Example: Proteção da configuração do Junos OS contra modificações ou exclusões
Este exemplo mostra como usar o e unprotect os protect comandos no modo de configuração para proteger e desprotegir a configuração de CLI.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um dispositivo da Série M, Série MX, Série PTX ou Série T
Junos OS 11.2 ou posterior em execução em todos os dispositivos
Visão geral
O Junos OS permite que você proteja a configuração do dispositivo de ser modificada ou excluída por outros usuários. Isso pode ser feito usando o protect comando no modo de configuração da CLI. Da mesma forma, você também pode desprotegir uma configuração protegida usando o unprotect comando.
Esses comandos podem ser usados em qualquer nível da hierarquia de configuração — uma hierarquia de pais de alto nível ou uma declaração de configuração ou um identificador dentro do nível mais baixo da hierarquia.
Se uma hierarquia de configuração for protegida, os usuários não poderão realizar as seguintes atividades:
Exclusão ou modificação de uma hierarquia ou uma declaração ou identificador dentro da hierarquia protegida
Inserir uma nova declaração de configuração ou um identificador dentro da hierarquia protegida
Renomeando uma declaração ou identificador dentro da hierarquia protegida
Copiar uma configuração em uma hierarquia protegida
Ativar ou desativar declarações dentro de uma hierarquia protegida
Anotando uma hierarquia protegida
Topologia
Protegendo uma hierarquia de nível pai
Procedimento
Procedimento passo a passo
Para proteger uma configuração no nível superior da hierarquia:
Identifique a hierarquia que você deseja proteger e emita o protect comando para a hierarquia no nível da [edit] hierarquia.
Por exemplo, se você quiser proteger todo [edit access] o nível de hierarquia, use o seguinte comando:
[edit]user@host#protect access
Resultados
Protege todos os elementos sob a hierarquia dos pais.
Se você emitir o protect comando para uma hierarquia que não é usada na configuração, o Junos OS CLI exibe a seguinte mensagem de erro:
[edit]user@host#protect accesswarning: statement not found
Protegendo uma hierarquia infantil
Procedimento
Procedimento passo a passo
Para proteger uma hierarquia infantil contida na hierarquia dos pais:
Navegue até a hierarquia do contêiner pai. Use o protect comando para a hierarquia no nível dos pais.
Por exemplo, se você quiser proteger o nível de [edit system syslog console] hierarquia, use o seguinte comando no nível de [edit system syslog] hierarquia.
[edit system syslog]user@host#protect console
Resultados
Protege todos os elementos da hierarquia infantil.
Protegendo uma declaração de configuração dentro de uma hierarquia
Procedimento
Procedimento passo a passo
Para proteger uma declaração de configuração em um nível de hierarquia:
Navegue até o nível de hierarquia contendo a declaração que deseja proteger e emitir o protect comando para a hierarquia.
Por exemplo, se você quiser proteger a host-name declaração no nível da [edit system] hierarquia, use o seguinte comando:
[edit system]user@host#protect host-name
Resultados
Protegendo uma lista de identificadores para uma declaração de configuração
Procedimento
Procedimento passo a passo
Algumas declarações de configuração podem ter vários valores. Por exemplo, a address declaração no nível de [edit system login deny-sources] hierarquia pode levar uma lista de nomes de host, endereços IPv4 ou endereços IPv6. Suponha que você tenha a seguinte configuração:
[edit system login]
deny-sources {
address [ 172.17.28.19 172.17.28.20 172.17.28.21 172.17.28.22];
}
Para proteger todos os endereços para a address declaração, use o seguinte comando no [edit] nível:
[edit]
user@host# protect system login deny-sources address
Resultados
Todos os endereços ([172.17.28.19 172.17.28.20 172.17.28.21 172.17.28.22]) para a address declaração estão protegidos.
Proteger um membro individual de uma lista homogênea
Procedimento
Procedimento passo a passo
Suponha que você tenha a seguinte configuração:
[edit groups ]
test1 {
system {
name-server {
10.1.2.1;
10.1.2.2;
10.1.2.3;
10.1.2.4;
}
}
}
Para proteger um ou mais endereços individuais para a name-server declaração, emita o seguinte comando no [edit] nível:
[edit] user@host#protect groups test1 system name-server 10.1.2.1user@host#protect groups test1 system name-server 10.1.2.4
Resultados
Os endereços 10.1.2.1 e 10.1.2.4 estão protegidos.
