Beispiel: Schützen der Junos OS-Konfiguration vor Änderung oder Löschung
In diesem Beispiel wird gezeigt, wie Sie die protect Befehle and unprotect im Konfigurationsmodus verwenden, um die CLI-Konfiguration zu schützen und den Schutz aufzuheben.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Gerät der M-Serie, MX-Serie, PTX-Serie oder T-Serie
Junos OS 11.2 oder höher läuft auf allen Geräten
Überblick
Mit dem Junos-Betriebssystem können Sie die Gerätekonfiguration vor Änderungen oder Löschungen durch andere Benutzer schützen. Dies kann mithilfe des protect Befehls im Konfigurationsmodus der CLI erreicht werden. Ebenso können Sie den Schutz einer geschützten Konfiguration mithilfe des unprotect Befehls aufheben.
Diese Befehle können auf jeder Ebene der Konfigurationshierarchie verwendet werden – einer übergeordneten Hierarchie der obersten Ebene, einer Konfigurationsanweisung oder einem Bezeichner auf der untersten Ebene der Hierarchie.
Wenn eine Konfigurationshierarchie geschützt ist, können Benutzer die folgenden Aktivitäten nicht ausführen:
Löschen oder Ändern einer Hierarchie oder einer Anweisung oder eines Bezeichners innerhalb der geschützten Hierarchie
Einfügen einer neuen Konfigurationsanweisung oder eines Bezeichners in die geschützte Hierarchie
Umbenennen einer Anweisung oder eines Bezeichners innerhalb der geschützten Hierarchie
Kopieren einer Konfiguration in eine geschützte Hierarchie
Aktivieren oder Deaktivieren von Anweisungen innerhalb einer geschützten Hierarchie
Kommentieren einer geschützten Hierarchie
Topologie
Schützen einer Hierarchie auf übergeordneter Ebene
Verfahren
Schritt-für-Schritt-Anleitung
So schützen Sie eine Konfiguration auf der obersten Ebene der Hierarchie:
Identifizieren Sie die Hierarchie, die Sie schützen möchten, und geben Sie den protect Befehl für die Hierarchie auf Hierarchieebene [edit] aus.
Wenn Sie z. B. die gesamte [edit access] Hierarchieebene schützen möchten, verwenden Sie den folgenden Befehl:
[edit]user@host#protect access
Ergebnisse
Schützt alle Elemente unter der übergeordneten Hierarchie.
Wenn Sie den protect Befehl für eine Hierarchie absetzen, die in der Konfiguration nicht verwendet wird, zeigt die Junos OS CLI die folgende Fehlermeldung an:
[edit]user@host#protect accesswarning: statement not found
Schützen einer untergeordneten Hierarchie
Verfahren
Schritt-für-Schritt-Anleitung
So schützen Sie eine untergeordnete Hierarchie, die in einer übergeordneten Hierarchie enthalten ist:
Navigieren Sie zur Hierarchie des übergeordneten Containers. Verwenden Sie den protect Befehl für die Hierarchie auf der übergeordneten Ebene.
Wenn Sie z. B. die Hierarchieebene [edit system syslog console] schützen möchten, verwenden Sie den folgenden Befehl auf der Hierarchieebene [edit system syslog] .
[edit system syslog]user@host#protect console
Ergebnisse
Schützt alle Elemente unter der untergeordneten Hierarchie.
Schützen einer Konfigurationsanweisung innerhalb einer Hierarchie
Verfahren
Schritt-für-Schritt-Anleitung
So schützen Sie eine Konfigurationsanweisung innerhalb einer Hierarchieebene:
Navigieren Sie zu der Hierarchieebene, die die Anweisung enthält, die Sie schützen möchten, und geben Sie den protect Befehl für die Hierarchie aus.
Wenn Sie z. B. die host-name Anweisung unter der [edit system] Hierarchieebene schützen möchten, verwenden Sie den folgenden Befehl:
[edit system]user@host#protect host-name
Ergebnisse
Schützen einer Liste von Bezeichnern für eine Konfigurationsanweisung
Verfahren
Schritt-für-Schritt-Anleitung
Einige Konfigurationsanweisungen können mehrere Werte annehmen. Die address Anweisung auf Hierarchieebene [edit system login deny-sources] kann z. B. eine Liste von Hostnamen, IPv4-Adressen oder IPv6-Adressen enthalten. Angenommen, Sie haben die folgende Konfiguration:
[edit system login]
deny-sources {
address [ 172.17.28.19 172.17.28.20 172.17.28.21 172.17.28.22];
}
Um alle Adressen für die address Anweisung zu schützen, verwenden Sie den folgenden Befehl auf der [edit] Ebene:
[edit]
user@host# protect system login deny-sources address
Ergebnisse
Alle Adressen ([172.17.28.19, 172.17.28.20, 172.17.28.21, 172.17.28.22]) für die address Anweisung sind geschützt.
Schützen eines einzelnen Mitglieds vor einer homogenen Liste
Verfahren
Schritt-für-Schritt-Anleitung
Angenommen, Sie haben die folgende Konfiguration:
[edit groups ]
test1 {
system {
name-server {
10.1.2.1;
10.1.2.2;
10.1.2.3;
10.1.2.4;
}
}
}
Um eine oder mehrere einzelne Adressen für die name-server Anweisung zu schützen, geben Sie den folgenden Befehl auf der [edit] Ebene ein:
[edit] user@host#protect groups test1 system name-server 10.1.2.1user@host#protect groups test1 system name-server 10.1.2.4
Ergebnisse
Die Adressen 10.1.2.1 und 10.1.2.4 sind geschützt.
