Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의
 

Junos XML 프로토콜 서버에 대한 연결 구축을 위한 사전 필수 요건 충족

클라이언트 애플리케이션이 Junos XML 프로토콜 서버에 대한 연결을 설정할 수 있도록 하려면 다음 섹션에서 설명한 대로 모든 액세스 프로토콜과 특정 액세스 프로토콜에 적용되는 요구 사항을 충족해야 합니다.

모든 액세스 프로토콜의 사전 필수 조건

클라이언트 애플리케이션은 Junos XML 프로토콜 서버와 연결을 설정하는 각 디바이스에 로그인할 수 있어야 합니다. 다음 지침은 애플리케이션에 대한 Junos 로그인 계정을 만드는 방법을 설명합니다. 또는 이 섹션을 건너뛰고 RADIUS 또는 TACACS+를 통해 인증을 활성화할 수 있습니다. 사용자 계정 생성 및 인증 활성화에 대한 자세한 내용은 라우팅 디바이스용 Junos OS 사용자 액세스 및 인증 사용자 가이드 를 참조하십시오.

로그인 계정이 Junos OS를 실행하는 디바이스에 있는지 확인하려면 디바이스의 CLI 구성 모드를 입력하고 다음 명령을 실행합니다.

해당 계정이 없는 경우 다음 단계를 수행합니다.

  1. user 계층 수준에서 명령문을 [edit system login] 포함하고 사용자 이름을 지정합니다. 또한 계층 수준에 명령문을 포함하고 class 애플리케이션이 [edit system login user username] 수행하는 모든 작업에 필요한 권한을 가진 로그인 클래스를 지정합니다. 선택적으로, 및 uid 명령문을 full-name 포함합니다.
  2. 계층 수준에 명령문 또는 encrypted-password 명령문을 [edit system login user account-name authentication] 포함 plain-text-password 함으로써 계정에 대한 텍스트 기반 암호를 만듭니다.
    참고:

    인증을 위해 퍼블릭/프라이빗 키 쌍을 사용하여 SSH를 통해 Junos XML 프로토콜 서버에 액세스하는 데 계정이 사용되는 경우 텍스트 기반 암호가 엄격하게 필요하지 않지만, 어쨌든 하나를 만드는 것이 좋습니다. 키 쌍만으로도 계정이 SSH 액세스에만 사용되는 경우 충분하지만, 계정이 다른 유형의 액세스(예: 콘솔에 로그인하는 경우)에 사용되는 경우 암호가 필요합니다. 키 기반 인증이 구성되었지만 장애가 발생하면 SSH 서버가 프롬프트하는 암호도 사용됩니다. 퍼블릭/프라이빗 키 쌍 생성에 대한 자세한 내용은 SSH 연결의 사전 필수 사항을 참조하십시오.

    암호를 텍스트로 입력하려면 다음 명령을 실행합니다. 저장되기 전에 암호화되는 암호에 대한 프롬프트가 나타납니다.

    MD5(Message Digest 5) 또는 SHA-1(Secure Hash Algorithm 1)을 사용하여 이전에 생성하고 해시한 암호를 저장하려면 다음 명령을 실행합니다.

  3. 명령을 실행합니다 commit .
  4. 클라이언트 애플리케이션이 Junos XML 프로토콜 세션을 설정하는 각 디바이스의 앞 단계를 반복합니다.
  5. 클라이언트 애플리케이션이 암호에 액세스하고 Junos XML 프로토콜 서버가 암호를 프롬프트할 때 이를 제공할 수 있도록 합니다. 다음과 같은 여러 가능한 메소드를 들 수 있습니다.

    • 애플리케이션을 코드화하여 시작 시 사용자에게 암호를 프롬프트하고 암호를 안전한 방식으로 임시로 저장합니다.

    • 암호화된 형식으로 암호를 안전한 로컬 디스크 위치 또는 보안 데이터베이스에 저장하고 애플리케이션에 액세스할 수 있도록 코드화합니다.

