远程访问概述
您(网络管理员)可以使用 DHCP、Finger、FTP、rlogin、SSH 和 Telnet 服务等服务远程访问路由器、交换机或安全设备。本主题介绍如何使用 Telnet、SSH、FTP 和 Finger 服务配置远程访问。
系统服务概述
出于安全原因,默认情况下禁用对路由器的远程访问。您必须显式配置路由器,以便远程系统上的用户可以访问它。用户可以通过 DHCP、finger、FTP、rlogin、SSH 和 Telnet 服务从远程系统访问路由器。此外,Junos XML 协议客户端应用程序可以使用安全套接字层 (SSL) 或特定于 Junos XML 协议的明文服务等服务。
为了保护系统资源,可以限制服务接受的同时连接数和单个用户拥有的进程数。如果超过任一限制,连接尝试将失败。
配置 Telnet 服务以远程访问路由器或交换机
要将路由器或交换机配置为接受 Telnet 作为接入服务,请在层次结构级别包含[edit system services]该telnet语句:
[edit system services] telnet { connection-limit limit; rate-limit limit; }
默认情况下,路由器或交换机每分钟支持的同步 Telnet 会话和连接尝试次数有限。
或者,您可以包含以下任一或两语句来更改默认值:
-
connection-limit limit— 每个协议的最大同时连接数(IPV4 和 IPv6)。范围从 1 到 250。默认值为 75。配置连接限制时,该限制适用于每个协议(IPv4 和 IPv6)的 telnet 会话数。例如,连接限制为 10 时允许 10 个 IPv6 telnet 会话和 10 个 IPv4 telnet 会话。 -
rate-limit limit- 每分钟接受的最大连接尝试次数(从 1 到 250)。默认值为 150。配置速率限制时,该限制适用于每个协议(IPv4 和 IPv6)的连接尝试次数。例如,速率限制为 10 则每分钟允许 10 次 IPv6 telnet 会话连接尝试,每分钟允许 10 次 IPv4 telnet 会话连接尝试。
配置 FTP 服务以远程访问路由器或交换机
要将设备配置为接受 FTP 作为接入服务,请在[edit system services]层次结构级别包含该ftp语句:
[edit system services] ftp;
您可以使用无源 FTP 访问仅接受无源 FTP 服务的设备。所有使用 FTP 的命令和语句也接受被动 FTP。在层次结构级别包含[edit system services]该ftp语句,以使用主动 FTP 或被动 FTP。
要启动被动 FTP 会话,请使用pasvftp标准 FTP 格式 (ftp://destination) 中的 (而不是 ftp )。例如:
request system software add pasvftp://name.com/jinstall.tgz
配置手指服务以远程访问路由器
要将路由器配置为接受手指作为接入服务,请在层次结构级别包含[edit system services]以下finger语句:
[edit system services] finger;
配置 SSH 服务以远程访问路由器或交换机
要将路由器或交换机配置为接受 SSH 作为接入服务,请在[edit system services]层次结构级别包含以下ssh语句:
[edit system services] ssh { authentication-order [method 1 method2...]; authorized-keys-command authorized-keys-command; authorized-keys-command-user authorized-keys-command-user; authorized-principals-file filename authorized-principals-command program-path ciphers [ cipher-1 cipher-2 cipher-3 ...]; client-alive-count-max number; client-alive-interval seconds; connection-limit limit; fingerprint-hash (md5 | sha2-256); host-certificate-file filename hostkey-algorithm (algorithm | no-algorithm); key-exchange [algorithm1 algorithm2...]; log-key-changes log-key-changes; macs [algorithm1 algorithm2...]; max-pre-authentication-packets