Aufheben des Schutzes einer Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
Angenommen, Sie haben die folgende Konfiguration auf Hierarchieebene [edit system] :
protect: system {
host-name bigping;
domain-search 10.1.2.1;
login {
deny-sources {
protect: address [ 172.17.28.19 172.17.28.173 172.17.28.0 174.0.0.0 ];
}
}
}
Um den Schutz der gesamten [edit system] Hierarchieebene aufzuheben, geben Sie den folgenden Befehl auf der [edit] Ebene ein:
[edit]
user@host# unprotect system
Ergebnisse
Die gesamte system Hierarchieebene ist ungeschützt.
Verifizierung
- Überprüfen Sie, ob eine Hierarchie mit dem Befehl show geschützt ist.
- Stellen Sie sicher, dass eine Hierarchie geschützt ist, indem Sie versuchen, eine Konfiguration zu ändern
- Überprüfen der Verwendung des Befehls protect
- Anzeigen der Konfiguration in XML
Überprüfen Sie, ob eine Hierarchie mit dem Befehl show geschützt ist.
Zweck
So überprüfen Sie, ob eine Konfigurationshierarchie geschützt ist.
Action!
Geben Sie im Konfigurationsmodus den show Befehl auf Hierarchieebene [edit] ab, um alle Konfigurationshierarchien und Konfigurationsanweisungen anzuzeigen, die geschützt sind.
Allen geschützten Hierarchien oder Anweisungen wird eine protect: Zeichenfolge vorangestellt.
...
protect: system {
host-name bigping;
domain-search 10.1.2.1;
login {
deny-sources {
protect: address [ 172.17.28.19 172.17.28.173 172.17.28.0 174.0.0.0 ];
}
}
}
...
Stellen Sie sicher, dass eine Hierarchie geschützt ist, indem Sie versuchen, eine Konfiguration zu ändern
Zweck
Um zu überprüfen, ob eine Konfiguration geschützt ist, versuchen Sie, die Konfiguration mit den activateBefehlen , copy, insertrename, und delete zu ändern.
Action!
So überprüfen Sie, ob eine Konfiguration geschützt ist:
Versuchen Sie,
renamedieactivateBefehle ,copy,insert, unddeletefür eine Hierarchie der obersten Ebene oder eine Hierarchie auf untergeordneter Ebene oder eine Anweisung innerhalb der Hierarchie zu verwenden.Bei einer geschützten Hierarchie oder Anweisung zeigt das Junos-Betriebssystem eine entsprechende Warnung an, dass der Befehl nicht ausgeführt wurde. Zum Beispiel:
protect: system { host-name a; inactive: domain-search [ a b ]; }Um zu überprüfen, ob die Hierarchie geschützt ist, versuchen Sie, den
activateBefehl für diedomain-searchfolgende Anweisung abzugeben:[edit system]user@host#
activate system domain-searchDie Junos OS CLI zeigt eine entsprechende Meldung an:
warning: [system] is protected, 'system domain-search' cannot be activated
Überprüfen der Verwendung des Befehls protect
Zweck
So zeigen Sie die Befehle an, die protect zum Schutz einer Konfiguration verwendet werden.
Action!
Navigieren Sie zur gewünschten Hierarchie.
Geben Sie den
show | display set relativeBefehl ein.
user@host> show | display set relative
set system host-name bigping
set system domain-search 10.1.2.1
set system login deny-sources address 172.17.28.19
set system login deny-sources address 172.17.28.173
set system login deny-sources address 172.17.28.0
set system login deny-sources address 174.0.0.0
protect system login deny-sources address
protect systemAnzeigen der Konfiguration in XML
Zweck
Um zu überprüfen, ob die geschützten Hierarchien oder Anweisungen auch im XML-Code angezeigt werden. Geschützte Hierarchien, Anweisungen oder Bezeichner werden mit dem | display xml Attribut im XML-Code angezeigt.
Action!
So zeigen Sie die Konfiguration im XML-Format an:
Navigieren Sie zu der Hierarchie, die Sie anzeigen möchten.
Verwenden Sie den
showBefehl mit dem Pipe-Symbol und der Option| display xml:[edit system]user@host#
show | display xml[edit] user@host# show system | display xml <rpc-reply xmlns:junos="http://xml.juniper.net/junos/11.2I0/junos"> <configuration junos:changed-seconds="1291279234" junos:changed-localtime="2017-12-02 00:40:34 PST"> <system protect="protect"> <host-name>bigping</host-name> <domain-search>10.1.2.1</domain-search> <login> <message> \jnpr \tUNAUTHORIZED USE OF THIS ROUTER \tIS STRICTLY PROHIBITED! </message> <class> <name>a</name> <allow-commands>commit-synchronize</allow-commands> <deny-commands>commit</deny-commands> </class> <deny-sources> <address protect="protect">172.17.28.19</address> <address protect="protect">172.17.28.173</address> <address protect="protect">172.17.28.0</address> <address protect="protect">174.0.0.0</address> </deny-sources> </login> <syslog> <archive> </archive> </syslog> </system> </configuration> <cli> <banner>[edit]</banner> </cli> </rpc-reply>HINWEIS:Durch das Laden einer XML-Konfiguration mit dem
unprotect="unprotect"Tag wird der Schutz einer bereits geschützten Hierarchie aufgehoben. Angenommen, Sie laden die folgende XML-Hierarchie:<protocols unprotect="unprotect"> <ospf> <area> <name>0.0.0.0</name> <interface> <name>all</name> </interface> </area> </ospf> </protocols>Die Hierarchie
[edit protocols]wird ungeschützt, wenn sie bereits geschützt ist.