Clear-Text 연결의 사전 필수 사항

Junos XML 프로토콜별 clear-text 액세스 프로토콜을 사용하는 클라이언트 애플리케이션은 추가 프로토콜(예: SSH, SSL 또는 Telnet)을 사용하지 않고도 암호화되지 않은 텍스트를 TCP 연결을 통해 직접 전송합니다.

참고:

Junos-FIPS 소프트웨어를 실행하는 장치는 Junos XML 프로토콜 clear-text 연결을 허용하지 않습니다. Common Criteria 환경에서는 clear-text 프로토콜을 사용하지 않는 것이 좋습니다. 자세한 내용은 Common Criteria 및 Junos-FIPS를 위한 보안 구성 가이드를 참조하십시오.

클라이언트 애플리케이션이 clear-text 프로토콜을 사용하여 Junos XML 프로토콜 서버에 연결할 수 있도록 하려면 다음 단계를 수행합니다.

  1. 애플리케이션이 TCP 소프트웨어에 액세스할 수 있는지 확인합니다. 대부분의 운영 체제에서 TCP는 표준 배포판에서 액세스할 수 있습니다. 애플리케이션이 실행되는 각 컴퓨터에서 이 작업을 수행합니다.
  2. 모든 액세스 프로토콜의 사전 필수 요건에 대해 논의된 사전 필수 요건을 충족합니다.
  3. 계층 수준에 명령문을 포함시킴으로써 포트 3221상의 클라이언트 애플리케이션에서 clear-text 연결을 허용하도록 Junos OS를 xnm-clear-text 실행하는 디바이스를 [edit system services] 구성합니다.

    기본적으로 Junos XML 프로토콜 서버는 최대 75개의 동시 clear-text 세션과 분당 150회의 연결 시도를 지원합니다. 선택적으로 동시 세션의 수를 제한하는 명령문과 rate-limit 연결 시도 횟수를 제한하는 명령문을 모두 포함하거나 둘 다 connection-limit 포함할 수 있습니다. 두 명령문 모두 1 에서 250까지의 값을 허용합니다.

    성명서에 대한 xnm-clear-text 자세한 내용은 Junos XML 프로토콜 클라이언트 애플리케이션을 위한 Clear Text 또는 SSL Service 구성을 참조하십시오.

  4. 구성을 커밋합니다.
  5. 클라이언트 애플리케이션이 Junos XML 프로토콜 세션을 설정하는 각 디바이스에서 2 단계부터 4 단계  까지 반복합니다.

SSH 연결의 사전 필수 사항

클라이언트 애플리케이션이 SSH 프로토콜을 사용하여 Junos XML 프로토콜 서버에 연결할 수 있도록 하려면 다음 단계를 수행합니다.

  1. 애플리케이션이 SSH 소프트웨어에 액세스할 수 있도록 합니다.

    SSH 소프트웨어를 얻고 애플리케이션이 실행되는 컴퓨터에 설치합니다. SSH 소프트웨어 입수 및 설치에 대한 자세한 내용은 http://www.ssh.comhttp://www.openssh.com.

  2. 모든 액세스 프로토콜의 사전 필수 요건에 대해 논의된 사전 필수 요건을 충족합니다.
  3. (옵션) 애플리케이션에 키 기반 SSH 인증을 사용하려는 경우 퍼블릭/프라이빗 키 쌍을 생성하고 모든 액세스 프로토콜을 위한 사전 필수 요소에서 생성한 Junos OS 로그인 계정과 연결합니다. 다음 단계를 수행합니다.

    1. 클라이언트 애플리케이션이 실행되는 컴퓨터에서 작업하면 표준 명령 셸(Junos OS CLI가 아님)에서 명령을 실행 ssh-keygen 합니다. 적절한 인수를 제공함으로써 공용 키를 RSA(SSH 버전 1 및 2에서 지원) 또는 SSH 버전 2에서 지원하는 DSA(Digital Signature Algorithm)에 인코딩합니다. 자세한 내용은 SSH 벤더 ssh-keygen 가 제공하는 명령어 맨 페이지를 참조하십시오. Junos OS는 기본적으로 SSH 버전 2를 사용하지만 버전 1도 지원합니다.

