Exemplo: Proteção da configuração do Junos OS contra modificações ou exclusões
Este exemplo mostra como usar e comanda no modo de configuração para proteger e desprotegir a configuração da CLI.protectunprotect
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Uma Série M, Série MX, Série PTX ou dispositivo da Série T
Junos OS 11.2 ou posterior em execução em todos os dispositivos
Visão geral
O Junos OS permite que você proteja a configuração do dispositivo de ser modificada ou excluída por outros usuários. Isso pode ser feito usando o comando no modo de configuração da CLI.protect Da mesma forma, você também pode desprotegir uma configuração protegida usando o comando.unprotect
Esses comandos podem ser usados em qualquer nível da hierarquia de configuração — uma hierarquia de pais de alto nível ou uma declaração de configuração ou um identificador dentro do nível mais baixo da hierarquia.
Se uma hierarquia de configuração estiver protegida, os usuários não poderão realizar as seguintes atividades:
Exclusão ou modificação de uma hierarquia ou uma declaração ou identificador dentro da hierarquia protegida
Insira uma nova declaração de configuração ou um identificador dentro da hierarquia protegida
Renomeando uma declaração ou identificador dentro da hierarquia protegida
Copiar uma configuração em uma hierarquia protegida
Ativação ou desativação de declarações dentro de uma hierarquia protegida
Anotando uma hierarquia protegida
Topologia
Protegendo uma hierarquia de nível parental
Procedimento
Procedimento passo a passo
Para proteger uma configuração no nível superior da hierarquia:
Identifique a hierarquia que você deseja proteger e emita o comando para a hierarquia no nível hierárquicos .protect[edit]
Por exemplo, se você quiser proteger todo o nível de hierarquia, use o seguinte comando:[edit access]
[edit]user@host#protect access
Resultados
Protege todos os elementos sob a hierarquia dos pais.
Se você emitir o comando para uma hierarquia que não é usada na configuração, o Junos OS CLI exibe a seguinte mensagem de erro:protect
[edit]user@host#protect accesswarning: statement not found
Protegendo uma hierarquia infantil
Procedimento
Procedimento passo a passo
Para proteger uma hierarquia infantil contida na hierarquia dos pais:
Navegue até a hierarquia dos contêineres-mãe. Use o comando para a hierarquia no nível dos pais.protect
Por exemplo, se você quiser proteger o nível de hierarquia, use o seguinte comando no nível de hierarquia.[edit system syslog console][edit system syslog]
[edit system syslog]user@host#protect console
Resultados
Protege todos os elementos da hierarquia infantil.
Protegendo uma declaração de configuração dentro de uma hierarquia
Procedimento
Procedimento passo a passo
Para proteger uma declaração de configuração dentro de um nível de hierarquia:
Navegue até o nível hierárquica contendo a declaração que deseja proteger e emitir o comando para a hierarquia.protect
Por exemplo, se você quiser proteger a declaração sob o nível hierárquico, use o seguinte comando:host-name[edit system]
[edit system]user@host#protect host-name
Resultados
Proteção de uma lista de identificadores para uma declaração de configuração
Procedimento
Procedimento passo a passo
Algumas declarações de configuração podem levar vários valores. Por exemplo, a declaração no nível de hierarquia pode levar uma lista de nomes de host, endereços IPv4 ou endereços IPv6.address[edit system login deny-sources] Suponha que você tenha a seguinte configuração:
[edit system login]
deny-sources {
address [ 172.17.28.19 172.17.28.20 172.17.28.21 172.17.28.22];
}
Para proteger todos os endereços para a declaração, use o seguinte comando no nível:address[edit]
[edit]
user@host# protect system login deny-sources address
Resultados
Todos os endereços ([172.17.28.19 172.17.28.20 172.17.28.21 172.17.28.22]) para a declaração estão protegidos.address
Proteger um membro individual de uma lista homogênea
Procedimento
Procedimento passo a passo
Suponha que você tenha a seguinte configuração:
[edit groups ]
test1 {
system {
name-server {
10.1.2.1;
10.1.2.2;
10.1.2.3;
10.1.2.4;
}
}
}
Para proteger um ou mais endereços individuais para a declaração, emita o seguinte comando no nível:name-server[edit]
[edit] user@host#protect groups test1 system name-server 10.1.2.1user@host#protect groups test1 system name-server 10.1.2.4
Resultados
Os endereços 10.1.2.1 e 10.1.2.4 estão protegidos.