Desprotegindo uma configuração
Procedimento
Procedimento passo a passo
Suponha que você tenha a seguinte configuração no nível de [edit system] hierarquia:
protect: system {
host-name bigping;
domain-search 10.1.2.1;
login {
deny-sources {
protect: address [ 172.17.28.19 172.17.28.173 172.17.28.0 174.0.0.0 ];
}
}
}
Para desprotegir todo [edit system] o nível de hierarquia, emita o seguinte comando no [edit] nível:
[edit]
user@host# unprotect system
Resultados
Todo o system nível de hierarquia está desprotegido.
Verificação
- Verifique se uma hierarquia está protegida usando o comando show
- Verifique se uma hierarquia está protegida ao tentar modificar uma configuração
- Verifique o uso do comando de proteção
- Veja a configuração no XML
Verifique se uma hierarquia está protegida usando o comando show
Propósito
Para verificar se uma hierarquia de configuração está protegida.
Ação
No modo de configuração, emita o show comando no nível de [edit] hierarquia para ver todas as hierarquias de configuração e declarações de configuração protegidas.
Todas as hierarquias ou declarações protegidas são prefixadas com uma protect: string.
...
protect: system {
host-name bigping;
domain-search 10.1.2.1;
login {
deny-sources {
protect: address [ 172.17.28.19 172.17.28.173 172.17.28.0 174.0.0.0 ];
}
}
}
...
Verifique se uma hierarquia está protegida ao tentar modificar uma configuração
Propósito
Para verificar se uma configuração está protegida, tentando modificar a configuração usando os activatecomandos insertcopyrenamee delete comandos.
Ação
Para verificar se uma configuração está protegida:
Tente usar o
activate,copy,inserterenamedeletecomandos para uma hierarquia de alto nível ou uma hierarquia de nível infantil ou uma declaração dentro da hierarquia.Para uma hierarquia ou declaração protegida, o Junos OS exibe um aviso apropriado de que o comando não executou. Por exemplo:
protect: system { host-name a; inactive: domain-search [ a b ]; }Para verificar se a hierarquia está protegida, tente emitir o
activatecomando para adomain-searchdeclaração:[edit system]user@host#
activate system domain-searchO Junos OS CLI exibe uma mensagem apropriada:
warning: [system] is protected, 'system domain-search' cannot be activated
Verifique o uso do comando de proteção
Propósito
Para ver os protect comandos usados para proteger uma configuração.
Ação
Navegue até a hierarquia necessária.
Emitimos o
show | display set relativecomando.
user@host> show | display set relative
set system host-name bigping
set system domain-search 10.1.2.1
set system login deny-sources address 172.17.28.19
set system login deny-sources address 172.17.28.173
set system login deny-sources address 172.17.28.0
set system login deny-sources address 174.0.0.0
protect system login deny-sources address
protect systemVeja a configuração no XML
Propósito
Para verificar se as hierarquias ou declarações protegidas também são exibidas no XML. Hierarquias, declarações ou identificadores protegidos são exibidos com o | display xml atributo no XML.
Ação
Para ver a configuração no XML:
Navegue até a hierarquia que você deseja ver.
Use o
showcomando com o símbolo e a opção| display xmldo tubo:[edit system]user@host#
show | display xml[edit] user@host# show system | display xml <rpc-reply xmlns:junos="http://xml.juniper.net/junos/11.2I0/junos"> <configuration junos:changed-seconds="1291279234" junos:changed-localtime="2017-12-02 00:40:34 PST"> <system protect="protect"> <host-name>bigping</host-name> <domain-search>10.1.2.1</domain-search> <login> <message> \jnpr \tUNAUTHORIZED USE OF THIS ROUTER \tIS STRICTLY PROHIBITED! </message> <class> <name>a</name> <allow-commands>commit-synchronize</allow-commands> <deny-commands>commit</deny-commands> </class> <deny-sources> <address protect="protect">172.17.28.19</address> <address protect="protect">172.17.28.173</address> <address protect="protect">172.17.28.0</address> <address protect="protect">174.0.0.0</address> </deny-sources> </login> <syslog> <archive> </archive> </syslog> </system> </configuration> <cli> <banner>[edit]</banner> </cli> </rpc-reply>Nota:Carregar uma configuração XML com a
unprotect="unprotect"tag desprotegi uma hierarquia já protegida. Por exemplo, suponha que você carregue a seguinte hierarquia XML:<protocols unprotect="unprotect"> <ospf> <area> <name>0.0.0.0</name> <interface> <name>all</name> </interface> </area> </ospf> </protocols>A
[edit protocols]hierarquia fica desprotegida se já estiver protegida.