Hướng dẫn thiết lập kết nối SSH cho NETCONF Session

Hướng dẫn thiết lập kết nối SSH cho NETCONF Session

Tìm hiểu về các phiên NETCONF qua SSH

Bạn có thể sử dụng giao thức SSH để thiết lập kết nối giữa máy chủ quản lý cấu hình và thiết bị Junos. Máy chủ quản lý cấu hình được dùng để quản lý thiết bị Junos từ xa.

Bạn có thể sử dụng các tùy chọn sau để thiết lập kết nối SSH giữa máy chủ quản lý cấu hình và thiết bị Junos:

• SSH — Máy chủ quản lý cấu hình khởi tạo một phiên SSH với thiết bị Junos.
• SSH ra ngoài (Outbound SSH) — Sử dụng tùy chọn này khi máy chủ quản lý không thể khởi tạo kết nối SSH do bị giới hạn bởi mạng (chẳng hạn như tường lửa). Trong trường hợp đó, bạn cấu hình thiết bị Junos để nó tự khởi tạo, thiết lập và duy trì kết nối SSH với một tập hợp máy chủ quản lý cấu hình đã được xác định trước.

Yêu cầu chung đối với các phiên NETCONF qua SSH hoặc SSH ra ngoài

Đối với các phiên NETCONF sử dụng SSH hoặc SSH ra ngoài, bạn cần phải:

• Cài đặt phần mềm SSH trên máy chủ quản lý cấu hình.
• Bật dịch vụ NETCONF trên thiết bị Junos.

Xem các phần bên dưới để biết hướng dẫn chi tiết:

Cài đặt phần mềm SSH trên máy chủ quản lý cấu hình

Với kết nối SSH thông thường, máy chủ quản lý cấu hình (CMS) sẽ quản lý phiên SSH với thiết bị Junos.
Với kết nối SSH ra ngoài, thiết bị Junos sẽ thiết lập kết nối SSH đến máy chủ quản lý, sau đó máy chủ quản lý tiếp quản phiên SSH đó.

Để thiết lập kết nối SSH hoặc SSH ra ngoài với thiết bị, máy chủ quản lý cấu hình phải được cài đặt phần mềm SSH cục bộ.

Tham khảo thêm tại các trang sau để tải và cài đặt phần mềm SSH:

• http://www.ssh.com
• http://www.openssh.com

Bật dịch vụ NETCONF qua SSH

Để thiết lập phiên NETCONF trên thiết bị Junos, bạn cần bật dịch vụ NETCONF. Bạn có thể cấu hình máy chủ NETCONF để chấp nhận các phiên NETCONF qua các cổng sau:

• Cổng NETCONF mặc định (830) hoặc một cổng do người dùng định nghĩa
• Cổng SSH mặc định (22)

Chúng tôi khuyến nghị sử dụng cổng NETCONF mặc định (830) vì thiết bị có thể dễ dàng nhận dạng và lọc lưu lượng NETCONF. Ngoài ra, bạn cũng có thể cấu hình thiết bị để chấp nhận các phiên NETCONF trên một cổng cụ thể thay vì cổng mặc định. Cổng này chỉ chấp nhận các phiên NETCONF qua SSH và sẽ từ chối các phiên SSH thông thường. Nếu bạn cũng bật dịch vụ SSH trên thiết bị, thiết bị sẽ chấp nhận các phiên NETCONF trên cả cổng SSH mặc định và cổng NETCONF đã cấu hình (dù là mặc định hay tùy chỉnh). Để tăng cường bảo mật, bạn có thể cấu hình các chính sách sự kiện (event policy) sử dụng thông tin UI_LOGIN_EVENT để vô hiệu hóa cổng mặc định hoặc giới hạn thêm quyền truy cập dịch vụ NETCONF trên một cổng cụ thể.

Để bật dịch vụ NETCONF qua SSH trên thiết bị Junos:

- Bật dịch vụ NETCONF trên cổng mặc định (830) hoặc một cổng do bạn chỉ định.

• Để sử dụng cổng NETCONF mặc định (830), hãy thêm dòng cấu hình sau tại cấp cấu hình [edit system services]:

• Để sử dụng một cổng cụ thể, hãy cấu hình câu lệnh port với số cổng mong muốn tại cấp cấu hình [edit system services netconf ssh].

