効化、各インターフェースの設定内容(IPアドレス、速度、デュプレックスなど)、HTTPやHTTPSサーバ機能の有効・無効、そしてコンソール・AUX・VTYのログインパスワード設定などがあります。最後に「end」を示す行が表示され、そこでコンフィグの一覧が終了します。
試験対策のヒント
show version では IOSのバージョン、メモリサイズ、稼働時間、コンフィグレジスタの値といった情報が出題ポイントになりやすいです。
show running-config では、どのインターフェースにどのIPが設定されているか、パスワードが暗号化されているかどうか、リモートアクセスの有効化状況などが問われることがあります。
実務でも試験でも、この2つのコマンドを正しく読み取り、状況を把握できる力を身につけておくことが重要です。
show interfaces コマンド
Ciscoルータでインターフェースの状態を調べるときに使うのが show interfaces です。このコマンドを入力すると、そのインターフェースが物理的に正常かどうか、データリンク層で通信できる状態かどうか、さらに送受信パケットの統計やトラフィックの平均値などを確認できます。トラブルシューティングで非常に役立つコマンドなので、ネットワークエンジニアを目指すなら必ず理解しておきたい内容です。
実際には「show interfaces」と入力すると全てのインターフェース情報が表示されるため、対象を絞って「show interfaces FastEthernet0」といった形で確認するのが一般的です。
表示項目の主な内容は、物理層の状態(up, down, administratively down)、データリンク層の状態(up, down)、インターフェースのMACアドレス、設定されたIPアドレスとサブネットマスク、MTUや帯域幅(Bandwidth)、遅延(Delay)、信頼性(Reliability)、送受信の負荷(txload, rxload)、カプセル化方式(LANならARPAが基本)、DuplexやSpeedの情報、ARPキャッシュの有効時間、入出力パケット数やエラー数などです。さらに、runts(64バイト未満の小さいフレーム)、giants(1518バイトを超える大きなフレーム)、CRCエラー(ケーブルやポート不良が原因)、collisions(衝突による再送)、output drops(出力時に破棄されたパケット)といった詳細な統計も確認できます。これらは障害調査のときに重要な手がかりになります。
ただし、CCNAやCCNPの試験では show interfaces のすべての統計値を覚える必要はなく、実務で使っていく中で自然と理解していくことが推奨されています。
show interfaces での物理層とデータリンク層の確認
show interfaces で最も重要な情報は、出力の一行目にある「Interface is ~ / line protocol is ~」の部分です。この行を見るだけで、そのインターフェースが物理層・データリンク層のどちらで問題を抱えているかを判断できます。例としてSerialインターフェースの出力を見てみましょう。
- administratively down / down
インターフェースが shutdown コマンドで無効化されている状態。no shutdownを入力することで有効化できます。 - down / down
物理層が正常に動作していない状態。ケーブル未接続、インターフェース不良、対向側の shutdown などが原因として考えられます。 - up / down
物理層は動作しているが、データリンク層が正常に動作していない状態。キープアライブが届いていない、カプセル化方式の不一致、クロック設定の不足、ケーブル不良などが疑われます。 - up / up
物理層もデータリンク層も正常で、インターフェースが正しく稼働している状態です。
なお、物理層とデータリンク層の状態を一覧で確認したい場合は show ip interface brief を使うと便利です。このコマンドでは全インターフェースの状態が簡潔に表示されます。
また補足として、CiscoルータとCatalystスイッチでは no shutdown 実行後の未接続インターフェースの挙動が異なります。ルータでは「up / down」と表示されますが、スイッチでは「down / down」と表示される点を覚えておくと試験で役立ちます。
ホスト名の設定
Ciscoルータを初期設定するとき、最初に行う作業のひとつがホスト名の設定です。デフォルトでは「Router」と表示されますが、複数のルータを管理するときに識別が難しくなります。そのため、ネットワーク管理者が分かりやすいように「hostname ホスト名」といった形で名前を付けることができます。ホスト名を設定しておくと、プロンプトに反映されるので作業の区別が容易になります。試験でも基本的な設定コマンドとして出題されやすい部分です。
インターフェースの有効化と無効化
Ciscoルータのインターフェースは、デフォルトで無効化(shutdown)されています。利用するインターフェースは必ず有効化しなければ通信できません。有効化するには対象インターフェースに入り「no shutdown」を入力します。逆に無効化したい場合は「shutdown」を入力します。状態を確認すると administratively down と表示され、手動で無効化されていることが分かります。実機操作の基本なのでしっかり覚えておきましょう。
