Beispiel: Schützen der Junos OS-Konfiguration vor Änderung oder Löschung
In diesem Beispiel wird gezeigt, wie Sie die Befehle and im Konfigurationsmodus verwenden, um die CLI-Konfiguration zu schützen und den Schutz aufzuheben.protectunprotect
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Gerät der M-Serie, MX-Serie, PTX-Serie oder T-Serie
Junos OS 11.2 oder höher läuft auf allen Geräten
Überblick
Mit dem Junos-Betriebssystem können Sie die Gerätekonfiguration vor Änderungen oder Löschungen durch andere Benutzer schützen. Dies kann mithilfe des Befehls im Konfigurationsmodus der CLI erreicht werden.protect Ebenso können Sie den Schutz einer geschützten Konfiguration mithilfe des Befehls aufheben.unprotect
Diese Befehle können auf jeder Ebene der Konfigurationshierarchie verwendet werden – einer übergeordneten Hierarchie der obersten Ebene, einer Konfigurationsanweisung oder einem Bezeichner auf der untersten Ebene der Hierarchie.
Wenn eine Konfigurationshierarchie geschützt ist, können Benutzer die folgenden Aktivitäten nicht ausführen:
Löschen oder Ändern einer Hierarchie oder einer Anweisung oder eines Bezeichners innerhalb der geschützten Hierarchie
Einfügen einer neuen Konfigurationsanweisung oder eines Bezeichners in die geschützte Hierarchie
Umbenennen einer Anweisung oder eines Bezeichners innerhalb der geschützten Hierarchie
Kopieren einer Konfiguration in eine geschützte Hierarchie
Aktivieren oder Deaktivieren von Anweisungen innerhalb einer geschützten Hierarchie
Kommentieren einer geschützten Hierarchie
Topologie
Schützen einer Hierarchie auf übergeordneter Ebene
Verfahren
Schritt-für-Schritt-Anleitung
So schützen Sie eine Konfiguration auf der obersten Ebene der Hierarchie:
Identifizieren Sie die Hierarchie, die Sie schützen möchten, und geben Sie den Befehl für die Hierarchie auf Hierarchieebene aus.protect[edit]
Wenn Sie z. B. die gesamte Hierarchieebene schützen möchten, verwenden Sie den folgenden Befehl:[edit access]
[edit]user@host#protect access
Ergebnisse
Schützt alle Elemente unter der übergeordneten Hierarchie.
Wenn Sie den Befehl für eine Hierarchie absetzen, die in der Konfiguration nicht verwendet wird, zeigt die Junos OS CLI die folgende Fehlermeldung an:protect
[edit]user@host#protect accesswarning: statement not found
Schützen einer untergeordneten Hierarchie
Verfahren
Schritt-für-Schritt-Anleitung
So schützen Sie eine untergeordnete Hierarchie, die in einer übergeordneten Hierarchie enthalten ist:
Navigieren Sie zur Hierarchie des übergeordneten Containers. Verwenden Sie den Befehl für die Hierarchie auf der übergeordneten Ebene.protect
Wenn Sie z. B. die Hierarchieebene schützen möchten, verwenden Sie den folgenden Befehl auf der Hierarchieebene .[edit system syslog console][edit system syslog]
[edit system syslog]user@host#protect console
Ergebnisse
Schützt alle Elemente unter der untergeordneten Hierarchie.
Schützen einer Konfigurationsanweisung innerhalb einer Hierarchie
Verfahren
Schritt-für-Schritt-Anleitung
So schützen Sie eine Konfigurationsanweisung innerhalb einer Hierarchieebene:
Navigieren Sie zu der Hierarchieebene, die die Anweisung enthält, die Sie schützen möchten, und geben Sie den Befehl für die Hierarchie aus.protect
Wenn Sie z. B. die Anweisung unter der Hierarchieebene schützen möchten, verwenden Sie den folgenden Befehl:host-name[edit system]
[edit system]user@host#protect host-name
Ergebnisse
Schützen einer Liste von Bezeichnern für eine Konfigurationsanweisung
Verfahren
Schritt-für-Schritt-Anleitung
Einige Konfigurationsanweisungen können mehrere Werte annehmen. Die Anweisung auf Hierarchieebene kann z. B. eine Liste von Hostnamen, IPv4-Adressen oder IPv6-Adressen enthalten.address[edit system login deny-sources] Angenommen, Sie haben die folgende Konfiguration:
[edit system login]
deny-sources {
address [ 172.17.28.19 172.17.28.20 172.17.28.21 172.17.28.22];
}
Um alle Adressen für die Anweisung zu schützen, verwenden Sie den folgenden Befehl auf der Ebene:address[edit]
[edit]
user@host# protect system login deny-sources address
Ergebnisse
Alle Adressen ([172.17.28.19, 172.17.28.20, 172.17.28.21, 172.17.28.22]) für die Anweisung sind geschützt.address
Schützen eines einzelnen Mitglieds vor einer homogenen Liste
Verfahren
Schritt-für-Schritt-Anleitung
Angenommen, Sie haben die folgende Konfiguration:
[edit groups ]
test1 {
system {
name-server {
10.1.2.1;
10.1.2.2;
10.1.2.3;
10.1.2.4;
}
}
}
Um eine oder mehrere einzelne Adressen für die Anweisung zu schützen, geben Sie den folgenden Befehl auf der Ebene ein:name-server[edit]
[edit] user@host#protect groups test1 system name-server 10.1.2.1user@host#protect groups test1 system name-server 10.1.2.4
Ergebnisse
Die Adressen 10.1.2.1 und 10.1.2.4 sind geschützt.