number; max-sessions-per-connection number; no-challenge-response; no-password-authentication; no-passwords; no-public-keys; no-tcp-forwarding; port port-number; protocol-version [v2]; rate-limit number; rekey { data-limit bytes; time-limit minutes; } root-login (allow | deny | deny-password); sftp-server; tcp-forwarding; trusted-user-ca-key-file filename }
默认情况下,路由器或交换机每分钟支持的同步 SSH 会话和连接尝试次数有限。使用以下语句更改默认值:
-
connection-limit limit— 每个协议的最大同时连接数(IPv4 和 IPv6)。范围是 1 到 250 之间的值。默认值为 75。配置连接限制时,该限制适用于每个协议(IPv4 和 IPv6)的 SSH 会话数。例如,连接限制为 10 时,允许 10 个 IPv6 SSH 会话和 10 个 IPv4 SSH 会话。 -
max-sessions-per-connection number— 包含此语句以指定每个单个 SSH 连接允许的最大 SSH 会话数。这允许您限制在单个 SSH 连接中建立隧道的克隆会话数。默认值为 10。 -
rate-limit limit- 每分钟接受的最大连接尝试次数(值从 1 到 250)。默认值为 150。配置速率限制时,该限制适用于每个协议(IPv4 和 IPv6)的连接尝试次数。例如,速率限制为 10 则每分钟允许 10 次 IPv6 SSH 会话连接尝试,每分钟允许 10 次 IPv4 SSH 会话连接尝试。 -
data-limit— 重新协商会话密钥之前的数据限制(字节) -
time-limit— 重新协商会话密钥前的时间限制(分钟)
默认情况下,用户可以通过 CLI 会话通过 SSH 创建到运行 Junos OS 的路由器的 SSH 隧道。这种类型的隧道可用于转发 TCP 流量,绕过任何防火墙过滤器或访问控制列表。通过绕过防火墙过滤器或访问控制列表,这种类型的隧道允许访问路由器以外的资源。使用此选项可 no-tcp-forwarding 防止用户通过 SSH 创建到路由器的 SSH 隧道。
瞻博网络加强了现有公钥加密技术中的有限场加密 (FFC) 参数,以降低来自加密相关量子计算机 (CRQC) 对 SSH 协议使用 Quantum Buffer 的风险。这种量子缓冲区方法通过强化 FFC 参数来延长时间窗口并抵抗密码分析攻击。请参阅 量子缓冲区。
有关其他配置设置的信息,请参阅以下主题:
通过 SSH 配置 root 登录
默认情况下,当 身份验证 方法不需要密码时,允许用户路由器通过 SSH 登录 AS 或切换 ASroot。要通过 SSH 控制用户访问,请在层次结构级别包含[edit systems services ssh]该root-login语句:
[edit system services ssh] root-login (allow | deny | deny-password);
allow— 允许用户通过 SSH 以 root 身份登录到路由器或交换机。
deny— 禁止用户通过 SSH 以 root 身份登录到路由器或交换机。
deny-password—当身份验证方法(例如 RSA)不需要密码时,允许用户以 root 身份登录路由器或通过 SSH 进行交换。
默认值为 deny-password。
配置传入 SFTP 连接
SSH 文件传输协议 (SFTP) 是一种网络协议,可通过任何可靠的数据流提供文件访问、文件传输和文件管理。默认情况下,传入 SFTP 连接处于禁用状态。如果需要,您可以通过在层次结构级别配置[edit system services ssh]该语句sftp-server来全局启用传入 SFTP 连接。
默认情况下,仅禁用传入 SFTP 连接。例如,给定设备 A 和 B,默认情况下无法通过 SFTP 从 B 连接到 A。但是,如果您在设备 A 上进行配置 sftp-server ,则可以通过 SFTP 从设备 B 连接到设备 A。
默认情况下,传入 SFTP 连接处于禁用状态。要启用传入 SFTP 连接:
配置 SSH 协议版本
默认情况下,仅启用 SSH 协议版本 2。
要将路由器或交换机配置为使用版本 2 的 SSH 协议,请包含该 protocol-version 语句并在 v2 层次结构级别指定 [edit system services ssh] :
