Schützen oder deaktivieren Sie ein Konfigurationsobjekt mithilfe des Junos XML Protocol
Das protect Attribut verhindert Änderungen an ausgewählten Konfigurationshierarchien und Anweisungen. Sie können ein geschütztes Element nicht manuell über die CLI oder automatisch mithilfe von Commit-Skripten oder Remote-Prozeduraufrufen ändern. Wenn Sie versuchen, Konfigurationsänderungen an einer geschützten Anweisung oder innerhalb einer geschützten Hierarchie vorzunehmen, gibt das Gerät eine Warnung aus, und die Konfigurationsänderung schlägt fehl.
Wenn eine Konfigurationshierarchie oder -anweisung geschützt ist, können Benutzer die folgenden Aktivitäten nicht ausführen:
-
Löschen oder ändern Sie die Hierarchie oder eine Anweisung oder Kennung innerhalb der geschützten Hierarchie (Beim Löschen einer nicht geschützten Hierarchie, die geschützte Elemente enthält, werden alle nicht geschützten untergeordneten Elemente gelöscht und alle geschützten untergeordneten Elemente beibehalten.)
-
Einfügen einer neuen Konfigurationsaussage oder eines Bezeichners in die geschützte Hierarchie
-
Benennen Sie die geschützte Anweisung oder eine Anweisung oder Kennung innerhalb der geschützten Hierarchie um
-
Kopieren einer Konfiguration in die geschützte Hierarchie
-
Aktivieren oder Deaktivieren der geschützten Aussagen oder Aussagen innerhalb der geschützten Hierarchie
-
Notieren der geschützten Anweisung oder Hierarchie oder Anweisungen innerhalb der geschützten Hierarchie
Wenn Sie eine Konfigurationsaussage oder Hierarchie schützen, die nicht vorhanden ist, erstellt das Gerät zuerst das Konfigurationselement und schützt es dann. Wenn Sie eine Anweisung oder ein Element, das nicht geschützt ist, nicht schützen, werden keine Maßnahmen ergriffen.
Sie können geschützte Elemente identifizieren, wenn Sie die Konfiguration anzeigen. Tabelle 1 beschreibt, wie Sie geschützte Elemente für Konfigurationsdaten in verschiedenen Formaten identifizieren.
| Formatkennung | |
|---|---|
| Konfigurationsmodus-Befehle |
Die |
| JSON |
Geschützte Hierarchien und Anweisungen enthalten das |
| Text |
Geschützte Elemente werden durch . |
| XML |
Das öffnenden Tag des geschützten Elements enthält das |
Ein Benutzer oder eine Clientanwendung muss über die Berechtigung zum Ändern der Konfiguration verfügen, um Konfigurationsobjekte zu schützen oder zu deaktivieren.
In einer NETCONF- oder Junos XML-Protokollsitzung mit einem Junos-Gerät, um ein Konfigurationselement vor Änderungen zu schützen oder ein zuvor geschütztes Element zu entschützen, enthält eine Clientanwendung zunächst die Tag-Elemente, die unter Erstellen, Ändern oder Löschen von Konfigurationselementen mit dem Junos XML-Protokoll beschrieben sind.
XML
Wenn Sie Junos XML-Tagelemente zur Darstellung der Konfiguration verwenden, enthält die Clientanwendung das protect="protect" attribut oder unprotect="unprotect" im Öffnenstag des Objekts. Die Anwendung enthält alle erforderlichen Kennungs-Tag-Elemente. Im folgenden RPC-Beispiel heißt <name>das Identifier-Tag-Element:
<configuration>
<!-- opening tag for each parent of the object -->
<object (protect="protect" | unprotect="unprotect")>
<name>identifier</name>
</object>
<!-- closing tag for each parent of the object -->
</configuration>
In einer YANG-konformen NETCONF-Sitzung können Sie ein Konfigurationselement in XML-Daten schützen oder deaktivieren, indem Sie das Tag-Element und jcmd:protect="(true | false)" die xmlns:jcmd="http://yang.juniper.net/junos/jcmd" Attribute in das Tag-Element integrieren. Weitere Informationen finden Sie unter YANG-Metadatenanmerkungen für Junos-Geräte.
