FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

YAMAHAルーターにSSH接続をしたらエラーでログインできない場合の対処方法ssh_exchange_identification: Connection closed by remote host

2020.03.14 (Sat)

YAMAHA RTX1210 RTX830等のルーターに対してSSH接続を試みたところ、
次のようなエラーが発生。なぜ?

ssh_exchange_identification: Connection closed by remote host







SSH接続元の制限がかかっているためであった。

次のコマンドで許可することが可能です。

sshd host 許可したいIP


例)192.1681.1と10.0.0.0/24から許可した場合

sshd host 192.168.1.1 10.0.0.0-10.0.0.255

複数指定したい場合は半角スペース区切りで、範囲指定はハイフンを使う。

スポンサーサイト



Cisco Port-Channel でのトラブル %ETC-5-CANNOT_BUNDLE2: Gi1/0/24 is not compatible with Gi2/0/24 and will be suspended (dtp mode of Gi1/0/24 is off, Gi2/0/24 is on)

2020.02.13 (Thu)
Cisco Port-Channel が組まれたポートでトラブル が発生した。

%ETC-5-CANNOT_BUNDLE2: Gi1/0/24 is not compatible with Gi2/0/24 and will be suspended
(dtp mode of Gi1/0/24 is off, Gi2/0/24 is on)

オペミスをしてしまった。。。






ネイティブVLANをデフォルト状態(VLAN1)のままにしないほうがよい理由 CCNA CCNP

2019.10.10 (Thu)

少なくともCiscoスイッチでは、トランクポートでネイティブVLANを使用する必要があり、
ほとんどの場合、他のベンダーがそれを異なる方法で使用する必要があります。
ただし、セキュリティリスクはネイティブVLANとして設定されているVLAN 1
(デフォルトVLAN)に関係していることを覚えておく必要があります。








ネイティブVLANをVLAN 1から、作成した新しいVLANに変更する必要があります。
ネイティブVLANは、DTP、VTP、CDPフレームなどの多くの管理データ、
およびスパニングツリーのBPDUに使用されます。

新しいスイッチを取得すると、VLAN 1が存在する唯一のVLANになります。
これは、すべてのポートがデフォルトでこのVLANのメンバーであることも意味します。

VLAN 1をネイティブVLANとして使用している場合、
このVLANの一部として構成されていないすべてのポートがあります。
そのため、攻撃者が使用されていない(使用されていないため)設定されていないポート
に接続すると、管理VLANにすぐにアクセスでき、VLANホッピングを許可したり、
不要なパケットをキャプチャしたりする可能性のあるパケットを読み取って挿入できます

スイッチ/ルーターへのSSH、またはさらに悪いことにSSHを確認します
(Telnetを許可しないでください)。

常にVLAN 1を使用しないことをお勧めします。
したがって、攻撃者または不要なクライアントがVLAN 1に接続して終了し、
使用可能なゲートウェイなど、このVLANに何も構成されていない場合、
それらはほとんどスタックしてどこにも行けません、

ネイティブVLANはVLAN 900のようなものですが、
デフォルトのVLANではないため、ポートにアクセスする可能性は低くなります。

多くのエンジニアは未使用のポートを無効にせず、
重要なものにVLAN 1を使用すると、802.1xなどを使用しない限り
アクセス可能な状態になります。

エンジニア/ネットワーク管理者はにとって、
攻撃者に利益をもたらす小さなセキュリティホールがあります。

ただし、VLAN 1が使用されておらず、
ポートがデフォルトのままになっている場合は大きな問題ではありません。






 | HOME |  Next »