Desprotegindo uma configuração
Procedimento
Procedimento passo a passo
Suponha que você tenha a seguinte configuração no nível de hierarquia:[edit system]
protect: system {
host-name bigping;
domain-search 10.1.2.1;
login {
deny-sources {
protect: address [ 172.17.28.19 172.17.28.173 172.17.28.0 174.0.0.0 ];
}
}
}
Para desprotegir todo o nível de hierarquia, emita o seguinte comando no nível:[edit system][edit]
[edit]
user@host# unprotect system
Resultados
Todo o nível de hierarquia está desprotegido.system
Verificação
- Verifique se uma hierarquia está protegida usando o comando do show
- Verifique se uma hierarquia está protegida ao tentar modificar uma configuração
- Verifique o uso do comando de proteção
- Veja a configuração em XML
Verifique se uma hierarquia está protegida usando o comando do show
Propósito
Para verificar se uma hierarquia de configuração está protegida.
Ação
No modo de configuração, emita o comando no nível de hierarquia para ver todas as hierarquias de configuração e declarações de configuração protegidas.show[edit]
Todas as hierarquias ou declarações protegidas são prefixadas com uma string.protect:
...
protect: system {
host-name bigping;
domain-search 10.1.2.1;
login {
deny-sources {
protect: address [ 172.17.28.19 172.17.28.173 172.17.28.0 174.0.0.0 ];
}
}
}
...
Verifique se uma hierarquia está protegida ao tentar modificar uma configuração
Propósito
Para verificar se uma configuração está protegida ao tentar modificar a configuração usando os comandos e comandos.activatecopyinsertrenamedelete
Ação
Para verificar se uma configuração está protegida:
Tente usar o , , , e comandos para uma hierarquia de alto nível ou uma hierarquia de nível infantil ou uma declaração dentro da hierarquia.
activatecopyinsertrenamedeletePara uma hierarquia ou declaração protegida, o Junos OS exibe um aviso apropriado de que o comando não executou. Por exemplo:
protect: system { host-name a; inactive: domain-search [ a b ]; }Para verificar se a hierarquia está protegida, tente emitir o comando para a declaração:
activatedomain-search[edit system]user@host#
activate system domain-searchO Junos OS CLI exibe uma mensagem apropriada:
warning: [system] is protected, 'system domain-search' cannot be activated
Verifique o uso do comando de proteção
Propósito
Para visualizar os comandos usados para proteger uma configuração.protect
Ação
Navegue até a hierarquia necessária.
Emite o comando.
show | display set relative
user@host> show | display set relative
set system host-name bigping
set system domain-search 10.1.2.1
set system login deny-sources address 172.17.28.19
set system login deny-sources address 172.17.28.173
set system login deny-sources address 172.17.28.0
set system login deny-sources address 174.0.0.0
protect system login deny-sources address
protect systemVeja a configuração em XML
Propósito
Para verificar se as hierarquias ou declarações protegidas também estão exibidas no XML. Hierarquias, declarações ou identificadores protegidos são exibidos com o atributo no XML.| display xml
Ação
Para ver a configuração em XML:
Navegue até a hierarquia que você deseja ver.
Use o comando com o símbolo e a opção do tubo:
show| display xml[edit system]user@host#
show | display xml[edit] user@host# show system | display xml <rpc-reply xmlns:junos="http://xml.juniper.net/junos/11.2I0/junos"> <configuration junos:changed-seconds="1291279234" junos:changed-localtime="2017-12-02 00:40:34 PST"> <system protect="protect"> <host-name>bigping</host-name> <domain-search>10.1.2.1</domain-search> <login> <message> \jnpr \tUNAUTHORIZED USE OF THIS ROUTER \tIS STRICTLY PROHIBITED! </message> <class> <name>a</name> <allow-commands>commit-synchronize</allow-commands> <deny-commands>commit</deny-commands> </class> <deny-sources> <address protect="protect">172.17.28.19</address> <address protect="protect">172.17.28.173</address> <address protect="protect">172.17.28.0</address> <address protect="protect">174.0.0.0</address> </deny-sources> </login> <syslog> <archive> </archive> </syslog> </system> </configuration> <cli> <banner>[edit]</banner> </cli> </rpc-reply>Nota:Carregar uma configuração XML com a tag desprotegi uma hierarquia já protegida.
unprotect="unprotect"Por exemplo, suponha que você carregue a seguinte hierarquia XML:<protocols unprotect="unprotect"> <ospf> <area> <name>0.0.0.0</name> <interface> <name>all</name> </interface> </area> </ospf> </protocols>A hierarquia fica desprotegida se já estiver protegida.
[edit protocols]