Số cổng có thể được cấu hình trong khoảng từ 1 đến 65535. Cổng được cấu hình sẽ chỉ chấp nhận các phiên NETCONF-over-SSH và từ chối các phiên SSH thông thường.

**Lưu ý: Mặc dù bạn có thể cấu hình NETCONF-over-SSH trên bất kỳ cổng nào trong khoảng từ 1 đến 65535, bạn nên tránh sử dụng các cổng thường được gán cho các dịch vụ khác. Việc này giúp tránh xung đột tài nguyên có thể xảy ra. Nếu bạn cấu hình một cổng đã được gán cho dịch vụ khác (ví dụ như FTP), và dịch vụ đó đang được bật, thì lệnh commit check sẽ không phát hiện xung đột tài nguyên và không đưa ra cảnh báo nào liên quan.

• (Tùy chọn) Để cũng cho phép truy cập vào hệ thống con NETCONF SSH bằng cổng SSH mặc định (22), hãy thêm câu lệnh ssh tại cấp cấu hình [edit system services].

Cấu hình này cho phép truy cập SSH vào thiết bị cho tất cả người dùng và ứng dụng.

**Lưu ý: Trong các phiên bản mà hành vi mặc định là chặn người dùng root sử dụng dịch vụ SSH, bạn cần cấu hình lệnh root-login allow tại cấp cấu hình [edit system services ssh] để cho phép người dùng root mở các phiên NETCONF qua SSH.

• (Tùy chọn) Cấu hình thiết bị để ngắt kết nối các client NETCONF không phản hồi. Xác định khoảng thời gian chờ (tính bằng giây), sau khoảng thời gian đó nếu không nhận được dữ liệu từ client, tiến trình sshd sẽ yêu cầu phản hồi. Ngoài ra, bạn cũng cần cấu hình ngưỡng số lần client không phản hồi (missed client-alive responses) – nếu vượt quá ngưỡng này, thiết bị sẽ ngắt kết nối client.

**Lưu ý: Các câu lệnh được cấu hình tại cấp cấu hình [edit system services netconf ssh] chỉ áp dụng cho các phiên NETCONF kết nối thông qua cổng mặc định (830) hoặc cổng do người dùng chỉ định được cấu hình tại cùng cấp này.

• Thực hiện commit cấu hình:

• Lặp lại các bước đã nêu ở trên trên mỗi thiết bị chạy Junos OS nơi mà ứng dụng client thiết lập phiên NETCONF.

Các yêu cầu trước khi thiết lập kết nối SSH cho các phiên NETCONF

Trước khi máy chủ quản lý cấu hình có thể thiết lập kết nối SSH với thiết bị Junos, bạn cần đảm bảo các yêu cầu chung đã được nêu trong phần:

• Common Prerequisites for NETCONF Sessions over SSH or Outbound SSH
  (Các yêu cầu chung cho các phiên NETCONF qua SSH hoặc SSH ra ngoài)

Ngoài ra, bạn cũng cần đáp ứng các yêu cầu trong các phần sau:

• Cấu hình tài khoản người dùng cho ứng dụng client trên thiết bị Junos
• Cấu hình cặp khóa công khai/riêng hoặc mật khẩu cho tài khoản người dùng Junos OS
• Truy cập khóa hoặc mật khẩu từ ứng dụng client

Cấu hình tài khoản người dùng cho ứng dụng client trên thiết bị Junos

Máy chủ quản lý cấu hình phải đăng nhập vào thiết bị Junos để thiết lập một phiên NETCONF. Vì vậy, máy chủ này cần có tài khoản người dùng trên mỗi thiết bị nơi nó thiết lập phiên NETCONF. Các hướng dẫn sau đây giải thích cách tạo một tài khoản người dùng cục bộ trên thiết bị Junos. Ngoài ra, bạn cũng có thể bỏ qua bước này nếu bạn muốn sử dụng xác thực thông qua RADIUS hoặc TACACS+.

