NETCONFセッションのSSH接続を確立する

設定管理サーバーは、設定管理サーバーと設定管理サーバーを実行しているデバイスとの間の SSH 接続Junos OS。そのため、SSH ソフトウェアは設定管理サーバーにローカルにインストールする必要があります。SSHソフトウェアの取得とインストールについて、詳しくは 次の情報 http://www.ssh.com/およびhttp://www.openssh.com/。

NETCONF セッションを確立する際、設定管理サーバーは、NETCONF で実行中のデバイスにログインするJunos OS。したがって、各設定管理サーバーには、NETCONF セッションが確立される各デバイス上にユーザー アカウントが必要になります。次の手順では、Junos OS を実行しているデバイスでログイン アカウントを作成する方法を説明します。別の方法として、このセクションをスキップして、RADIUS または TACACS+ を使用して認証を有効にすることもできます。

デバイスで実行されているデバイスにログイン アカウントが存在するかどうかを確認Junos OS、デバイスで CLI モードに切り替え、以下のコマンドを発行します。

該当するアカウントが存在しない場合は、次の手順に従ってアカウントを作成します。

設定管理サーバーが NETCONF サーバーで認証するには、SSH パブリック/プライベート キー ペア、テキストベース パスワード、あるいはその両方が必要です。パブリック/プライベートキーのペアは、アカウントがSSHを介してNETCONFサーバーに接続するためにのみ使用される場合に十分です。アカウントが別の方法でデバイスへのアクセスにも使用される場合(コンソールでのログインなど)、テキストベースのパスワードが必要です。鍵ベース認証が設定されているが失敗した場合は、パスワードも使用されます(SSH サーバーからパスワードの入力が要求されます)。

テキストベースのパスワードを作成するには、以下の手順に従います。

クライアント アプリケーションは、設定済みのパブリック/プライベート キーまたはパスワードにアクセスし、NETCONF サーバーから要求が出されたときにそれを提供できる必要があります。

アプリケーションが鍵またはパスワードにアクセスするには、いくつかの方法があります。

• パブリック/プライベートキーを使用すると、ssh-agentプログラムはクライアントアプリケーションが実行されるコンピューターで実行され、プライベートキーを処理します。

• ユーザーがアプリケーションを起動すると、アプリケーションからユーザーにパスワードの入力を求め、一時的に安全な方法で保存します。

• パスワードは、暗号化された形式で安全なローカル ディスクの場所または保護されたデータベースに保存されます。

RFC 4742, Using the NETCONF Configuration Protocol over Secure SHell(SSH)では、デフォルトで、専用の IANA 割り当て TCP ポートを使用して SSH セッションが確立された場合、NETCONF サーバーから NETCONF SSH サブシステムへのアクセスをクライアント デバイスに提供する必要があります。専用ポートを使用すると、NETCONF トラフィックを簡単に特定してフィルタリングできます。NETCONF-over-SSHセッションのIANA割り当てられたポートは830です。

デフォルトの SSH ポート(22)を使用して、NETCONF SSH サブシステムへのアクセスを許可するサーバーや、明示的に設定されたポート番号を使用するようにサーバーを設定することもできます。ポートを明示的に設定すると、NETCONF-over-SSH セッションのみ受け入れ、通常の SSH セッション要求を拒否します。サーバーでSSHサービスが有効になっている場合、代替のNETCONF-over-SSHポートが設定されている場合でも、デフォルトのSSHポート(22)はNETCONFセッションを引き続き受け入れる。セキュリティを強化するために、情報を利用するイベント ポリシーを設定して、デフォルト ポートを効果的に無効にするか、ポート上での NETCONF サーバーのアクセスをさらに UI_LOGIN_EVENT 制限できます。

リモート で実行されているデバイスで SSH 上で NETCONF サービスを有効にするには、Junos OS手順を実行します。

1. 以下のいずれかのステートメントを、表示された設定階層レベルに含てます。

   • RFC 4742 で指定されているデフォルトの NETCONF-over-SSH ポート(830)を使用して NETCONF SSH サブシステムにアクセスを有効にするには、階層レベルに ステートメントを含 netconf ssh [edit system services] める:

   • 指定されたポート番号を使用してNETCONF SSHサブシステムへのアクセスを有効にするには、 [ ] 階層レベルで必要なポート番号を使用してステートメント port edit system services netconf ssh を設定します。

     port-number1~65535 の範囲が可能です。設定されたポートは NETCONF-over-SSH セッションのみ受け入れ、通常の SSH セッション要求を拒否します。

     メモ：

     NETCONF-over-SSH は、1~65535 の任意のポートで設定することができますが、別のサービスに通常割り当てられたポートでのアクセスを設定する必要があります。この方法では、リソースの競合が発生する可能性を回避できます。FTP など別のサービスに割り当てられたポートで NETCONF-over-SSH を設定した場合、そのサービスが有効になっている場合は、リソースの競合が表示されないか、警告メッセージを発行しません。 commit check

   • デフォルトの SSH ポート(22)を使用して NETCONF SSH サブシステムへのアクセスを有効にするには、階層レベルに ステートメント ssh [edit system services] を含てます。この設定では、すべてのユーザーとアプリケーションについてデバイスへのSSHアクセスが可能です。ステートメント ssh は、前に示した設定ステートメントに加えて、設定に含めできます。