[edit system services ssh] protocol-version [ v2 ];
配置客户端活动机制
当客户端或服务器依赖于知道连接何时变为非活动状态时,客户端活动机制很有价值。它与标准激活机制不同,因为客户端激活消息是通过加密通道发送的。默认情况下,不启用客户端活动机制。要启用它,请配置 client-alive-count-max and client-alive-interval 语句。此选项仅适用于 SSH 协议版本 2。
在以下示例中,无响应的 SSH 客户端将在大约 100 秒 (20 x 5) 后断开连接:
[edit system ssh] client-alive-count-max 5; client-alive-interval 20;
配置 SSH 指纹散列算法
要配置 SSH 服务器在显示密钥指纹时使用的散列算法,请包含该fingerprint-hash语句并在层次结构级别指定 md5 [edit system services ssh] orsha2-256:
[edit system services ssh] fingerprint-hash (md5 | sha2-256);
基于 SSH 证书的身份验证概述
从 Junos OS 和 Junos OS 演化版 22.4R1 开始,您可以为用户和主机配置基于 SSH 证书的身份验证。使用此功能,您无需验证密钥指纹,即可为用户和信任主机建立无密码 SSH 访问。
SSH 基于证书的身份验证的优势
-
SSH 基于证书的身份验证消除了用户记住和输入密码的需要,从而简化了登录过程。
-
与传统的基于密码的方法相比,SSH 证书提供更强的安全性。由于没有密码可供猜测或破解,它们更难被攻破。
-
SSH 证书简化了身份验证密钥的管理。管理员可以从集中的证书颁发机构颁发和撤销证书,而不是为每个用户和主机管理单独的密钥。
生成签名密钥
签名密钥是基于 SSH 证书的身份验证中使用的专用加密密钥。配置基于 SSH 证书的身份验证的第一步是生成签名密钥。您可以在任何 Linux/FreeBSD 系统上生成签名密钥。请按照以下步骤为基于 SSH 证书的身份验证生成签名密钥:
运行命令:
ssh-keygen -f <filename_ca>。这将创建一个名为<filename_ca>的私钥和一个名为<filename_ca.pub>的相应公钥。登录到您的瞻博网络设备,并通过执行命令配置 SSH 可信用户证书颁发机构 (证书颁发机构) 密钥文件:
set system services ssh trusted-user-ca-key-file <path-to-public-key>然后提交配置。每个用户都可以使用以下 CLI 命令生成自己的用户密钥:
ssh-keygen -t <rsa|ecdsa|ed25519>。将用户创建的公密钥复制到具有用户证书
<filename_ca><filename_ca.pub>和 的计算机上。对文件中的
<filename_ca.pub>用户公钥进行签名。
配置
要配置基于 SSH 证书的身份验证,请使用以下 CLI 配置语句:
-
[system services ssh trusted-user-ca-key-file filename]— 配置TrustedUserCAKey包含 SSH 证书公钥的文件。 -
[system services ssh host-certificate-file filename]—配置HostCertificate包含已签名主机证书的文件。 -
[system services ssh authorized-principals-file filename]- 配置包含AuthorizedPrincipals名称列表的文件,其中一个名称必须出现在证书中才能被接受进行身份验证。 -
[system services ssh authorized-principals-command program-path]- 指定用于生成文件中找到AuthorizedPrincipals的允许证书主体列表的程序。
禁用 SSH
如果启用了 SSH 并想要禁用它,只需从层次结构级别中[edit system services]移除该ssh语句即可。
如果您只想禁用外部 SSH,请在层次结构级别使用[edit system services ssh]该access-disable-external语句。
默认情况下启用 SSH 后,您无法像往常一样通过层次结构禁用 [edit system services] 它。相反,您可以配置防火墙过滤器来拒绝 SSH 访问:
set firewall family inet filter SSH-FILTER term 1 from protocol tcp set firewall family inet filter SSH-FILTER term 1 from port ssh set firewall family inet filter SSH-FILTER term 1 from interface fxp0 set firewall family inet filter SSH-FILTER term 1 then discard set firewall family inet filter SSH-FILTER term 2 then accept
分步程序
请按照以下步骤配置防火墙过滤器以拒绝 SSH 访问:
-
定义过滤器术语 1。此术语拒绝来自 SSH 的 TCP 流量:
[edit] user@R1# set firewall family inet filter SSH-FILTER term 1 from protocol tcp user@R1# set firewall family inet filter SSH-FILTER term 1 from port ssh user@R1# set firewall family inet filter SSH-FILTER term 1 from interface fxp0 user@R1# set firewall family inet filter SSH-FILTER term 1 then discard
-
定义过滤器术语 2。此术语允许过滤器术语 1未拒绝的任何流量:
[edit] user@R1# set firewall family inet filter SSH-FILTER term 2 then accept
有关使用防火墙过滤器禁用 SSH 的更多信息,请参阅 示例:配置过滤器以阻止 Telnet 和 SSH 访问。
telnet 命令
您可以使用 CLI telnet 命令打开到远程设备的 Telnet 会话:
user@host> telnet host <8bit> <inet> <inet6> <port port> <routing-instance routing-instance-name>
要退出 Telnet 会话并返回到 Telnet 命令提示符,请按 Ctrl-]。
要退出 Telnet 会话并返回到 CLI 命令提示符,请输入 quit。
| 选项 |
描述 |
|---|---|
|
|
使用 8 位数据路径。 |
|
|
打开到指定主机名或 IP 地址的 Telnet 会话。 |
|
|
将 Telnet 会话强制到 IPv4 目标。 |
|
|
强制 Telnet 会话到 IPv6 目标。 |
|
|
指定主机上的端口号或服务名称。 |
|
|
对 Telnet 会话使用指定的路由实例。 |
ssh 命令
您可以使用 CLI ssh 命令使用安全外壳 (SSH) 程序打开与远程设备的连接:
user@host> ssh host <bypass-routing> <inet> <inet6> <interface interface-name> <logical-system> <routing-instance routing-instance-name> <source address> <v2>
表 2 介绍 ssh 了命令选项。
| 选项 |
描述 |
|---|---|
|
|
绕过路由表,仅打开与直接连接接口上的主机的 SSH 连接。如果主机不在直接连接的接口上,则返回一条错误消息。 |
|
|
打开到指定主机名或 IP 地址的 SSH 连接。 |
|
|
强制将 SSH 连接到 IPv4 目标。 |
|
|
强制将 SSH 连接到 IPv6 目标。 |
|
|
在指定接口上打开与主机的 SSH 连接。如果未包含此选项,将使用所有接口。 |
|
|
将指定的路由实例用于 SSH 连接。 |
|
|
将指定的逻辑系统用于 SSH 连接。 |
|
|
对 SSH 连接使用指定的源地址。 |
|
|
强制 SSH 使用版本 2 进行连接。 |
配置 SSH 已知主机密钥以安全复制数据
安全外壳 (SSH) 使用 加密 算法生成主机、服务器和会话密钥系统,以确保数据传输的安全。您可以将 SSH 主机密钥配置为支持安全复制 (SCP),作为 FTP 的替代方法,用于配置存档和事件日志等数据的后台传输。要为 SCP 配置 SSH 支持,您必须完成以下任务:
-
通过在路由引擎配置层次结构中包含主机名和主机密钥信息来指定 SSH 已知主机。
-
设置 SCP URL 以指定接收数据的主机。设置此属性会自动从 SCP 服务器检索 SSH 主机密钥信息。
-
验证主机密钥是否真实。
-
接受安全连接。接受此连接会自动将主机密钥信息存储在本地主机密钥数据库中。将主机密钥信息存储在配置层次结构中可自动进行安全握手,并允许使用 SCP 进行后台数据传输。
配置 SSH 主机密钥以安全复制数据的任务包括:
配置 SSH 已知主机