Để tạo tài khoản người dùng cục bộ:

• Cấu hình câu lệnh user tại cấp cấu hình [edit system login] và chỉ định tên người dùng. Bao gồm câu lệnh class và chỉ định lớp quyền (login class) phù hợp với các quyền mà ứng dụng yêu cầu để thực thi tất cả các hành động cần thiết.

• (Tùy chọn), bạn có thể thêm các câu lệnh full-name và uid tại cấp cấu hình [edit system login user username].
• Thực hiện commit cấu hình để kích hoạt tài khoản người dùng trên thiết bị.

• Lặp lại các bước đã nêu ở trên trên mỗi thiết bị chạy Junos OS nơi ứng dụng client thiết lập các phiên NETCONF.

Cấu hình cặp khóa công khai/riêng hoặc mật khẩu cho tài khoản người dùng Junos OS

Máy chủ quản lý cấu hình cần có cặp khóa SSH công khai/riêng, một mật khẩu dạng văn bản, hoặc cả hai, trước khi nó có thể xác thực với máy chủ NETCONF. Nếu tài khoản chỉ được sử dụng để kết nối với máy chủ NETCONF qua SSH, thì cặp khóa công khai/riêng là đủ. Nếu tài khoản cũng được sử dụng để truy cập thiết bị theo cách khác (ví dụ đăng nhập qua cổng console), thì tài khoản đó phải có mật khẩu văn bản. Mật khẩu cũng sẽ được sử dụng (máy chủ SSH sẽ yêu cầu) nếu xác thực bằng khóa bị lỗi.

**Lưu ý: Bạn có thể bỏ qua phần này nếu bạn chọn sử dụng xác thực thông qua RADIUS hoặc TACACS+.

Để tạo một mật khẩu dạng văn bản:

• Bao gồm câu lệnh plain-text-password hoặc encrypted-password tại cấp cấu hình: [edit system login user username authentication]. Để nhập mật khẩu ở dạng văn bản, hãy sử dụng lệnh sau — hệ thống sẽ yêu cầu bạn nhập mật khẩu và sẽ mã hóa nó trước khi lưu lại.

Để lưu một mật khẩu mà bạn đã tạo trước đó và mã hóa bằng thuật toán Message Digest 5 (MD5) hoặc Secure Hash Algorithm 1 (SHA-1), hãy sử dụng lệnh sau:

• Xác nhận cấu hình

• Lặp lại các bước đã nêu ở trên trên mỗi thiết bị nơi ứng dụng client thiết lập các phiên NETCONF.

Để tạo cặp khóa SSH công khai/riêng, thực hiện các bước sau:

• Trên máy chủ quản lý cấu hình (nơi ứng dụng client đang chạy), chạy lệnh ssh-keygen trong shell dòng lệnh tiêu chuẩn và cung cấp các tham số phù hợp.

 Ví Dụ:

Để biết thêm thông tin về các tùy chọn của lệnh ssh-keygen, hãy tham khảo trang hướng dẫn (manual page) của lệnh ssh-keygen.

• Liên kết (gán) khóa công khai với tài khoản đăng nhập trên Junos OS.

Junos OS sẽ sao chép nội dung của tệp đã chỉ định lên thiết bị đang chạy Junos OS. URL là đường dẫn đến tệp chứa một hoặc nhiều khóa công khai. Lệnh ssh-keygen theo mặc định sẽ lưu mỗi khóa công khai vào một tệp trong thư mục con .ssh nằm trong thư mục chính (home directory) của người dùng; tên tệp phụ thuộc vào phương thức mã hóa và phiên bản SSH được sử dụng. Để biết thêm thông tin về cách chỉ định đường dẫn URL, hãy tham khảo CLI User Guide (Hướng dẫn sử dụng CLI).

**Lưu ý: Ngoài ra, bạn cũng có thể dùng lệnh ssh-rsa tại cấp cấu hình [edit system login user account-name authentication]. Tuy nhiên, chúng tôi khuyến nghị sử dụng lệnh load-key-file vì cách này giúp bạn không cần phải gõ thủ công hoặc sao chép/dán khóa công khai vào dòng lệnh.

Thực hiện commit cấu hình.

• Lặp lại Bước 2 và Bước 3 trên mỗi thiết bị Junos nơi ứng dụng client thiết lập các phiên NETCONF.