    2. 애플리케이션이 퍼블릭 및 프라이빗 키에 액세스할 수 있도록 합니다. 한 가지 방법은 애플리케이션이 ssh-agent 실행되는 컴퓨터에서 프로그램을 실행하는 것입니다.

    3. Junos XML 프로토콜 클라이언트 애플리케이션의 SSH 연결을 수용해야 하는 Junos OS를 실행하는 디바이스에서 퍼블릭 키를 계층 수준에 명령문을 [edit system login user account-name authentication] 포함 load-key-file 시켜 공용 키를 Junos 로그인 계정과 연결합니다. 첫째, 계층 레벨로 이동해야 합니다.

      Junos OS를 실행하는 디바이스에 지정된 파일의 컨텐츠를 복사하려면 다음 명령을 실행합니다.

      URL 은 하나 이상의 공용 키가 포함된 파일로 향하는 경로입니다. ssh-keygen 명령은 기본적으로 사용자 홈 디렉토리 의 .ssh 하위 디렉토리에 있는 파일에 각 퍼블릭 키를 저장합니다. 파일 이름은 인코딩(DSA 또는 RSA) 및 SSH 버전에 따라 달라집니다. URL 지정에 대한 자세한 내용은 CLI 사용자 가이드를 참조하십시오.

      또는 계층 수준에서 하나 또는 둘 다 ssh-dsassh-rsa 명령문을 포함할 [edit system login user account-name authentication] 수 있습니다. 명령줄에서 load-key-file 공용 키를 입력하거나 잘라내고 붙여넣을 필요가 없으므로 명령문을 사용하는 것이 좋습니다. 및 문에 대한 ssh-dsa 자세한 내용은 라우팅 디바이스용 Junos OS 사용자 액세스 및 인증 사용자 가이드를 참조하십시오.ssh-rsa

  4. 계층 수준에 명령문을 포함함으로써 SSH 연결을 수락하도록 Junos OS를 ssh 실행하는 디바이스를 [edit system services] 구성합니다. 이 명령문은 Junos XML 프로토콜 클라이언트 애플리케이션뿐만 아니라 모든 사용자와 애플리케이션에 대한 SSH 액세스를 지원합니다.
  5. 구성을 커밋합니다.
  6. 애플리케이션이 실행되는 각 컴퓨터에서 1 단계 를 반복하고, 2 단계부터 5 단계  까지 애플리케이션이 연결하는 각 디바이스에서 단계 1을 반복합니다.

아웃바운드 SSH 연결의 사전 필수 조건

아웃바운드 SSH 기능을 사용하면 클라이언트 시작 TCP/IP 연결이 차단되는 Junos OS와 네트워크 및 시스템 관리 서버를 실행하는 장치 간에 SSH 세션이 시작될 수 있습니다(예: 디바이스가 방화벽 뒤에 있는 경우). 아웃바운드 SSH를 구성하려면 디바이스에 구성 명령문을 outbound-ssh 추가합니다. 일단 구성되고 커밋되면 Junos OS를 실행하는 디바이스가 구성된 관리 클라이언트와 함께 아웃바운드 SSH 세션을 시작합니다. 아웃바운드 SSH 세션이 초기화되고 연결이 설정되면 관리 서버는 클라이언트로 SSH 시퀀스를 시작하고 Junos OS를 실행하는 장치로서 클라이언트를 인증합니다.

아웃바운드 SSH를 설정하려면 다음이 수반됩니다.

  • 아웃바운드 SSH를 위해 Junos OS를 실행하는 디바이스 구성

  • 아웃바운드 SSH를 위한 관리 서버 구성.

아웃바운드 SSH를 위해 디바이스를 구성하려면 다음을 수행합니다.

