Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Verhindern von unbefugtem Zugriff auf Switches der EX-Serie im unbeaufsichtigten Modus für U-Boot

Mit Junos OS können Sie einen beaufsichtigten Modus für U-Boot konfigurieren, um unbefugten Zugriff auf den Switch während des Startvorgangs zu verhindern. Wenn Sie den unbeaufsichtigten Modus konfigurieren, kann ein Benutzer während des Startvorgangs auf die CLI zugreifen, indem er das Bootloader-Kennwort eingibt. Dadurch wird ein unbefugter Zugriff während des Bootvorgangs verhindert. Weitere Informationen finden Sie in diesem Thema.

Grundlegendes zum unbeaufsichtigten Modus für U-Boot auf Switches der EX-Serie

Der unbeaufsichtigte Modus für U-Boot kann konfiguriert werden, um unbefugten Zugriff auf den Switch zu verhindern, der während des Startvorgangs auftreten kann. Nach dem Zurücksetzen der CPU gibt es mehrere bekannte Methoden für den Zugriff auf das System, bevor die JUNOS OS-Anmeldeaufforderung angezeigt wird, bei denen der Benutzer keine Autorisierungsdaten eingeben muss. Durch unbefugten Zugriff kann der Benutzer die Switch-Konfiguration anzeigen, ändern oder beschädigen oder dafür sorgen, dass der Switch im Netzwerk nicht mehr verfügbar ist.

Wenn der unbeaufsichtigte Modus konfiguriert ist, kann der Benutzer während des Startvorgangs nur auf die CLI zugreifen, indem er <Strg+c> drückt und das richtige Kennwort eingibt, das als Bootloaderkennwort bezeichnet wird. Das Bootloader-Passwort muss zuvor auf dem Switch konfiguriert worden sein. Durch Eingabe des korrekten Bootloader-Passworts wird der Benutzer in die U-Boot-CLI eingefügt. Wenn das Kennwort falsch ist oder innerhalb einer Minute kein Kennwort eingegeben wird, wird der Zugriff auf die U-Boot-CLI blockiert und der Startvorgang wird automatisch fortgesetzt.

Der Zugriff auf die Eingabeaufforderung () des Bootstrap-Loaders wird im unbeaufsichtigten Modus blockiert, wodurch die Verwendung der folgenden Wiederherstellungsmechanismen verhindert wird:loader> Wiederherstellen des Root-Kennworts im Einzelbenutzermodus und Booten des Switches mithilfe eines Softwarepakets, das auf einem USB-Flash-Laufwerk gespeichert ist.

HINWEIS:

Wenn das Root-Passwort verloren geht, während sich der Switch im unbeaufsichtigten Modus befindet, muss der Switch über das LCD-Display auf die werkseitige Standardkonfiguration zurückgesetzt werden. Weitere Informationen finden Sie unter Wiederherstellen der werkseitigen Standardkonfiguration für den Switch der EX-Serie.Reverting to the Default Factory Configuration for the EX Series Switch

Wenn der unbeaufsichtigte Modus nicht konfiguriert ist, aber ein Bootloader-Kennwort konfiguriert wurde, muss der Benutzer das richtige Kennwort eingeben, um auf die U-Boot-CLI zuzugreifen. Wenn kein Bootloader-Passwort konfiguriert wurde, kann der Benutzer auf die U-Boot-CLI zugreifen, ohne ein Passwort eingeben zu müssen. In beiden Fällen kann der Benutzer auf die Eingabeaufforderung des Bootstrap-Loaders zugreifen, die die Wiederherstellung des Root-Kennworts im Einzelbenutzermodus sowie das Booten von einem USB-Flash-Laufwerk ermöglicht.

Der unbeaufsichtigte Modus ist standardmäßig nicht aktiviert. Nach der Konfiguration ist der unbeaufsichtigte Modus aktiviert und blockiert den unbefugten Zugriff auf den Switch. fasst das Verhalten des U-Boot-Modus zusammen.Tabelle 1

Tabelle 1: Verhalten im unbeaufsichtigten Modus

Unbeaufsichtigter Modus

Bootloader-Passwort

Verhaltensweisen

On-

Festgelegt

  • Der Zugriff auf die U-Boot-CLI ist nur nach Eingabe des korrekten Kennworts zulässig.

