원격 액세스 개요

기본적으로 사용자는 인증 방법이 암호를 요구하지 않을 때 라우터에 로그인하거나 SSH를 통해 로 root 스위치할 수 있습니다. SSH를 통해 사용자 액세스를 제어하려면 계층 수준에서 문을 [edit systems services ssh] 포함합니다root-login.

allow- 사용자가 라우터에 로그인하거나 SSH를 통해 루트로 스위치할 수 있습니다.

deny-사용자가 라우터에 로그인하거나 SSH를 통해 루트로 스위치하는 것을 비활성화합니다.

deny-password- 인증 방법(예: RSA)이 암호가 필요하지 않을 때 사용자가 라우터에 로그인하거나 SSH를 통해 루트로 스위치할 수 있습니다.

기본값은 입니다 deny-password.

SFTP(SSH File Transfer Protocol)는 신뢰할 수 있는 데이터 스트림을 통해 파일 액세스, 파일 전송 및 파일 관리를 제공하는 네트워크 프로토콜입니다. 들어오는 SFTP 연결은 기본적으로 비활성화됩니다. 원하는 경우 계층 수준에서 문을 sftp-server [edit system services ssh] 구성하여 들어오는 SFTP 연결을 전역적으로 활성화할 수 있습니다.

참고:

들어오는 SFTP 연결만 기본적으로 비활성화됩니다. 예를 들어, 디바이스 A와 B를 감안할 때 기본적으로 SFTP를 통해 B에서 A로 연결할 수 없습니다. 그러나 디바이스 A에서 을(를) 구성 sftp-server 하면 디바이스 B에서 디바이스 A로 SFTP를 통해 연결할 수 있습니다.

들어오는 SFTP 연결은 기본적으로 비활성화됩니다. 들어오는 SFTP 연결을 활성화하려면:

기본적으로 SSH 프로토콜의 버전 2만 활성화됩니다.

SSH 프로토콜의 버전 2를 사용하도록 라우터 또는 스위치를 구성하려면 문을 포함하고 protocol-version 계층 수준에서 을(를[edit system services ssh]) 지정 v2 합니다.

클라이언트 얼라이브 메커니즘은 클라이언트 또는 서버가 연결이 비활성 상태인 시기를 파악하는 데 따라 중요합니다. 클라이언트 얼라이브 메시지가 암호화된 채널을 통해 전송되기 때문에 표준 keepalive 메커니즘과 다릅니다. 클라이언트 얼라이브 메커니즘은 기본적으로 활성화되지 않습니다. 이를 활성화하려면 및 client-alive-interval 문을 구성 client-alive-count-max 합니다. 이 옵션은 SSH 프로토콜 버전 2에만 적용됩니다.

다음 예시에서 응답하지 않는 SSH 클라이언트의 연결은 약 100초(20 x 5) 후에 끊어집니다.

SSH 서버가 키 지문을 표시할 때 사용하는 해시 알고리즘을 구성하려면 문을 포함하고 fingerprint-hash 계층 수준에서 또는 sha2-256 을(를[edit system services ssh]) 지정 md5 합니다.

Junos OS 및 Junos OS Evolved 릴리스 22.4R1부터 사용자와 호스트에 대한 SSH 인증서 기반 인증을 구성할 수 있습니다. 이 기능을 사용하면 사용자에 대한 암호 없이 로그인하여 디바이스에 SSH 액세스를 설정할 수 있으며, 주요 지문을 확인할 필요 없이 호스트를 신뢰할 수 있습니다.

SSH 인증서 기반 인증을 구성하려면 다음 CLI 구성 문을 사용합니다.

• [system services ssh trusted-user-ca-key-file filename]—SSH 인증서의 TrustedUserCAKey 공개 키를 포함하는 /etc/ssh/sshd_config 파일을 구성합니다.

• [system services ssh host-certificate-file filename]—서명된 호스트 인증서를 HostCertificate 포함하는 /etc/ssh/sshd_config 파일을 구성합니다.