  1. 모든 액세스 프로토콜의 사전 필수 요건에 대해 논의된 사전 필수 요건을 충족합니다.
  2. [edit system services ssh] 계층 수준에서 SSH 프로토콜을 v2로 설정합니다.
  3. Junos OS를 실행하는 디바이스에 대한 퍼블릭/프라이빗 키 쌍을 생성/획득합니다. 이 키 쌍은 SSH 연결에서 전송되는 데이터를 암호화하는 데 사용됩니다. 키 쌍 생성에 대한 자세한 내용은 라우팅 디바이스용 Junos OS 사용자 액세스 및 인증 사용자 가이드를 참조하십시오.
  4. 공용 키가 애플리케이션 관리 시스템에 수동으로 설치될 경우 공용 키를 NSM 서버로 전송합니다.
  5. 계층 수준에서 다음 outbound-ssh 명령 [edit system services] 문을 추가합니다.

    다음과 같은 옵션이 제공됩니다.

    • address—(필수) 관리 서버의 호스트 이름 또는 IPv4 또는 IPv6 주소. 각 클라이언트의 IP 주소 또는 호스트 이름을 다음과 같은 연결 매개 변수와 함께 추가하여 여러 클라이언트를 나열할 수 있습니다.

      • port port-number—클라이언트를 위한 아웃바운드 SSH 포트. 기본은 포트 22입니다.

      • retry number– 장비가 아웃바운드 SSH 연결을 설정하려고 시도하는 횟수 기본값은 세 번의 시도입니다.

      • timeout seconds—Junos OS를 실행하는 디바이스가 아웃바운드 SSH 연결을 설정하려고 시도하는 시간(초 단위) 기본값은 15초입니다.

    • client client-id—(필수) 디바이스에서 outbound-ssh 구성 스탠자를 식별합니다. 각 outbound-ssh 스탠자는 단일 아웃바운드 SSH 연결을 나타냅니다. 이 속성은 클라이언트로 전송되지 않습니다.

    • device-id device-id—(필수) 시작 시 클라이언트에 Junos OS를 실행하는 디바이스를 식별합니다.

    • keep-alive—(옵션) 디바이스가 관리 서버에 keepalive 메시지를 보낼 것을 지정합니다. keepalive message를 구성하려면 해당 메시지와 retry 속성을 모두 timeout 설정해야 합니다.

      • retry number—현재 SSH 연결이 종료되기 전에 관리 서버로부터 응답을 받지 않고 장비가 보내는 유지 메시지 수입니다. 기본값은 세 번의 시도입니다.

      • timeout seconds—서버가 데이터를 기다린 후 유지 신호를 전송하는 데 소요되는 시간(초 단위). 기본값은 15초입니다.

    • reconnect-strategy (in-order | sticky)—(옵션) 라우터 또는 스위치가 연결이 끊어진 아웃바운드 SSH 연결을 재구축하는 데 사용하는 방법을 지정합니다. 두 가지 방법을 사용할 수 있습니다.

      • in-order—라우터 또는 스위치가 먼저 관리 서버 주소 목록에 따라 아웃바운드 SSH 세션을 설정하려고 시도했는지 지정합니다. 라우터 또는 스위치는 목록에 있는 첫 번째 서버와 세션을 설정하려고 시도합니다. 이 연결을 사용할 수 없는 경우 라우터 또는 스위치는 연결이 설정될 때까지 다음 서버에서 세션 설정 등을 시도합니다.

      • sticky—라우터 또는 스위치가 마지막으로 연결된 관리 서버에 다시 연결하려고 처음 시도했는지 지정합니다. 연결을 사용할 수 없는 경우 연결이 만들어질 때까지 목록에 있는 다음 클라이언트와 연결을 설정하려고 시도합니다.

      클라이언트에 다시 연결할 때 Junos OS를 실행하는 장치는 구성 관리 서버 목록에 나열된 각 클라이언트의 값과 timeout 값을 기반으로 retry 클라이언트에 다시 연결하려고 시도합니다.