Text
Wenn zum Schutz oder Aufheben des Schutzes eines Objekts ein formatiertes ASCII-Text verwendet wird, wird dem Element nach Bedarf das Element oder unprotect: der protect: Operator zugeordnet. Wenn Sie eine Hierarchieebene und keine zusätzlichen untergeordneten Elemente unter dieser Hierarchie schützen, fügen Sie nach der Element-Anweisung ein Semikolon hinzu.
<configuration-text>
/* statements for parent levels */
/* For an object with an identifier */
(protect: | unprotect:)
object identifier {
/* Child configuration statements */
}
/* For a hierarchy level or object without an identifier */
(protect: | unprotect:)
element {
/* Child configuration statements */
}
/* closing braces for parent levels */
</configuration-text>
Konfigurationsmodus (Set)-Befehle
Wenn zum Schutz eines Objekts Befehle im Konfigurationsmodus verwendet werden, gibt die Anwendung den Befehl oder unprotect den protect Befehl an, der dem Cli-Konfigurationsmodus entspricht. Sie können sowohl Hierarchien als auch einzelne Anweisungen schützen.
<configuration-set>
(protect | unprotect) statement-path-to-hierarchy
(protect | unprotect) statement-path-to-object object identifier
</configuration-set>
JSON
Wenn die Konfiguration mithilfe von JSON-Konfigurationsdaten dargestellt wird, schützt oder entwendet die Clientanwendung ein Objekt, indem das entsprechende Attribut in die Attributliste des Objekts aufgenommen wird. Der Client enthält das "protect" : true Attribut zum Schutz des Objekts und enthält entweder das Attribut oder "unprotect" : true das "protect" : false Attribut, um den Schutz des Objekts zu deaktivieren. Um ein Objekt mit einem Bezeichner zu schützen oder zu entschützen, schließt der Client auch den Bezeichner für das Objekt ein.
Die folgende generische JSON-Konfiguration gibt die Platzierung des Attributs beim Schutz einer Hierarchie, eines Objekts mit einem Bezeichner und einer Leaf-Anweisung an.
<configuration-json>
{
"configuration" : {
/* JSON objects for parent hierarchies */
"hierarchy" : {
"@" : {
"comment" : "/* protect a hierarchy */" ,
"protect" : true
},
"object" : [
{
"@" : {
"comment" : "/* protect an object with an identifier */" ,
"protect" : true
},
"name" : "identifier",
"@statement-name" : {
"comment" : "/* protect a statement */" ,
"protect" : true
}
}
]
}
/* closing braces for parent hierarchies */
}
}
</configuration-json>
In Junos OS-Konfigurationsdaten, die mithilfe von JSON dargestellt werden, ist der Wert für das Attribut und "unprotect" der "protect" Typ Boolean, der in Kleinschreibung ausgedrückt wird und nicht in Anführungszeichen eingeschlossen wird.
In einer YANG-konformen NETCONF-Sitzung können Sie ein Konfigurationsobjekt in JSON-Daten schützen oder deaktivieren, indem Sie die "junos-configuration-metadata:protect" : (true | false) Anmerkung in das Metadatenobjekt der Anweisung integrieren. Weitere Informationen finden Sie unter YANG-Metadatenanmerkungen für Junos-Geräte.
Im folgenden Beispiel wird die [edit access] Hierarchieebene der Konfiguration mithilfe von Junos XML-Tagelementen geschützt:
<rpc>
<load-configuration>
<configuration>
<access protect="protect"/>
</configuration>
</load-configuration>
</rpc>
Nach dem Schutz erzeugt jeder Versuch, die [edit access] Hierarchieebene zu ändern, eine Warnung. Der folgende RPC versucht, die [edit access] Hierarchieebene zu löschen. Da diese Hierarchieebene geschützt ist, gibt der Server eine Warnung aus, dass die Hierarchie geschützt ist und die Konfigurationsänderung fehlschlägt.
<rpc>
<load-configuration>
<configuration>
<access delete="delete"/>
</configuration>
</load-configuration>
</rpc>
<xnm:warning xmlns="http://xml.juniper.net/xnm/1.1/xnm" xmlns:xnm="http://xml.juniper.net/xnm/1.1/xnm">
<message>
[access] is protected, 'access' cannot be deleted
</message>
</xnm:warning>