Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Sichern von Konfigurationen auf einer Archiv-Site

Sie können ein Gerät so konfigurieren, dass seine Konfiguration in regelmäßigen Abständen in eine Archivdatei übertragen wird.

Konfigurieren Sie die Übertragung der aktiven Konfiguration

Wenn Sie die aktuelle Konfiguration Ihres Geräts auf einer Archiv-Site sichern möchten, können Sie das Gerät so konfigurieren, dass seine aktive Konfiguration in regelmäßigen Abständen oder nach jedem Commit per FTP, HTTP, Secure Copy (SCP) oder SFTP übertragen wird.

Um das Gerät so zu konfigurieren, dass es seine aktive Konfiguration an eine Archiv-Site überträgt, schließen Sie Anweisungen auf Hierarchieebene [edit system archival configuration] ein:

Wenn Sie das Gerät für die Übertragung seiner Konfigurationsdateien konfigurieren, geben Sie eine Archivsite an, an die die Dateien übertragen werden. Wenn Sie mehr als einen Archivstandort angeben, versucht das Gerät, Dateien an den ersten Archivstandort in der Liste zu übertragen, und wechselt nur dann zum nächsten Standort, wenn die Übertragung fehlschlägt.

Wenn Sie die archive-sites Anweisung verwenden, können Sie ein Ziel als FTP-URL, HTTP-URL, SCP-style-Remotedateispezifikation oder SFTP-URL angeben. Der URL-Typ Datei: wird ebenfalls unterstützt. Wenn Sie die Archivsite angeben, fügen Sie keinen Schrägstrich (/) am Ende der URL hinzu.

Anmerkung:
  • Der URL-Typ Datei: wird nur für lokale Dateien unterstützt.
  • Wenn Sie die FTP-Option verwenden, geben Sie einen doppelten Schrägstrich (//) nach dem host:port an. Beispiel: ftp://username@host<:p ort>//url-path

file:/path/ ist die minimale Darstellung einer lokalen Datei ohne Autoritätsfeld und einem absoluten Pfad, der mit einem Schrägstrich "/" beginnt, wie in RFC 8089 definiert.

file:///path ist ein Beispiel für einen herkömmlichen Datei-URI für eine lokale Datei mit einer leeren Autorität, wie in RFC 8089 definiert.

Anmerkung:

Wenn Sie eine URL in einer Anweisung mit einer IPv6-Hostadresse angeben, müssen Sie die gesamte URL in Anführungszeichen ("") und die IPv6-Hostadresse in eckige Klammern ([ ]) setzen. Beispiel: "ftp://username<:password>@[ipv6-host-address]<:port>//"url-path

Um das Gerät so zu konfigurieren, dass seine aktive Konfiguration regelmäßig an eine Archiv-Site übertragen wird, fügen Sie die transfer-interval Anweisung auf Hierarchieebene [edit system archival configuration] ein:

Das interval ist ein Zeitraum von 15 bis 2880 Minuten.

Um das Gerät so zu konfigurieren, dass die Konfiguration bei jedem Commit der Konfiguration an eine Archiv-Site übertragen wird, fügen Sie die transfer-on-commit Anweisung auf Hierarchieebene [edit system archival configuration] ein:

Bevor Sie eine SCP-URL angeben, müssen Sie die kennwortlose Authentifizierung zwischen dem lokalen Gerät und dem Archivserver einrichten, wie unter Einrichten der kennwortlosen Authentifizierung für SCP-Übertragungen beschrieben.

Wenn das Netzwerkgerät über eine bestimmte Routinginstanz auf den Archivserver gelangt, konfigurieren Sie die routing-instance Anweisung auf Hierarchieebene [edit system archival configuration] und geben Sie die Routinginstanz an.

Der Name der Zieldatei wird im folgenden Format gespeichert, wobei n es der Nummer der komprimierten Konfigurations-Rollback-Datei entspricht, die archiviert wurde:

Anmerkung:

Die im Zieldateinamen enthaltene Uhrzeit ist in UTC (Coordinated Universal Time) angegeben.

Einrichten der kennwortlosen Authentifizierung für SCP-Übertragungen

Sie können die Netzwerkgerätekonfiguration auf einem Remoteserver sichern, indem Sie auf der [edit system archival configuration archive-sites] Hierarchieebene eine URL im SCP-Stil angeben. Bevor Sie SCP zum Übertragen der Datei verwenden können, müssen Sie zunächst die schlüsselbasierte SSH-Authentifizierung vom lokalen Gerät (als Root-Benutzer) zum Remote-Server (für einen auf dem Server konfigurierten Remote-Benutzer) konfigurieren.

Ab Junos OS Evolved Version 22.3R1 können Sie den Befehl "Betriebsmodus" verwenden, um die request security ssh password-less-authentication schlüsselbasierte SSH-Authentifizierung einzurichten. Sie können die schlüsselbasierte SSH-Authentifizierung in jeder Version auch manuell konfigurieren.

So konfigurieren Sie die schlüsselbasierte SSH-Authentifizierung in Junos OS Evolved Version 22.3R1 und höher:

  1. Melden Sie sich beim Junos OS Evolved-Gerät als Root-Benutzer an.

  2. Führen Sie den folgenden Befehl aus, der SSH-Schlüssel für den aktuellen Benutzer generiert, sofern der Benutzer noch nicht über vorhandene Schlüssel verfügt, und den öffentlichen Schlüssel in die authorized_keys Datei des angegebenen Benutzers auf dem Remote-Host überträgt.

    Mit dem folgenden Befehl wird z. B. der öffentliche Schlüssel des Root-Benutzers an die authorized_keys-Datei des Administratorbenutzers auf dem angegebenen Server angehängt.

So konfigurieren Sie die schlüsselbasierte SSH-Authentifizierung in einer beliebigen Version von Junos OS Evolved manuell:

  1. Melden Sie sich beim Junos OS Evolved-Gerät als Root-Benutzer an.
  2. Stellen Sie sicher, dass der Root-Benutzer über vorhandene SSH-Schlüssel verfügt.
    Wenn der Root-Benutzer über vorhandene SSH-Schlüssel verfügt, fahren Sie mit Schritt 4 fort.
  3. Wenn der Root-Benutzer nicht über SSH-Schlüssel verfügt, rufen Sie die Linux-Shell auf, und generieren Sie ein SSH-RSA-Schlüsselpaar.
  4. Kopieren Sie in der Shell den öffentlichen Schlüssel des Root-Benutzers vom lokalen Gerät auf den Remote-Server, und hängen Sie ihn an die authorized_keys Datei des Remotebenutzers an.

    Mit dem folgenden Befehl wird der öffentliche Schlüssel des Root-Benutzers an die authorized_keys Datei des Administratorbenutzers angehängt.

    Auf ähnliche Weise führt der folgende Befehl denselben Vorgang aus, jedoch im Kontext der mgmt_junos Routinginstanz.