    • secret password—(옵션) Junos OS를 실행하는 장비의 퍼블릭 SSH 호스트 키. 문에 outbound-ssh 추가된 경우, 아웃바운드 SSH 서비스가 초기화되는 동안 라우터 또는 스위치는 공용 키를 관리 서버로 전달합니다. 라우터 또는 스위치의 퍼블릭 키의 현재 복사본을 유지하는 것이 좋습니다.

    • services—(필수) 세션에 사용할 수 있는 서비스를 지정합니다. 현재 NETCONF는 사용 가능한 유일한 서비스입니다.

  6. 구성을 커밋합니다.

구성 관리 서버를 설정하려면 다음을 수행합니다.

  1. 모든 액세스 프로토콜의 사전 필수 요건에 대해 논의된 사전 필수 요건을 충족합니다.

  2. 애플리케이션이 SSH 소프트웨어에 액세스할 수 있도록 합니다.

    SSH 소프트웨어를 얻고 애플리케이션이 실행되는 컴퓨터에 설치합니다. SSH 소프트웨어 입수 및 설치에 대한 자세한 내용은 http://www.ssh.comhttp://www.openssh.com.

  3. (선택사항) SSH 연결과 함께 사용할 디바이스의 공용 키를 수동으로 설치합니다.

  4. 초기화 브로드캐스트 요청을 수신 및 처리하도록 클라이언트 시스템을 구성합니다. 인티리얼화 요청은 다음 구문을 사용합니다.

    • 암호 속성이 구성된 경우 Junos OS를 실행하는 디바이스는 intialization Sequence(권장 방법)와 함께 공용 SSH 키를 보냅니다. 키가 수신되면 클라이언트는 장비의 퍼블릭 키로 수행할 작업을 결정해야 합니다. 디바이스의 현재 공용 SSH 키를 새 키로 교체하는 것이 좋습니다. 이를 통해 클라이언트는 항상 인증에 사용할 수 있는 현재 키를 보유하게 됩니다.

    • 암호 속성이 구성되지 않은 경우 디바이스는 초기화 시퀀스와 함께 공용 SSH 키를 전송하지 않습니다. 디바이스에 대한 현재 공용 SSH 키를 수동으로 설치해야 합니다.

SSL 연결의 사전 필수 조건

클라이언트 애플리케이션이 SSL 프로토콜을 사용하여 Junos XML 프로토콜 서버에 연결할 수 있도록 하려면 다음 단계를 수행합니다.

  1. 애플리케이션이 SSL 소프트웨어에 액세스할 수 있도록 합니다.

    SSL 소프트웨어를 얻고 애플리케이션이 실행되는 컴퓨터에 설치합니다. SSL 소프트웨어 입수 및 설치에 대한 자세한 내용은 http://www.openssl.org.

  2. 모든 액세스 프로토콜의 사전 필수 요건에 대해 논의된 사전 필수 요건을 충족합니다.
  3. 다음 두 가지 방법 중 하나를 사용하여 PEM(Privacy-Enhanced Mail) 형식으로 인증 인증서를 획득합니다.

    • 인증 기관의 인증서 요청; 이러한 기관은 일반적으로 수수료를 부과합니다.

    • 클라이언트 애플리케이션이 실행되는 컴퓨터에서 작업하면 표준 명령 셸(Junos OS CLI가 아님)에서 다음 openssl 명령을 실행합니다. 이 명령은 자체 서명 인증서와 암호화되지 않은 1024비트 RSA 프라이빗 키를 생성하고 작업 디렉토리에서 .pem이라는certificate-file 파일에 기록합니다. 이 명령은 가독성만을 위해 두 줄에 나타납니다.

  4. 계층 수준 명령문과 load-key-file 계층 레벨의 명령 [edit security certificates] 문을 포함 local 함으로써 Junos OS를 실행하는 디바이스로 인증서를 [edit security certificates local certificate-name] 임포트합니다.

    certificate-name 인증서를 고유하게 식별하도록 선택하는 이름입니다(예: junos-xml-protocol-ssl-client-hostname, hostname 클라이언트 애플리케이션이 실행되는 컴퓨터 위치).