インターフェースのIPアドレス設定
ルータはルーティングを行う機器なので、各インターフェースにIPアドレスを設定する必要があります。設定方法は「ip address IPアドレス サブネットマスク」と入力します。
例えば FastEthernet0 に 192.168.0.254/24 を設定する場合は「ip address 192.168.0.254 255.255.255.0」とします。インターフェースの有効化と組み合わせて設定するのが一般的な流れです。
インターフェースのdescription設定
ルータの動作には影響しませんが、管理上の利便性を高めるために「description 説明文」でインターフェースに説明をつけられます。
例えば「description Sales-Network」とすれば、そのインターフェースが営業部門のネットワークに接続されていることが分かります。実務では大規模なネットワークで特に役立ちます。
コンソール入力の最適化(logging synchronous)
ルータに設定変更をしているとき、突然システムメッセージが表示されて入力が邪魔されることがあります。これを防ぐには、line console 0 や line vty で「logging synchronous」を設定します。これにより、メッセージが表示されても自動的に改行され、入力中の行に戻るので作業が中断されません。小さな工夫ですが、実際の現場では非常に便利です。
セッションタイムアウトの設定
Ciscoルータはデフォルトで10分間操作がないと自動的にセッションが切断されます。セキュリティ的には良い仕組みですが、検証環境などでは不便に感じることがあります。これを調整するには「exec-timeout 分 秒」を使います。
例えば「exec-timeout 30 0」と入力すると30分間操作がなければログアウトされます。完全に無効化したい場合は「exec-timeout 0 0」と設定します。なお、デフォルトの10分間に戻すには「exec-timeout 10 0」と入力します。
ログインバナーの設定
ルータにログインする際、任意のメッセージを表示することができます。これを「バナー」と呼び、設定には「banner motd」コマンドを使います。
例えば「banner motd # This is my Cisco Router. Do not Access. #」と設定すると、ログイン時にメッセージが表示されます。実務では警告文やセキュリティに関する注意を記載するのが一般的です。ただし、設置場所やシリアル番号などの詳細情報を記載するとセキュリティリスクになるため避けるようCiscoも推奨しています。
なお、バナーには3種類あり、banner motd(ログイン前に表示)、banner login(ログイン時に表示)、banner exec(ログイン後に表示)があります。試験ではこれらの違いを理解しておくと安心です。
ユーザEXECモードへのアクセス制限
Ciscoルータにアクセスする方法は大きく分けて3つあります。1つ目はコンソールポートを使った接続、2つ目はAUXポートを使った接続、3つ目はリモートからtelnetやSSHでアクセスするVTYポートを使った接続です。これらのいずれの場合も、不正アクセスを防ぐためにログイン時にパスワードを求める設定をするのが一般的です。
アクセス制限を有効にするには、各lineに対して「password パスワード文字列」と「login」を設定します。例えば「password ciscotest」「login」と設定すると、そのlineにログインするときに「ciscotest」というパスワードを入力しなければならなくなります。
特にVTYポートは仮想的な端末接続用ポートで、物理的なコネクタは存在しません。デフォルトでは line vty 0 4 が定義されており、同時に最大5人までtelnetやSSHで接続できます。必要に応じて line vty 0 15 と定義すれば、最大16ポートを利用できるようになります。ルータの機種によって設定可能な数は異なりますが、試験や実務でよく登場するのは「0~4」や「0~15」という範囲です。
ただし、これらのパスワード設定をしていない場合、セキュリティ上の理由からVTY経由でのアクセスは拒否されます。なおAAA認証を設定している場合はこの限りではありません。
特権EXECモードへのアクセス制限
Ciscoルータでは通常、2段階でパスワードを設定します。1段階目がユーザEXECモードへのパスワード、2段階目が特権EXECモードへのパスワードです。特権EXECモードはルータの設定変更が可能なモードなので、一般ユーザには知らせず、管理者だけが知っているパスワードにしておくのがセキュリティ上の基本です。
この特権EXECモードのパスワード設定には2種類のコマンドがあります。「enable password」と「enable secret」です。違いは、enable passwordではコンフィグにパスワードが平文で表示されるのに対し、enable secretでは暗号化されて表示される点です。一般的にはセキュリティ性の高い enable secret を使います。もし両方設定している場合は、enable secret のパスワードが優先されます。