要配置 SSH 已知主机,请包含该 host 语句,并在层次结构级别为 [edit security ssh-known-hosts] 受信任的服务器指定主机名和主机密钥选项:
[edit security ssh-known-hosts]
host corporate-archive-server {
dsa-key key;
}
host archive-server-url {
rsa-key key;
}
host server-with-ssh-version-1 {
rsa1-key key;
}
主机密钥为以下类型之一:
-
dsa-key key— 用于 SSH 版本 2 的 Base64 编码数字签名算法 (DSA) 密钥。 -
ecdsa-sha2-nistp256-keykey—Base64 编码的 ECDSA-SHA2-NIST256 密钥。 -
ecdsa-sha2-nistp384-keykey—Base64 编码的 ECDSA-SHA2-NIST384 密钥。 -
ecdsa-sha2-nistp521-keykey—Base64 编码的 ECDSA-SHA2-NIST521 密钥。 -
ed25519-keykey—Base64 编码ED25519密钥。 -
rsa-key key— Base64 编码公钥算法,支持 SSH 版本 1 和 SSH 版本 2 的加密和数字签名。 -
rsa1-key key— Base64 编码的 RSA 公钥算法,支持 SSH 版本 1 的加密和数字签名。
配置对 SCP 文件传输的支持
要将已知主机配置为支持后台 SCP 文件传输,请在层次结构级别包含[edit system archival configuration]该archive-sites语句。
[edit system archival configuration]
archive-sites {
scp://username<:password>@host<:port>/url-path;
}
使用 IPv6 主机地址在 Junos OS 演化版 语句中指定 URL 时,必须用引号 (“ ”) 将整个 URL 括起来,并将 IPv6 主机地址括在方括号 ([ ]) 中。例如, “scp://username<:password>@[host]<:port>/url-path”;
将语句设置为指向 SCP URL 会 archive-sites 触发自动主机密钥检索。此时, Junos OS 演化版 会连接到 SCP 主机以获取 SSH 公钥,将主机密钥消息摘要或指纹显示为控制台的输出,并终止与服务器的连接。
user@host# set system archival configuration archive-sites “<scp-url-path>” The authenticity of host <my-archive-server (<server-ip-address>)> can’t be established. RSA key fingerprint is <ascii-text key>. Are you sure you want to continue connecting (yes/no)?
要验证主机密钥是否真实,请将此指纹与您使用可信来源从同一主机获得的指纹进行比较。如果指纹相同,请在提示时输入 yes 以接受主机密钥。然后,主机密钥信息存储在路由引擎配置中,并支持使用 SCP 进行后台数据传输。
更新 SSH 主机密钥信息
通常,当您在层次结构级别使用[edit system]语archival configuration archive-sites句为 SCP 设置 URL 属性时,会自动检索 SSH 主机密钥信息。但是,如果您需要手动更新主机密钥数据库,请使用以下方法之一。
手动检索主机密钥信息
要手动检索 SSH 公共主机密钥信息,请在层次结构级别配置[edit security ssh-known-hosts]该fetch-from-server选项。您必须指定要从中检索 SSH 公钥的主机。
user@host# set security ssh-known-hosts fetch-from-server <hostname>
从文件导入主机密钥信息
要从 known_hosts 文件手动导入 SSH 主机密钥信息,请在层次结构级别添加[edit security ssh-known-hosts]该load-key-file选项。您必须指定要从中导入主机密钥信息的文件路径。
user@host# set security ssh-known-hosts load-key-file /var/tmp/known-hosts
配置 SSH 服务以支持传统加密
您可以将 Junos OS Evolved 配置为支持旧有加密密码和密钥交换方法。
默认情况下,Junos OS 演化版支持以下密码集:
-
chacha20-poly1305@openssh.com -