• [system services ssh authorized-principals-file filename]—/var/etc에서 파일을 구성 AuthorizedPrincipals 합니다. 여기에는 이름 목록이 포함되어 있으며, 그 중 하나가 인증을 위해 수락되게 하려면 인증서에 나타나야 합니다.

• [system services ssh authorized-principals-command program-path]- 파일에서 AuthorizedPrincipals 발견되는 허용된 인증서 주체 목록을 생성하는 데 사용할 프로그램을 지정합니다.

SSH 알려진 호스트를 구성하려면 문을 포함하고 host 계층 수준에서 신뢰할 수 있는 서버에 [edit security ssh-known-hosts] 대한 호스트 이름과 호스트 키 옵션을 지정합니다.

호스트 키는 다음 중 하나입니다.

• dsa-key key—SSH 버전 2에 대한 Base64 부호화 디지털 서명 알고리즘(DSA) 키.

• ecdsa-sha2-nistp256-keykey—Base64 부호화 ECDSA-SHA2-NIST256 키.

• ecdsa-sha2-nistp384-keykey—Base64 부호화 ECDSA-SHA2-NIST384 키.

• ecdsa-sha2-nistp521-keykey—Base64 부호화 ECDSA-SHA2-NIST521 키.

• ed25519-keykey—Base64 부호화 ED25519 키.

• rsa-key key—SSH 버전 1 및 SSH 버전 2에 대한 암호화 및 디지털 서명을 지원하는 Base64 부호화 공개 키 알고리즘.

• rsa1-key key—SSH 버전 1에 대한 암호화 및 디지털 서명을 지원하는 Base64 부호화 RSA 공개 키 알고리즘.

배경 SCP 파일 전송을 지원하도록 알려진 호스트를 구성하려면 계층 수준에서 문을 [edit system archival configuration] 포함합니다archive-sites.

참고:

IPv6 호스트 주소를 사용하여 Junos OS Evolved 문에서 URL을 지정할 때 전체 URL을 따옴표(" ")로 묶고 IPv6 호스트 주소를 괄호([])로 묶어야 합니다. 예를 들어 , "scp://username<:password>@[host]<:port>/url-path";

SCP URL을 archive-sites 가리키도록 문을 설정하면 자동 호스트 키가 검색됩니다. 이 시점에서 Junos OS Evolved 가 SCP 호스트에 연결하여 SSH 공개 키를 가져오고 호스트 키 메시지 다이제스트 또는 지문을 콘솔의 출력으로 표시하며 서버에 대한 연결을 종료합니다.

호스트 키가 정품인지 확인하려면 이 지문을 신뢰할 수 있는 소스를 사용하여 동일한 호스트에서 얻은 지문과 비교합니다. 지문이 동일하면 프롬프트에 을(를) 입력 yes 하여 호스트 키를 수락합니다. 그런 다음 호스트 키 정보가 라우팅 엔진 구성에 저장되고 SCP를 사용하여 배경 데이터 전송을 지원합니다.

라우터 또는 스위치가 아웃바운드 SSH 연결을 설정할 때마다 먼저 관리 클라이언트에 시작 시퀀스를 보냅니다. 이 시퀀스는 관리 클라이언트에 대한 라우터 또는 스위치를 식별합니다. 이 전송 내에서 은(는) 의 값입니다 device-id.

라우터 또는 스위치의 디바이스 식별자를 구성하려면 계층 수준에서 문을 [edit system services outbound-ssh client client-id] 포함합니다device-id.

구성되지 않은 경우 secret 의 시작 시퀀스:

SSH 연결을 초기화하는 동안 클라이언트는 디바이스의 공용 SSH 호스트 키를 사용하여 디바이스의 ID를 인증합니다. 따라서 클라이언트가 SSH 시퀀스를 시작하기 전에 클라이언트는 디바이스의 공용 SSH 키가 필요합니다. 문을 구성할 secret 때 디바이스는 아웃바운드 SSH 연결 시작 시퀀스의 일부로 공용 SSH 키를 전달합니다.

