Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

送信 SSH サービスの設定

 

Junos OS を実行するデバイスを設定して、クライアント管理アプリケーションとの TCP/IP 接続を開始することができます。クライアントが接続を開始しようとした場合、たとえば、デバイスがファイアウォールの背後にある場合などはブロックされます。このoutbound-sshコマンドは、デバイスに対してクライアント管理アプリケーションとの tcp/ip 接続を作成し、デバイスの id を転送するように指示します。接続が確立されると、管理アプリケーションはクライアントとして動作し、SSH シーケンスが開始され、デバイスはサーバーとして動作し、クライアントを認証します。

アウトバウンド SSH を使用した開始コマンドはありません。送信 SSH の設定とコミットが完了すると、デバイスはコミットされた構成に基づいて送信 SSH 接続を開始します。デバイスは、成功するまで、この接続を繰り返し作成しようとします。デバイスとクライアント管理アプリケーションの間の接続が切断された場合、デバイスは、正常になるまで、新しい送信 SSH 接続の作成を再試行します。この接続は、送信 SSH スタンザが構成から削除されるまで維持されます。

送信 SSH 接続用のデバイスを構成するにはoutbound-ssh 、以下の[edit system services]ステートメントを階層レベルに含めます。

[edit system services outbound-ssh]

以下のトピックでは、発信 SSH サービスを構成するためのタスクについて説明します。

送信 SSH 接続用のデバイス識別子の構成

デバイスが発信 SSH 接続を確立するたびに、まず、開始シーケンスを管理クライアントに送信します。このシーケンスは、デバイスを管理クライアントに識別します。この伝送では、のdevice-id価値があります。

デバイスのデバイス識別子を構成するには、次device-idのように[edit system services outbound-ssh client client-id]階層レベルのステートメントを追加します。

構成されてsecretいない場合の開始シーケンス:

パブリック SSH ホストキーを送信 SSH クライアントに送信しています

ルーターまたはスイッチは、発信 SSH 接続を確立するたびに、最初に開始シーケンスを管理クライアントに送信します。このシーケンスでは、ルーターまたはスイッチを管理クライアントに識別します。この伝送における価値 デバイス id

ルーターまたはスイッチのデバイス識別子を構成するには、 device-id次のよう[edit system services outbound-ssh client client-id]に階層レベルのステートメントを追加します。

構成されてsecretいない場合の開始シーケンス:

SSH 接続の初期化中に、クライアントはデバイスのパブリック SSH ホストキーを使用してデバイスの id を認証します。そのため、クライアントが SSH シーケンスを開始できるようになる前に、デバイスのパブリック SSH キーが必要です。このsecret文を設定すると、デバイスは送信 ssh 接続開始シーケンスの一部として、そのパブリック ssh キーを渡します。

このsecret文が設定され、デバイスが発信 ssh 接続を確立すると、デバイスはデバイス ID、そのパブリック ssh キー、およびsecretステートメントから派生した SHA1 ハッシュを通信します。このsecretステートメントの値は、デバイスと管理クライアントの間で共有されています。クライアントは、この共有シークレットを使用して、受信したパブリック SSH ホストキーを認証します。これにより、公開鍵device-idは、その文によって特定されたデバイスからのものかどうかを判断します。

このsecret文を使用して、パブリック SSH ホストキーを転送することはオプションです。公開鍵を手動でクライアントシステムに転送してインストールすることができます。

このsecret文を含むということは、デバイスがクライアントへの接続を確立するたびに、パブリック SSH ホストキーを送信することを意味します。そのデバイスにすでに対応している場合は、クライアントが SSH ホストキーを使用するかどうかを決定します。クライアント’のコピーを新しいキーで置き換えることをお勧めします。ホストキーはさまざまな理由で変化します。また、接続が確立されるたびにキーを置き換えることで、クライアントが最新のキーを持っていることを確認できます。

デバイスがクライアントに’接続され’たときにルーター s またはスイッチ s パブリック SSH ホストキーを送信secretするには[edit system services outbound-ssh client client-id] 、以下のように階層レベルのステートメントを追加します。

secret属性が設定されると、デバイスによって以下のメッセージが送信されます。

送信 SSH 接続用の Keepalive メッセージの設定

クライアントアプリケーションが’ルーター s またはスイッチ’s パブリック SSH ホストキーを持つと、それが tcp/ip 接続を作成したものとして SSH シーケンスを開始し、ルーター’s またはスイッチ’s パブリックホスト SSH キーのコピーを使用して、そのシーケンスの一部としてデバイスを認証できるようになります。デバイスは、Junos OS (RSA/DSA パブリック文字列またはパスワード認証) でサポートされているメカニズムを通じてクライアントユーザーを認証します。

デバイスが SSH プロトコル keepalive メッセージをクライアントアプリケーションに送信できるようにするにはkeep-alive 、以下の[edit system services outbound-ssh client client-id]ように階層レベルでステートメントを設定します。

新しい発信 SSH 接続の構成

接続が切断されると、デバイスは新しい発信 SSH 接続を開始します。接続が切断された後でデバイスがサーバーに再接続する方法をreconnect-strategy指定するに[edit system services outbound-ssh client client-id]は、以下のように階層レベルのステートメントを追加します。

また、再試行回数を指定し、再接続が停止するまでの時間を設定することもできます。参照送信 SSH 接続用の Keepalive メッセージの設定してください。

利用可能なサービスとして NETCONF を受け入れるように送信 SSH クライアントを構成する

利用可能なサービスとして NETCONF を受け入れるようにアプリケーションをservices netconf設定するに[edit system services outbound-ssh client client-id]は、次のように階層レベルのステートメントを追加します。

送信 SSH クライアントの設定

この送信 SSH 接続で利用可能なクライアントを構成するには、各クライアントを階層レベルの[edit system services outbound-ssh client client-id]個別の address ステートメントでリストします。

送信 SSH 接続は、IPv4 および IPv6 のアドレス形式をサポートします。

送信 SSH クライアント用のルーティングインスタンスの構成

(SRX シリーズおよび MX シリーズのみ)Junos OS リリース 19.3 R1 から開始して、送信 SSH 接続を確立する必要があるルーティングインスタンスの名前を指定するには、階層routing-instanceレベルの[edit system services outbound-ssh]文を含めます。

管理ルーティングインスタンスを使用するには、まずmgmt_junosset system management-instanceコマンドを使用してルーティングインスタンスを有効にします。

その他のルーティングインスタンスを使用するには、まず、 [edit routing-instances]階層でルーティングインスタンスを設定します。

ルーティングインスタンスが指定されていない場合、デバイスはデフォルトルーティングテーブルを使用して送信 SSH 接続を確立します。