이번 글에는 주니퍼(Juniper) 장비의 Mgmt 포트 설정 및 SSH 접속을 구성에 대해 알아봅시다.
이번 들에서는 qfx 장비에서 구성했으나 주니퍼는 JONOS로 통일되어 있어 설정에 큰 차이는 없을 것입니다.
이 글에서는 콘솔 접속 이후 다음 항목을 순서대로 설정합니다.
- root 계정 패스워드 및 hostname 변경
- ZTP(Auto Image Upgrade) 로그 비활성화
- Management Instance(mgmt_junos) 구성
- Mgmt 포트(em0) IP 설정
- Mgmt 전용 라우팅 구성
- SSH 활성화 및 root SSH 접속 허용
1. root 계정 패스워드 변경 및 hostname 설정
보안을 위해 가장 먼저 root 비밀번호를 변경하고
장비 식별을 위한 hostname을 설정합니다.
set system root-authentication plain-text-password
set system host-name BB_2
plain-text-password입력 후 프롬프트에서 비밀번호 입력- 실제 저장 시에는 암호화되어 보관됨
2. Auto Image Upgrade(ZTP) 로그 비활성화
부팅 후 아래와 같은 로그가 반복 출력되는 경우가 많습니다.
Auto Image Upgrade: No DHCP Client in bound state, reset all DHCP clients
이는 ZTP(Zero Touch Provisioning) 기능으로,
운영 환경에서 사용하지 않는다면 비활성화하는 것이 좋습니다.
delete chassis auto-image-upgrade
- 불필요한 DHCP/ZTP 동작 중지
- 콘솔 로그 가독성 향상
3. Management Instance 생성
Mgmt 포트를 관리 전용 인스턴스로 분리합니다.
set system management-instance
- 명령 실행 시
mgmt_junos인스턴스가 자동 생성됨 - 별도의 routing-instance 생성 명령은 필요 없음
(설명을 추가하고 싶다면 선택 사항)
set routing-instances mgmt_junos description mgmt
4. Mgmt 포트(em0) IP 주소 설정
Mgmt 포트(em0)에 관리망 IP를 설정합니다.
set interfaces em0 unit 0 family inet address 172.16.10.32/24
em0는 주니퍼 장비의 물리적 관리 포트- 데이터 포트와 라우팅 테이블이 완전히 분리됨
5. Mgmt 인스턴스 전용 기본 라우팅 설정
Mgmt 인스턴스는 글로벌 라우팅 테이블과 분리되어 있으므로
기본 라우트를 반드시 별도로 설정해야 합니다.
set routing-instances mgmt_junos routing-options static route 0.0.0.0/0 next-hop 172.16.10.254
172.16.10.254: 관리망 게이트웨이- 해당 설정이 없으면 외부 SSH 접속 불가
6. SSH 활성화 및 root SSH 접속 허용
관리망에서 SSH 접속을 허용합니다.
set system services ssh
set system services ssh root-login allow
※ 보안 정책에 따라 운영 환경에서는 root SSH 접속을 제한하고
별도 관리자 계정을 사용하는 것이 권장됩니다.
7. 설정 저장 (Commit)
모든 설정이 끝나면 반드시 commit 합니다.
commit
8. 설정 확인 명령어
Mgmt 포트 상태 확인
show interfaces em0 terse
Mgmt 인스턴스 라우팅 확인
show route table mgmt_junos.inet.0
SSH 서비스 설정 확인
show configuration system services ssh
9. 구성 요약
- root 계정 보안 설정 완료
- ZTP(Auto Image Upgrade) 로그 비활성화
- Mgmt 포트 관리 인스턴스 분리
- Mgmt 전용 IP 및 기본 라우팅 구성
- SSH 접속 활성화