secret 문이 설정되고 디바이스가 아웃바운드 SSH 연결을 설정하면 디바이스는 디바이스 ID, 공용 SSH 키 및 문에서 부분적으로 파생된 SHA1 해시를 secret 통신합니다. 명령문의 secret 값은 디바이스와 관리 클라이언트 간에 공유됩니다. 클라이언트는 공유 비밀을 사용하여 수신 중인 공용 SSH 호스트 키를 인증하여 공용 키가 문으로 device-id 식별된 디바이스의 것인지 여부를 확인합니다.

secret 문을 사용하여 공용 SSH 호스트 키를 전송하는 것은 선택 사항입니다. 공용 키를 수동으로 전송하고 클라이언트 시스템에 설치할 수 있습니다.

참고:

secret 문을 포함한다는 것은 디바이스가 클라이언트에 연결을 설정할 때마다 공용 SSH 호스트 키를 전송한다는 것을 의미합니다. 그런 다음 클라이언트에 해당 디바이스에 대한 SSH 키가 이미 있는 경우 SSH 호스트 키로 수행할 작업을 결정하는 것은 클라이언트의 입니다. 클라이언트의 SSH 호스트 키 복사본을 새 키로 교체하는 것이 좋습니다. 호스트 키는 여러 가지 이유로 변경 될 수 있습니다. 연결이 설정될 때마다 키를 교체하면 클라이언트에 최신 키가 있는지 확인할 수 있습니다.

디바이스가 클라이언트에 연결할 때 라우터 또는 스위치의 공용 SSH 호스트 키를 전송하려면 계층 수준에서 문을 [edit system services outbound-ssh client client-id] 포함합니다secret.

속성이 구성되면 디바이스 secret 에서 다음 메시지가 전송됩니다.

클라이언트 애플리케이션에 라우터 또는 스위치의 공용 SSH 호스트 키가 있으면 마치 TCP/IP 연결을 생성한 것처럼 SSH 시퀀스를 시작할 수 있습니다. 그런 다음 클라이언트는 라우터 또는 스위치의 공용 호스트 SSH 키 복사본을 해당 시퀀스의 일부로 사용하여 디바이스를 인증할 수 있습니다. 디바이스는 Junos OS Evolved (RSA/DSA 공개 문자열 또는 암호 인증)에서 지원되는 메커니즘을 통해 클라이언트 사용자를 인증합니다.

디바이스가 클라이언트 애플리케이션에 SSH 프로토콜 keepalive 메시지를 보낼 수 있도록 하려면 계층 수준에서 문을 [edit system services outbound-ssh client client-id] 구성 keep-alive 합니다.

연결이 끊어지면 디바이스가 새로운 아웃바운드 SSH 연결을 시작합니다. 연결이 끊긴 후 디바이스가 서버에 다시 연결하는 방법을 지정하려면 계층 수준에서 문을 [edit system services outbound-ssh client client-id] 포함합니다reconnect-strategy.

재시도 횟수를 지정하고 재연결 시도가 중단되기 전에 시간을 설정할 수도 있습니다. 아웃바운드 SSH 연결에 대한 Keepalive 메시지 구성을 참조하십시오.

NETCONF를 사용 가능한 서비스로 수락하도록 애플리케이션을 구성하려면 계층 수준에서 문을 [edit system services outbound-ssh client client-id] 포함합니다services netconf.

이 아웃바운드 SSH 연결에 사용할 수 있는 클라이언트를 구성하려면 각 클라이언트를 계층 수준에서 별도의 주소 문 [edit system services outbound-ssh client client-id] 으로 나열합니다.

참고:

아웃바운드 SSH 연결은 IPv4 및 IPv6 주소 형식을 지원합니다.

관리 라우팅 인스턴스를 사용하려면 먼저 명령을 사용하여 라우팅 인스턴스를 활성화 mgmt_junos 합니다 set system management-instance .

다른 라우팅 인스턴스를 사용하려면 먼저 계층에서 라우팅 인스턴스를 [edit routing-instances] 구성합니다.

라우팅 인스턴스를 지정하지 않으면 디바이스가 기본 라우팅 테이블 사용하여 아웃바운드 SSH 연결을 설정합니다.