パスワードの暗号化
enable secret 以外のパスワード、つまり line console や line vty、enable password に設定したものはデフォルトではクリアテキストでコンフィグ上に表示されます。これを避けるために使うのが「service password-encryption」です。
このコマンドを設定すると、これらのパスワードが自動的に暗号化されます。例えば show running-config を確認すると、クリアテキストではなく暗号化された文字列に置き換わって表示されます。ただし、暗号化の方式は強固なものではなく簡単に復号可能なので、根本的なセキュリティ機能というより「他人に覗かれてもすぐには読まれないようにする」程度のものと理解しておくとよいです。
なお、一度暗号化されたパスワードは「no service password-encryption」を入力しても元の平文に戻ることはありません。新たに設定する際にクリアテキストで定義し直す必要があります。
試験対策としては、ユーザEXECモード用のlineパスワード、特権EXECモード用のenable password / enable secretの違い、そして service password-encryption の役割を整理して覚えておくことが大切です。
SSHの設定
Ciscoルータへリモートアクセスする際、従来はtelnetが使われていましたが、現在では暗号化されていないtelnetではなく、より安全なSSHを利用するのが一般的です。SSHを使うには、ルータ側でいくつかの追加設定が必要です。以下に手順を整理して説明します。
1. ユーザ認証の設定
まず、SSHでログインするためのユーザ名とパスワードを作成します。例としてユーザ名を「user1」、パスワードを「pass1」とした場合は次のように設定します。
ユーザ名とパスワードは大文字・小文字を区別するため、入力ミスに注意してください。
また、line vty に「login local」を設定することで、先ほど作成したユーザ名とパスワードを用いたローカル認証が有効になります。これにより、VTYパスワードではなくローカルユーザ情報を使ったログインが可能となります。
2. ドメイン名の設定
SSHで使う暗号鍵を生成するには、ルータにホスト名とドメイン名が必要です。ドメイン名は実際のDNSに登録されているものでなくても構いません。例として、ホスト名を「R1」、ドメイン名を「cisco.com」と設定します。
3. RSA暗号鍵の生成
次に暗号化のためのRSA鍵を生成します。crypto key generate rsa を入力すると鍵長を聞かれるので、1024ビットを指定するのが一般的です。セキュリティ要件が高ければ2048ビット以上に設定することも可能です。
4. SSHバージョンの設定
SSHにはバージョン1と2があります。バージョン2の方がセキュリティ性が高いため、ip ssh version 2 と設定しておくことを推奨します。試験でも「SSH接続をより安全にするためにはどの設定が必要か」といった形で問われることがあります。
5. SSH接続の許可設定
デフォルトではtelnetとSSHの両方が許可されています。もしSSHだけを許可したい場合は、line vty の設定で transport input ssh と入力します。両方を許可したい場合は transport input telnet ssh を設定します。セキュリティ面を考えると、SSHのみに制限しておくのが望ましいです。
これらの設定により、SSHを利用して安全にルータへアクセスできるようになります。ただし、SSHでログインした後に特権EXECモードへ移行するためには、事前に enable secret または enable password を設定しておく必要があります。設定していないと「No Password set」と表示されて、特権EXECモードに入れません。
SSHによるアクセス方法
クライアントPCからCiscoルータにSSHで接続する場合、Tera Termを使うときは接続先IPアドレスを入力し、SSHを選択して接続します。その後、ルータ側で設定したユーザ名とパスワードを入力すればログイン可能です。
ログイン後は show ssh コマンドで現在のSSHバージョンや接続中のユーザ情報を確認できます。
また、ルータから別のルータにSSHで接続することも可能です。この場合、telnetと違って以下のように入力します。
Router> ssh -l user1 192.168.0.254ここで「-l user1」はログイン時のユーザ名を示しています。パスワードは対話的に入力することになります。なお、telnetと比べてSSHは暗号化処理があるためレスポンスがやや遅く感じる場合があります。
試験対策ポイント
CCNA試験では、SSH接続を有効化するための必須ステップとして以下を押さえておくと安心です。
- ユーザ名とパスワードを作成する(
username ~ password ~) - ホスト名とドメイン名を設定する
- RSA鍵を生成する(
crypto key generate rsa) - SSHバージョンを指定する(
ip ssh version 2) - VTYに
login localとtransport input sshを設定する
