Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Sichern von Konfigurationen auf einer Archiv-Site

Sie können ein Gerät so konfigurieren, dass seine Konfiguration regelmäßig in eine Archivdatei übertragen wird.

Konfiguration der Übertragung der aktiven Konfiguration

Wenn Sie die aktuelle Konfiguration Ihres Geräts auf einer Archiv-Site sichern möchten, können Sie das Gerät so konfigurieren, dass seine aktive Konfiguration regelmäßig oder nach jedem Commit per FTP, HTTP, Secure Copy (SCP) oder SFTP übertragen wird.

Um das Gerät so zu konfigurieren, dass es seine aktive Konfiguration an eine Archiv-Site überträgt, schließen Sie Anweisungen auf Hierarchieebene [edit system archival configuration] ein:

Wenn Sie das Gerät für die Übertragung seiner Konfigurationsdateien konfigurieren, geben Sie eine Archiv-Site an, an die die Dateien übertragen werden. Wenn Sie mehr als eine Archiv-Site angeben, versucht das Gerät, Dateien auf die erste Archiv-Site in der Liste zu übertragen, und wechselt nur dann zur nächsten Site, wenn die Übertragung fehlschlägt.

Wenn Sie die archive-sites Anweisung verwenden, können Sie ein Ziel als FTP-URL, HTTP-URL, Remote-Dateispezifikation im SCP-Stil oder SFTP-URL angeben. Der URL-Typ file: wird ebenfalls unterstützt. Wenn Sie die Archivwebsite angeben, fügen Sie am Ende der URL keinen Schrägstrich (/) hinzu.

Hinweis:
  • Der URL-Typ Datei: wird nur für lokale Dateien unterstützt.
  • Wenn Sie die FTP-Option verwenden, geben Sie einen doppelten Schrägstrich (//) nach host:port an. Zum Beispiel: ftp://username@host<:p ort>//url-path

file:/path/ ist die minimale Darstellung einer lokalen Datei ohne Normfeld und einem absoluten Pfad, der mit einem Schrägstrich "/" beginnt, wie in RFC 8089 definiert.

file:///path ist ein Beispiel für einen herkömmlichen Datei-URI für eine lokale Datei mit einer leeren Berechtigung, wie in RFC 8089 definiert.

Hinweis:

Wenn Sie eine URL in einer Anweisung mit einer IPv6-Hostadresse angeben, müssen Sie die gesamte URL in Anführungszeichen ("") und die IPv6-Hostadresse in Klammern ([ ]) einschließen. Beispiel: "ftp://username<:password>@[ipv6-host-address]<:port>//url-path"

Um das Gerät so zu konfigurieren, dass es seine aktive Konfiguration regelmäßig an eine Archiv-Site überträgt, fügen Sie die transfer-interval Anweisung auf Hierarchieebene [edit system archival configuration] ein:

Das interval ist ein Zeitraum von 15 bis 2880 Minuten.

Um das Gerät so zu konfigurieren, dass die Konfiguration bei jedem Commit der Konfiguration an eine Archivsite übertragen wird, fügen Sie die transfer-on-commit Anweisung auf Hierarchieebene [edit system archival configuration] ein:

Bevor Sie eine SCP-URL angeben, müssen Sie die kennwortlose Authentifizierung zwischen dem lokalen Gerät und dem Archivserver einrichten, wie unter Einrichten der kennwortlosen Authentifizierung für SCP-Übertragungen beschrieben.

Wenn das Netzwerkgerät den Archivserver über eine bestimmte Routing-Instanz erreicht, konfigurieren Sie die routing-instance Anweisung auf Hierarchieebene [edit system archival configuration] und geben Sie die Routing-Instanz an.

Der Zieldateiname wird im folgenden Format gespeichert, wobei n die Nummer der archivierten Rollback-Datei für die komprimierte Konfiguration entspricht:

Hinweis:

Die im Zieldateinamen enthaltene Zeit wird in koordinierter Weltzeit (UTC) angegeben.

Weitere Informationen dazu, warum SFTP-Übertragungen beim Commit fehlschlagen, wenn SSH-Hostschlüssel nicht konfiguriert sind, finden Sie KB76300 .

Einrichten der kennwortlosen Authentifizierung für SCP-Übertragungen

Sie können die Netzwerkgerätekonfiguration auf einem Remoteserver sichern, indem Sie eine URL im SCP-Stil auf Hierarchieebene [edit system archival configuration archive-sites] angeben. Bevor Sie SCP zum Übertragen der Datei verwenden können, müssen Sie zunächst die schlüsselbasierte SSH-Authentifizierung vom lokalen Gerät (als Root-Benutzer) zum Remoteserver (für einen auf dem Server konfigurierten Remotebenutzer) konfigurieren.

Ab Junos OS Evolved Version 22.3R1 können Sie den request security ssh password-less-authentication Befehl Betriebsmodus verwenden, um die schlüsselbasierte SSH-Authentifizierung einzurichten. Sie können die schlüsselbasierte SSH-Authentifizierung in jeder Version auch manuell konfigurieren.

So konfigurieren Sie die schlüsselbasierte SSH-Authentifizierung in Junos OS Evolved Version 22.3R1 und höher:

  1. Melden Sie sich beim Junos OS Evolved-Gerät als Root-Benutzer an.

  2. Führen Sie den folgenden Befehl aus, der SSH-Schlüssel für den aktuellen Benutzer generiert, sofern der Benutzer noch nicht über vorhandene Schlüssel verfügt, und den öffentlichen Schlüssel in die authorized_keys Datei des angegebenen Benutzers auf dem entfernten Host überträgt.

    Der folgende Befehl fügt beispielsweise den öffentlichen Schlüssel des Rootbenutzers an die authorized_keys Datei des Administratorbenutzers auf dem angegebenen Server an.

So konfigurieren Sie die schlüsselbasierte SSH-Authentifizierung manuell in einer Version von Junos OS Evolved:

  1. Melden Sie sich beim Junos OS Evolved-Gerät als Root-Benutzer an.
  2. Stellen Sie sicher, dass der Root-Benutzer über vorhandene SSH-Schlüssel verfügt.
    Wenn der Root-Benutzer über vorhandene SSH-Schlüssel verfügt, fahren Sie mit Schritt 4 fort.
  3. Wenn der Root-Benutzer keine SSH-Schlüssel hat, geben Sie die Linux-Shell ein und generieren Sie ein SSH-RSA-Schlüsselpaar.
  4. Kopieren Sie aus der Shell den öffentlichen Schlüssel des Root-Benutzers vom lokalen Gerät auf den Remote-Server, und fügen Sie ihn an die authorized_keys Datei des Remote-Benutzers an.

    Der folgende Befehl fügt den öffentlichen Schlüssel des Root-Benutzers an die authorized_keys Datei des Admin-Benutzers an.

    Auf ähnliche Weise führt der folgende Befehl denselben Vorgang aus, jedoch im Kontext der mgmt_junos Routing-Instanz.