Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Configurando el servicio de SSH saliente

 

Puede configurar un dispositivo que ejecute el Junos OS para iniciar una conexión TCP/IP con una aplicación de administración de clientes que sería bloqueada si el cliente intentara iniciar la conexión (por ejemplo, si el dispositivo está detrás de un firewall). El outbound-ssh comando indica al dispositivo que cree una conexión TCP/IP con la aplicación de administración de clientes y Reenvíe la identidad del dispositivo. Una vez establecida la conexión, la aplicación de administración actúa como cliente e inicia la secuencia SSH, y el dispositivo actúa como servidor y autentica al cliente.

Nota

No hay ningún comando de inicio con SSH de salida. Una vez que el SSH saliente se configura y se confirma, el dispositivo comienza a iniciar una conexión SSH saliente basada en la configuración confirmada. El dispositivo intenta crear esta conexión repetidamente hasta que tenga éxito. Si se interrumpe la conexión entre el dispositivo y la aplicación de administración del cliente, el dispositivo intenta crear una nueva conexión SSH saliente hasta que tenga éxito. Esta conexión se mantiene hasta que la Stanza de SSH de salida se quite de la configuración.

Para configurar el dispositivo para las conexiones SSH salientes, incluya outbound-ssh la instrucción en [edit system services] el nivel de jerarquía:

[edit system services outbound-ssh]

En los siguientes temas se describen las tareas para configurar el servicio SSH de salida:

Configuración del identificador de dispositivo para las conexiones SSH salientes

Cada vez que el dispositivo establece una conexión SSH saliente, primero envía una secuencia de inicio al cliente de administración. Esta secuencia identifica el dispositivo en el cliente de administración. Dentro de esta transmisión es el valor device-idde.

Para configurar el identificador de dispositivo del dispositivo, incluya la device-id instrucción en el nivel [edit system services outbound-ssh client client-id] de jerarquía:

Secuencia de inicio cuando secret no está configurado:

Envío de la clave pública del host SSH al cliente SSH saliente

Cada vez que el enrutador o conmutador establece una conexión SSH saliente, primero envía una secuencia de inicio al cliente de administración. Esta secuencia identifica el enrutador o conmutador en el cliente de administración. Dentro de esta transmisión es el valor de ID. de dispositivo.

Para configurar el identificador de dispositivo del enrutador o conmutador, incluya device-id la instrucción en [edit system services outbound-ssh client client-id] el nivel de jerarquía:

Secuencia de inicio cuando secret no está configurado:

Durante la inicialización de una conexión SSH, el cliente autentica la identidad del dispositivo con la clave pública SSH del host del dispositivo. Por lo tanto, antes de que el cliente pueda iniciar la secuencia SSH, necesita la clave SSH pública del dispositivo. Cuando configura la secret instrucción, el dispositivo pasa su clave ssh pública como parte de la secuencia de iniciación de conexión SSH de salida.

Cuando se secret establece la instrucción y el dispositivo establece una conexión SSH saliente, el dispositivo comunica el identificador de dispositivo, su clave ssh pública y un hash SHA1 derivado en parte a la secret instrucción. El valor de la secret instrucción se comparte entre el dispositivo y el cliente de administración. El cliente utiliza el secreto compartido para autenticar la clave pública del host SSH que está recibiendo para determinar si la clave pública procede del dispositivo identificado por la device-id instrucción.

El uso secret de la instrucción para transportar la clave de host ssh pública es opcional. Puede transportar e instalar manualmente la clave pública en el sistema cliente.

Nota

La inclusión secret de la instrucción significa que el dispositivo envía su clave pública de host ssh cada vez que establece una conexión con el cliente. Por lo demás, corresponde al cliente decidir qué hacer con la clave de host SSH si ya tiene una para ese dispositivo. Recomendamos que reemplace la copia del’cliente por la nueva clave. Las teclas de host pueden cambiar por varias razones y reemplazar la clave cada vez que se establece una conexión, asegúrese de que el cliente dispone de la clave más reciente.

Para enviar’el enrutador o’conmutador s llave de host ssh pública cuando el dispositivo se conecte al cliente, secret incluya la instrucción [edit system services outbound-ssh client client-id] en el nivel de jerarquía:

El dispositivo envía el siguiente mensaje cuando se configura el secret atributo:

Configuración de mensajes keepalive para conexiones SSH salientes

Cuando la aplicación cliente disponga de la’clave de host’ssh Public enrutador o switch s, podrá iniciar la secuencia ssh como si hubiera creado la conexión TCP/IP y autenticar el dispositivo mediante su copia de los enrutadores’s o’la clave ssh del host público del conmutador como parte de esa secuencia. El dispositivo autentica al usuario del cliente a través de los mecanismos admitidos en el Junos OS (autenticación RSA/DSA public string o password).

Para permitir que el dispositivo envíe mensajes de KeepAlive del protocolo SSH a la aplicación cliente, keep-alive configure la [edit system services outbound-ssh client client-id] instrucción en el nivel de jerarquía:

Configuración de una nueva conexión SSH saliente

Cuando está desconectado, el dispositivo comienza a iniciar una nueva conexión SSH de salida. Para especificar cómo el dispositivo se vuelve a conectar al servidor después de una conexión, incluya la reconnect-strategy instrucción en el nivel [edit system services outbound-ssh client client-id] de jerarquía:

También puede especificar el número de reintentos y establecer la cantidad de tiempo que transcurrir antes de que se detengan los intentos de reconexión. Consulte Configuración de mensajes keepalive para conexiones SSH salientesla.

Configuración del cliente SSH de salida para aceptar NETCONF como servicio disponible

Para configurar la aplicación de modo que acepte NETCONF como servicio disponible, incluya services netconf la instrucción en [edit system services outbound-ssh client client-id] el nivel de jerarquía:

Configuración de clientes SSH de salida

Para configurar los clientes disponibles para esta conexión SSH saliente, enumere cada cliente con una instrucción Address independiente en el nivel [edit system services outbound-ssh client client-id] de jerarquía:

Nota

Las conexiones SSH salientes admiten formatos de direcciones IPv4 e IPv6.

Configuración de instancias de enrutamiento para clientes SSH salientes

(Sólo serie SRX y serie MX) A partir de Junos OS versión 19.3 R1, se puede especificar el nombre de la instancia de ruta en la que es necesario establecer la conectividad SSH saliente, incluida routing-instance la instrucción en [edit system services outbound-ssh] el nivel de jerarquía:

Para usar la instancia de enrutamiento de administración, habilite mgmt_junos primero la instancia de set system management-instance enrutamiento con el comando.

Para utilizar cualquier otra instancia de enrutamiento, configure primero la instancia de [edit routing-instances] enrutamiento en la jerarquía.

Si no especifica una instancia de enrutamiento, el dispositivo establecerá la conexión SSH saliente mediante la tabla de enrutamiento predeterminada.