この流れを覚えておけば、実機操作だけでなく選択問題でも対応できるようになります。
Ciscoルータでパスワードを忘れたとき
Ciscoルータでは、特権EXECモードに入るために enable password または enable secret を設定しておきます。もしこのパスワードを忘れてしまうと、ルータの設定を確認できなかったり、変更できなくなってしまいます。そのため、このような状況では「パスワードリカバリー」という手順を実施して復旧する必要があります。
これはCCNA試験でもよく出題される内容なので、流れをしっかり理解しておきましょう。
パスワードリカバリーの基本的な考え方
ルータの設定は通常、電源を入れたときにNVRAMに保存されている startup-config を読み込み、実際の動作設定(running-config)に反映されます。
しかしパスワードを忘れた場合は、この startup-config をあえて読み込まない ように起動させることで、パスワードが設定されていない状態から操作できるようにします。
そのために重要なのが コンフィグレーションレジスタの値を変更する という作業です。
パスワードリカバリーの手順
ここからは実際の流れを確認していきましょう。試験では順序を問う問題がよく出るので、ストーリーを追うように覚えるとよいです。
1. コンソール接続
まずはPCとルータをコンソールケーブルで接続し、ターミナルソフト(Tera Termなど)を起動します。ここからすべての操作を行います。
2. ルータの再起動とBreakキー送信
ルータの電源を一度切り、再度ONにします。起動から60秒以内に Breakキー信号 を送ると、ルータは通常の起動ではなく ROMMONモード で立ち上がります。
Tera Termなら「Alt + B」、Hyper Terminalなら「Ctrl + Break」が対応しています。
3. コンフィグレジスタの変更
ROMMONモードで以下のように入力します。
rommon 1 > confreg 0x2142
rommon 2 > resetこれにより、ルータは再起動後に NVRAMのstartup-configを読み込まない 状態で立ち上がります。
4. セットアップモードをスキップ
再起動後、初期設定を行うための「Would you like to enter the initial configuration dialog?」と聞かれます。ここでは Ctrl + C を押してスキップします。
その後、enable コマンドを入力すれば、パスワードなしで特権EXECモードに入ることができます。
5. startup-configの読み込み
次に、元の設定を反映させるために以下を実行します。
Router# copy startup-config running-configここは試験でよく引っかけられるポイントです。copy run start ではなく、copy start run とするのが正解です。
6. パスワードの再設定
特権EXECモードに入れたら、グローバルコンフィグモードで新しいパスワードを設定します。
Router(config)# enable secret testここで指定したパスワードを忘れると、また同じ手順を繰り返す必要があるので要注意です。
7. インターフェースの有効化
再起動直後は全てのインターフェースが shutdown 状態になっています。必要なインターフェースを有効化するには以下を入力します。
Router(config)# interface g0/0
Router(config-if)# no shutdown8. コンフィグレジスタを元に戻す
一時的に 0x2142 に変更したレジスタを、通常の設定値である 0x2102 に戻します。
Router(config)# config-register 0x2102この設定により、次回以降はNVRAMのstartup-configを自動的に読み込むようになります。
9. 設定の保存
最後に忘れずに保存を行います。
Router# copy running-config startup-configまたは write memory でも構いません。ここで間違えて copy start run としてしまうと上書きできないので注意が必要です。
リカバリー後の再起動について
手順通りに設定を終えると、ルータの show version では現在のコンフィグレジスタ値が「0x2142」と表示され、次回リロード後に「0x2102」となることが確認できます。
このままでも動作に支障はありませんが、機器を納品する場合などは「リカバリをした痕跡」が残ってしまう可能性があります。
そのため、最終的にもう一度再起動しておくことを推奨します。再起動後は通常の「0x2102」の表示に戻り、見た目上もクリーンな状態になります。
試験対策ポイント
この分野はCCNA試験でも頻出です。特に以下の点は必ず覚えておきましょう。
- startup-configを読み込まないようにするために config-register を 0x2142 に変更する
- copy start run と入力することで元の設定を反映させる
- 最終的に config-register を 0x2102 に戻し、保存する
流れさえ理解していれば、実機操作でも試験問題でも落ち着いて対応できるようになります。