Truy cập Khóa hoặc Mật khẩu từ Ứng dụng Client

Ứng dụng client phải có khả năng truy cập các khóa công khai/riêng hoặc mật khẩu đã cấu hình và cung cấp thông tin này khi máy chủ NETCONF yêu cầu.

Có một số phương pháp để cho phép ứng dụng truy cập khóa hoặc mật khẩu:

• Nếu sử dụng cặp khóa công khai/riêng, chương trình ssh-agent sẽ chạy trên thiết bị nơi ứng dụng client hoạt động và xử lý khóa riêng.
• Khi người dùng khởi chạy ứng dụng, ứng dụng sẽ yêu cầu người dùng nhập mật khẩu và lưu tạm thời mật khẩu một cách an toàn.
• Mật khẩu được lưu ở dạng đã mã hóa tại một vị trí an toàn trên đĩa cứng cục bộ hoặc trong một cơ sở dữ liệu được bảo vệ.

Điều kiện tiên quyết để Thiết lập Kết nối SSH Outbound cho Phiên NETCONF

Để cho phép máy chủ quản lý cấu hình thiết lập kết nối SSH outbound đến máy chủ NETCONF, bạn cần đáp ứng các yêu cầu chung đã đề cập trong:

• Common Prerequisites for NETCONF Sessions over SSH or Outbound SSH

Cũng như các yêu cầu được trình bày trong các phần sau:

• Cấu hình thiết bị Junos cho kết nối SSH outbound
• Nhận và quản lý quá trình khởi tạo kết nối SSH outbound từ phía ứng dụng client

Cấu hình Thiết bị Junos cho Kết nối SSH Outbound

Để cấu hình thiết bị Junos cho SSH outbound:

Tại cấp cấu hình: [edit system services ssh], thiết lập phiên bản giao thức SSH về v2 bằng cách sử dụng câu lệnh:

• Tạo hoặc lấy một cặp khóa công khai/riêng cho thiết bị đang chạy Junos OS. Cặp khóa này sẽ được sử dụng để mã hóa dữ liệu được truyền qua kết nối SSH.
• Nếu bạn cài đặt khóa công khai một cách thủ công trên máy chủ quản lý cấu hình, hãy chuyển khóa công khai từ thiết bị Junos sang máy chủ đó.
• Tại cấp cấu hình [edit system services], hãy thêm khối cấu hình outbound-ssh và các câu lệnh cần thiết bên trong.

Các tùy chọn cấu hình như sau:

• Xác nhận cấu hình

Nhận và Quản lý Trình Tự Khởi Tạo Kết Nối SSH Outbound ở phía Client

Khi được cấu hình để sử dụng SSH outbound, thiết bị Junos sẽ cố gắng duy trì một kết nối liên tục với máy chủ quản lý cấu hình (configuration management server). Bất cứ khi nào phiên SSH outbound chưa được thiết lập, thiết bị sẽ gửi một trình tự khởi tạo kết nối SSH outbound đến máy chủ quản lý cấu hình được liệt kê trong danh sách máy chủ của thiết bị. Trước khi thiết lập được kết nối với thiết bị, mỗi máy chủ quản lý cấu hình cần được cấu hình để nhận trình tự khởi tạo kết nối từ thiết bị, thiết lập kết nối TCP với thiết bị, gửi lại danh tính thiết bị (device identity) cho thiết bị.

Trình tự khởi tạo có hai dạng, tùy thuộc vào cách bạn xử lý khóa công khai (public key) của máy chủ Junos:

• Nếu khóa công khai được cài đặt thủ công trên máy chủ quản lý cấu hình, trình tự khởi tạo sẽ có dạng như sau:

Nếu khóa công khai được thiết bị chuyển tiếp đến máy chủ quản lý cấu hình trong quá trình khởi tạo, thì trình tự khởi tạo sẽ có dạng như sau:

Chúc các bạn thực hiện thành công. Hi vọng bài viết này sẽ giúp ích cho các bạn trong công việc. Nếu bạn có vấn đề gì thắc mắc đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.

Hẹn gặp lại các bạn trong các bài viết tiếp theo !