2. (オプション)応答しない NETCONF クライアントを切断するデバイスを設定するには、タイムアウト間隔(秒)の両方を指定します。その後、クライアントからデータが受信されていない場合、sshd プロセスは、切断をトリガーするクライアントを生き抜く応答のしきい値と同様に応答を要求します。
   メモ：

   階層レベルで設定されたステートメントは、デフォルト ポート(830)または同じ階層レベルで設定されたユーザー定義のポートを介して接続する [edit system services netconf ssh] NETCONF セッションにのみ適用されます。

3. 設定をコミットします。

4. クライアント アプリケーションで NETCONF セッションが確立された場所で実行Junos OS上の手順を繰り返します。

アウトバウンドSSH用に実行しているJunos OSを設定するには、次の手順に示します。

デバイスが設定管理サーバーへの SSH 接続を確立すると、設定管理サーバーが SSH セッションを制御します。そのため、SSH クライアント ソフトウェアは設定管理サーバーにローカルにインストールする必要があります。SSHソフトウェアの取得とインストールの詳細については、「 http://www.ssh.com/および http://www.openssh.com/ 」を参照してください。

アウトバウンド SSH 用に設定すると、設定管理サーバー Junos OS実行しているデバイスは、一定の接続を維持しようと試します。アウトバウンドSSHセッションが確立されていない場合、デバイスは、デバイスの設定管理サーバーリストに記載されている設定管理サーバーにアウトバウンドSSH開始シーケンスを送信します。デバイスとの接続を確立する前に、各設定管理サーバーはこの開始シーケンスを受信し、デバイスとの TCP 接続を確立して、デバイスのアイデンティティをデバイスに戻す必要があります。

開始シーケンスは、サーバーの公開鍵の鍵への取り扱い方法Junos OSして、2つの形式のいずれかを受け取ります。

公開鍵が設定管理サーバーに手動でインストールされている場合、開始シーケンスは次の形式になります。

初期化シーケンス中に、公開鍵がデバイスによって設定管理サーバーに転送される場合、シーケンスは次の形式になります。

RFC 4742, Using the NETCONF Configuration Protocol over Secure SHell(SSH)では、デフォルトで、専用の IANA 割り当て TCP ポートを使用して SSH セッションが確立された場合、NETCONF サーバーから NETCONF SSH サブシステムへのアクセスをクライアント デバイスに提供する必要があります。専用ポートを使用すると、NETCONF トラフィックを簡単に特定してフィルタリングできます。NETCONF-over-SSHセッションのIANA割り当てられたポートは830です。

デフォルトの SSH ポート(22)を使用して、NETCONF SSH サブシステムへのアクセスを許可するサーバーや、明示的に設定されたポート番号を使用するようにサーバーを設定することもできます。ポートを明示的に設定すると、NETCONF-over-SSH セッションのみ受け入れ、通常の SSH セッション要求を拒否します。サーバーでSSHサービスが有効になっている場合、代替のNETCONF-over-SSHポートが設定されている場合でも、デフォルトのSSHポート(22)はNETCONFセッションを引き続き受け入れる。セキュリティを強化するために、情報を利用するイベント ポリシーを設定して、デフォルト ポートを効果的に無効にするか、ポート上での NETCONF サーバーのアクセスをさらに UI_LOGIN_EVENT 制限できます。

リモート で実行されているデバイスで SSH 上で NETCONF service over SSH を有効にするには、Junos OS手順を実行します。

1. 以下のいずれかのステートメントを、表示された設定階層レベルに含てます。

   • RFC 4742 で指定されているデフォルトの NETCONF-over-SSH ポート(830)を使用して NETCONF SSH サブシステムにアクセスを有効にするには、階層レベルに ステートメントを含 netconf ssh [edit system services] める:

   • 指定されたポート番号を使用してNETCONF SSHサブシステムへのアクセスを有効にするには、 [ ] 階層レベルで必要なポート番号を使用してステートメント port edit system services netconf ssh を設定します。

     port-number1~65535 の範囲が可能です。設定されたポートは NETCONF-over-SSH セッションのみ受け入れ、通常の SSH セッション要求を拒否します。

     メモ：

     NETCONF-over-SSH は、1~65535 の任意のポートで設定することができますが、別のサービスに通常割り当てられたポートでのアクセスを設定する必要があります。この方法では、リソースの競合が発生する可能性を回避できます。FTP など別のサービスに割り当てられたポートで NETCONF-over-SSH を設定した場合、そのサービスが有効になっている場合は、リソースの競合が表示されないか、警告メッセージを発行しません。 commit check

   • デフォルトの SSH ポート(22)を使用して NETCONF SSH サブシステムへのアクセスを有効にするには、階層レベルに ステートメント ssh [edit system services] を含てます。この設定では、すべてのユーザーとアプリケーションについてデバイスへのSSHアクセスが可能です。ステートメント ssh は、前に示した設定ステートメントに加えて、設定に含めできます。

2. 設定をコミットします。

3. クライアント アプリケーションで NETCONF セッションが確立された場所で実行Junos OS上の手順を繰り返します。