aes128-ctr -
aes192-ctr -
aes256-ctr -
aes128-gcm@openssh.com -
aes256-gcm@openssh.com
在 Junos OS 演化版中,默认情况下不支持以下密码,但您可以将设备配置为支持它们。它们从最安全到最不安全列出:
-
aes256-cbc -
aes192-cbc -
aes128-cbc
默认情况下,Junos OS 演化版支持以下一组密钥交换方法:
-
curve25519-sha256 -
ecdh-sha2-nistp256 -
ecdh-sha2-nistp384 -
ecdh-sha2-nistp521 -
group-exchange-sha2 -
dh-group14-sha1
在 Junos OS 演化版中,默认情况下不支持以下密钥交换方法,但您可以将设备配置为支持这些方法:
-
group-exchange-sha1 -
dh-group1-sha1
要配置 SSH 服务以支持传统加密:
通过配置一组有序的密码、密钥交换方法或消息身份验证代码 (MAC),新定义的密码集将应用于服务器和客户端命令。使用安全复制协议 (SCP) 时,对默认值的更改会影响 file copy 命令。
也可以看看
配置出站 SSH 服务
您可以配置运行 Junos OS Evolved 的设备,以发起与客户端管理应用的 TCP/IP 连接。如果管理应用未到达瞻博网络设备(例如,该设备用作防火墙)。在这种情况下, outbound-ssh 可以在瞻博网络设备上进行配置。配置将 outbound-ssh 启动从服务器到客户端再到管理应用的反向 SSH 连接。只有在从设备中删除配置后,此出站 SSH 连接才会关闭。
出站 SSH 没有初始化命令。配置并提交出站 SSH 后,设备将开始根据提交的配置发起出站 SSH 连接。设备会反复尝试创建此连接,直到成功。如果设备与客户端管理应用程序之间的连接断开,设备将再次尝试创建新的出站 SSH 连接,直到成功为止。此连接将一直保持,直到从配置中除去出站 SSH 部分。
要为出站 SSH 连接配置设备,请在[edit system services]层次结构级别包含该outbound-ssh语句:
[edit system services outbound-ssh]
以下主题介绍配置出站 SSH 服务的任务。
- 将公共 SSH 主机密钥发送到出站 SSH 客户端
- 为出站 SSH 连接配置激活消息
- 配置新的出站 SSH 连接
- 配置出站 SSH 客户端以接受 NETCONF 作为可用服务
- 配置出站 SSH 客户端
- 为出站 SSH 客户端配置路由实例
将公共 SSH 主机密钥发送到出站 SSH 客户端
每次路由器或交换机建立出站 SSH 连接时,都会先向管理客户端发送一个初始化序列。此序列标识到管理客户端的路由器或交换机。在此传输中是 的值 device-id。
要配置路由器或交换机的设备标识符,请在层次结构级别包含[edit system services outbound-ssh client client-id]该device-id语句:
[edit system services outbound-ssh client client-id] device-id device-id;
未配置时 secret 的启动顺序:
MSG-ID: DEVICE-CONN-INFO\r\n MSG-VER: V1\r\n DEVICE-ID: <device-id>\r\n
在初始化 SSH 连接期间,客户端会使用设备的公共 SSH 主机密钥来验证设备的身份。因此,在客户端启动 SSH 序列之前,客户端需要设备的公共 SSH 密钥。配置该 secret 语句时,设备将将其公共 SSH 密钥作为出站 SSH 连接初始化序列的一部分传递。
设置该 secret 语句且设备建立出站 SSH 连接时,设备将传输其设备 ID、公共 SSH 密钥以及部分源自该 secret 语句的 SHA1 散列。语 secret 句的值在设备和管理客户端之间共享。客户端使用共享密钥对接收的公共 SSH 主机密钥进行身份验证,以确定公共密钥是否来自语句标识的 device-id 设备。
使用 secret 该语句传输公共 SSH 主机密钥是可选的。您可以手动将公钥传输并安装到客户端系统上。
包含该 secret 语句意味着设备每次与客户端建立连接时都会发送其公共 SSH 主机密钥。如果客户端已经拥有该设备的 SSH 密钥,则由客户端决定如何处理该 SSH 主机密钥。建议将客户端的 SSH 主机密钥副本替换为新密钥。主机密钥可能因各种原因而更改。通过在每次建立连接时替换密钥,可以确保客户端具有最新的密钥。
要在设备连接到客户端时发送路由器或交换机的公共 SSH 主机密钥,请在[edit system services outbound-ssh client client-id]层次结构级别包含该secret语句:
[edit system services outbound-ssh client client-id] secret password;
配置属性时 secret ,设备将发送以下消息:
MSG-ID: DEVICE-CONN-INFO\r\n MSG-VER: V1\r\n DEVICE-ID: <device-id>\r\n HOST-KEY: <public-host-key>\r\n HMAC:<HMAC(pub-SSH-host-key, <secret>>)>\r\n
为出站 SSH 连接配置激活消息
客户端应用拥有路由器或交换机的公共 SSH 主机密钥后,即可启动 SSH 序列,就像创建了 TCP/IP 连接一样。然后,客户端可以使用其路由器或交换机的公共主机 SSH 密钥副本来对设备进行身份验证,作为该序列的一部分。设备通过 Junos OS Evolved 中支持的机制(RSA/DSA 公共字符串或密码身份验证)对客户端用户进行身份验证。
要使设备能够向客户端应用程序发送 SSH 协议激活消息,请在层次结构级别配置[edit system services outbound-ssh client client-id]该keep-alive语句:
[edit system services outbound-ssh client client-id]
keep-alive {
retry number;
timeout seconds;
}
配置新的出站 SSH 连接
断开连接后,设备将开始发起新的出站 SSH 连接。要指定设备在连接断开后如何重新连接到服务器,请在层次结构级别包含该 reconnect-strategy 语句 [edit system services outbound-ssh client client-id] :
[edit system services outbound-ssh client-id] reconnect-strategy (sticky | in-order);
您还可以指定重试尝试次数,并设置重新连接尝试停止之前的时间量。请参阅 为出站 SSH 连接配置激活消息。
配置出站 SSH 客户端以接受 NETCONF 作为可用服务
要将应用程序配置为接受 NETCONF 作为可用服务,请在[edit system services outbound-ssh client client-id]层次结构级别包含以下services netconf语句:
[edit system services outbound-ssh client client-id]
services {
netconf;
}
配置出站 SSH 客户端
要配置可用于此出站 SSH 连接的客户端,请在层次结构级别列出 [edit system services outbound-ssh client client-id] 每个客户端并使用单独的地址语句:
[edit system services outbound-ssh client client-id]
address address {
retry number;
timeout seconds;
port port-number;
}
出站 SSH 连接支持 IPv4 和 IPv6 地址格式。
为出站 SSH 客户端配置路由实例
要使用管理路由实例,请先使用命令set system management-instance启用mgmt_junos路由实例。
要使用任何其他路由实例,请先在层次结构中 [edit routing-instances] 配置路由实例。
如果未指定路由实例,设备将使用默认路由表建立出站 SSH 连接。
在指定的 TCP 端口上配置 NETCONF-over-SSH 连接
借助 Junos OS Evolved,无需配置防火墙,即可将传入的 NETCONF 连接限制到指定的 TCP 端口。要配置用于 NETCONF-over-SSH 连接的 TCP 端口,请在层次结构级别包含[edit system services netconf ssh]该port语句。配置的端口仅接受 NETCONF-over-SSH 会话。对此端口的常规 SSH 会话请求将被拒绝。
您可以按照 RFC 4742, 使用安全外壳上的 NETCONF 配置协议 (SSH) 中所述,为通过 SSH 进行 NETCONF 连接配置默认端口 830,也可以配置 1 到 65535 之间的任意端口。
-
即使配置了 NETCONF 服务器端口,默认 SSH 端口 (22) 也会继续接受 NETCONF 会话。要禁用 SSH 端口接受 NETCONF 会话,请在登录事件脚本中指定此设置。
-
不建议将 FTP (21) 和 Telnet (23) 服务的默认端口配置为配置 NETCONF-over-SSH 连接。