Aufheben des Schutzes einer Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
Angenommen, Sie haben die folgende Konfiguration auf Hierarchieebene :[edit system]
protect: system {
host-name bigping;
domain-search 10.1.2.1;
login {
deny-sources {
protect: address [ 172.17.28.19 172.17.28.173 172.17.28.0 174.0.0.0 ];
}
}
}
Um den Schutz der gesamten Hierarchieebene aufzuheben, geben Sie den folgenden Befehl auf der Ebene ein:[edit system][edit]
[edit]
user@host# unprotect system
Ergebnisse
Die gesamte Hierarchieebene ist ungeschützt.system
Überprüfung
- Überprüfen Sie, ob eine Hierarchie mit dem Befehl show geschützt ist.
- Stellen Sie sicher, dass eine Hierarchie geschützt ist, indem Sie versuchen, eine Konfiguration zu ändern
- Überprüfen der Verwendung des Befehls protect
- Anzeigen der Konfiguration in XML
Überprüfen Sie, ob eine Hierarchie mit dem Befehl show geschützt ist.
Zweck
So überprüfen Sie, ob eine Konfigurationshierarchie geschützt ist.
Was
Geben Sie im Konfigurationsmodus den Befehl auf Hierarchieebene ab, um alle Konfigurationshierarchien und Konfigurationsanweisungen anzuzeigen, die geschützt sind.show[edit]
Allen geschützten Hierarchien oder Anweisungen wird eine Zeichenfolge vorangestellt.protect:
...
protect: system {
host-name bigping;
domain-search 10.1.2.1;
login {
deny-sources {
protect: address [ 172.17.28.19 172.17.28.173 172.17.28.0 174.0.0.0 ];
}
}
}
...
Stellen Sie sicher, dass eine Hierarchie geschützt ist, indem Sie versuchen, eine Konfiguration zu ändern
Zweck
Um zu überprüfen, ob eine Konfiguration geschützt ist, versuchen Sie, die Konfiguration mit den Befehlen , , , und zu ändern.activatecopyinsertrenamedelete
Was
So überprüfen Sie, ob eine Konfiguration geschützt ist:
Versuchen Sie, die Befehle , , , und für eine Hierarchie der obersten Ebene oder eine Hierarchie auf untergeordneter Ebene oder eine Anweisung innerhalb der Hierarchie zu verwenden.
activatecopyinsertrenamedeleteBei einer geschützten Hierarchie oder Anweisung zeigt das Junos-Betriebssystem eine entsprechende Warnung an, dass der Befehl nicht ausgeführt wurde. Hier einige Zahlen zum Generationswechsel:
protect: system { host-name a; inactive: domain-search [ a b ]; }Um zu überprüfen, ob die Hierarchie geschützt ist, versuchen Sie, den Befehl für die folgende Anweisung abzugeben:
activatedomain-search[edit system]user@host#
activate system domain-searchDie Junos OS CLI zeigt eine entsprechende Meldung an:
warning: [system] is protected, 'system domain-search' cannot be activated
Überprüfen der Verwendung des Befehls protect
Zweck
So zeigen Sie die Befehle an, die zum Schutz einer Konfiguration verwendet werden.protect
Was
Navigieren Sie zur gewünschten Hierarchie.
Geben Sie den Befehl ein.
show | display set relative
user@host> show | display set relative
set system host-name bigping
set system domain-search 10.1.2.1
set system login deny-sources address 172.17.28.19
set system login deny-sources address 172.17.28.173
set system login deny-sources address 172.17.28.0
set system login deny-sources address 174.0.0.0
protect system login deny-sources address
protect systemAnzeigen der Konfiguration in XML
Zweck
Um zu überprüfen, ob die geschützten Hierarchien oder Anweisungen auch im XML-Code angezeigt werden. Geschützte Hierarchien, Anweisungen oder Bezeichner werden mit dem Attribut im XML-Code angezeigt.| display xml
Was
So zeigen Sie die Konfiguration im XML-Format an:
Navigieren Sie zu der Hierarchie, die Sie anzeigen möchten.
Verwenden Sie den Befehl mit dem Pipe-Symbol und der Option :
show| display xml[edit system]user@host#
show | display xml[edit] user@host# show system | display xml <rpc-reply xmlns:junos="http://xml.juniper.net/junos/11.2I0/junos"> <configuration junos:changed-seconds="1291279234" junos:changed-localtime="2017-12-02 00:40:34 PST"> <system protect="protect"> <host-name>bigping</host-name> <domain-search>10.1.2.1</domain-search> <login> <message> \jnpr \tUNAUTHORIZED USE OF THIS ROUTER \tIS STRICTLY PROHIBITED! </message> <class> <name>a</name> <allow-commands>commit-synchronize</allow-commands> <deny-commands>commit</deny-commands> </class> <deny-sources> <address protect="protect">172.17.28.19</address> <address protect="protect">172.17.28.173</address> <address protect="protect">172.17.28.0</address> <address protect="protect">174.0.0.0</address> </deny-sources> </login> <syslog> <archive> </archive> </syslog> </system> </configuration> <cli> <banner>[edit]</banner> </cli> </rpc-reply>HINWEIS:Durch das Laden einer XML-Konfiguration mit dem Tag wird der Schutz einer bereits geschützten Hierarchie aufgehoben.
unprotect="unprotect"Angenommen, Sie laden die folgende XML-Hierarchie:<protocols unprotect="unprotect"> <ospf> <area> <name>0.0.0.0</name> <interface> <name>all</name> </interface> </area> </ospf> </protocols>Die Hierarchie wird ungeschützt, wenn sie bereits geschützt ist.
[edit protocols]