    URL-or-path쌍으로 구성된 인증서 및 전용 키가 포함된 파일을 지정합니다(3certificate-name단계에서 명령을 실행한 openssl 경우 .pem 파일). 클라이언트 컴퓨터의 위치에 URL을 지정하거나 로컬 디스크의 경로 이름을 지정합니다(인증서 파일을 장비의 로컬 디스크에 복사하기 위해 이미 다른 방법을 사용 중인 경우). URL 및 경로 이름 지정에 대한 자세한 내용은 CLI 사용자 가이드를 참조하십시오.

    참고:

    CLI는 파일의 URL-or-path 프라이빗 키가 암호화되지 않을 것으로 예상합니다. 키가 암호화되면 CLI에서 관련 패스프레이즈에 대한 프롬프트를 표시하고 복호화하며 암호화되지 않은 버전을 저장합니다.

    set-load-key-file URL-or-path 명령은 인증서 파일의 내용을 구성으로 복사합니다. 구성을 볼 때 CLI는 프라이빗 키와 인증서를 구성하는 문자 문자열을 표시하여 으로 SECRET-DATA마킹합니다. 키워드는 load-key-file 구성에 기록되지 않습니다.
  5. 계층 수준에 명령문을 포함함으로써 포트 3220의 Junos XML 프로토콜 클라이언트 애플리케이션에서 SSL 연결을 허용하도록 Junos OS를 xnm-ssl 실행하는 디바이스를 [edit system services] 구성합니다.

    certificate-name4단계의 인증서에 할당된 고유 이름입니다.

    기본적으로 Junos XML 프로토콜 서버는 최대 75개의 동시 SSL 세션과 분당 150번의 연결 시도를 지원합니다. 선택적으로 동시 세션의 수를 제한하는 명령문과 rate-limit 연결 시도를 제한하는 명령문을 모두 connection-limit 포함하거나 포함할 수 있습니다. 두 명령문 모두 1 에서 250까지의 값을 허용합니다.

    성명서에 대한 xnm-ssl 자세한 내용은 라우팅 디바이스용 Junos OS 사용자 액세스 및 인증 사용자 가이드를 참조하십시오.

  6. 구성을 커밋합니다.
  7. 클라이언트 애플리케이션이 실행되는 각 컴퓨터의 1 단계 , 클라이언트 애플리케이션이 연결하는 각 디바이스의 2 단계~6 단계  를 반복합니다.

Telnet 연결의 사전 필수 조건

클라이언트 애플리케이션이 Telnet 프로토콜을 사용하여 Junos XML 프로토콜 서버에 액세스할 수 있도록 하려면 이 섹션에 설명된 단계를 수행합니다.

Junos-FIPS 소프트웨어를 실행하는 장치는 Telnet 연결을 허용하지 않습니다. Common Criteria 환경에서는 Telnet 프로토콜을 사용하지 않는 것이 좋습니다. 자세한 내용은 Common Criteria 및 Junos-FIPS를 위한 보안 구성 가이드를 참조하십시오.

  1. 애플리케이션이 Telnet 소프트웨어에 액세스할 수 있는지 확인합니다. 대부분의 운영 체제에서 Telnet은 표준 배포 환경에서 액세스할 수 있습니다.
  2. 모든 액세스 프로토콜의 사전 필수 요건에 대해 논의된 사전 필수 요건을 충족합니다.
  3. 계층 레벨에 명령문을 [edit system services] 포함시킴으로써 Junos OS를 실행하는 디바이스를 telnet 구성하여 Telnet 연결을 허용합니다. 이 명령문은 Junos XML 프로토콜 클라이언트 애플리케이션뿐만 아니라 모든 사용자와 애플리케이션에 대해 Telnet 액세스를 지원합니다.
  4. 애플리케이션이 실행되는 각 컴퓨터의 1 단계 와 애플리케이션이 연결하는 각 디바이스의 2 단계와 3 단계  를 반복합니다.

관련 설명서