  • Der Zugriff auf die Eingabeaufforderung des Ladeprogramms ist blockiert.

  • Das Booten von USB ist blockiert.

  • Die Wiederherstellung des Root-Kennworts im Einzelbenutzermodus ist blockiert.

On-

Nicht festgelegt

  • Der Zugriff auf die U-Boot-CLI ist blockiert.

  • Der Zugriff auf die Eingabeaufforderung des Ladeprogramms ist blockiert.

  • Das Booten von USB ist blockiert.

  • Die Wiederherstellung des Root-Kennworts im Einzelbenutzermodus ist blockiert.

Aus

Festgelegt

  • Der Zugriff auf die U-Boot-CLI ist nur nach Eingabe des korrekten Kennworts zulässig.

  • Der Zugriff auf die Eingabeaufforderung des Laders ist zulässig.

  • Das Booten von USB ist erlaubt.

  • Die Wiederherstellung des Root-Kennworts im Einzelbenutzermodus ist zulässig.

Aus

Nicht festgelegt

  • Der Zugriff auf die U-Boot-CLI ist zulässig.

  • Der Zugriff auf die Eingabeaufforderung des Laders ist zulässig.

  • Das Booten von USB ist erlaubt.

  • Die Wiederherstellung des Root-Kennworts im Einzelbenutzermodus ist zulässig.

Siehe auch

Verwenden des unbeaufsichtigten Modus für U-Boot, um unbefugten Zugriff zu verhindern

Der unbeaufsichtigte Modus für U-Boot kann verwendet werden, um unbefugten Zugriff auf den Switch zu verhindern, der während des Startvorgangs auftreten kann. Wenn der unbeaufsichtigte Modus konfiguriert ist, kann der Benutzer während des Startvorgangs nur auf die CLI zugreifen, indem er das richtige Kennwort eingibt, das als Bootloaderkennwort bezeichnet wird. Das Bootloader-Passwort muss zuvor auf dem Switch konfiguriert worden sein.

Wenn der unbeaufsichtigte Modus konfiguriert ist, wird der Zugriff auf die Eingabeaufforderung () des Bootstrap-Loaders blockiert, wodurch die Verwendung der folgenden Wiederherstellungsmechanismen verhindert wird:loader> Wiederherstellen des Root-Kennworts im Einzelbenutzermodus und Booten des Switches mithilfe eines Softwarepakets, das auf einem USB-Flash-Laufwerk gespeichert ist.

WARNUNG:

Wenn bei EX2200-Switches sowohl das Kennwort für den Root- als auch für den unbeaufsichtigten Modus verloren gehen, während sich der Switch im unbeaufsichtigten Modus befindet, steht keine alternative Wiederherstellungsmethode zur Verfügung. Der Switch muss an Juniper Networks zurückgeschickt werden. Weitere Informationen finden Sie unter Einsenden eines EX2200-Switches oder einer EX2200-Komponente zur Reparatur oder zum Austausch.https://www.juniper.net/documentation/en_US/release-independent/junos/topics/topic-map/ex2200-returning-chassis-components.html

Gehen Sie wie folgt vor, um den unbeaufsichtigten Modus zu verwenden:

Konfigurieren des Bootloader-Kennworts

Um das Bootloader-Kennwort zu konfigurieren, können Sie entweder ein Nur-Text-Kennwort verwenden, das das System für Sie verschlüsselt, oder ein Kennwort, das bereits verschlüsselt wurde. Wenn Sie ein Nur-Text-Kennwort verwenden, zeigt Junos OS das Kennwort als verschlüsselte Zeichenfolge an, sodass Benutzer, die die Konfiguration anzeigen, es nicht sehen können. Wenn Sie das Kennwort im Klartext eingeben, verschlüsselt Junos OS es sofort. Sie müssen Junos OS nicht konfigurieren, um das Kennwort zu verschlüsseln. Klartext-Passwörter werden ausgeblendet und in der Konfiguration als ## SECRET-DATA gekennzeichnet.

So konfigurieren Sie das Bootloader-Passwort:

  1. Geben Sie entweder ein Nur-Text-Kennwort oder ein verschlüsseltes Kennwort ein, indem Sie den Befehl verwenden.set system boot-loader authentication

    • Um ein Nur-Text-Passwort einzugeben, verwenden Sie die Option und geben Sie das Passwort erneut ein, wenn Sie dazu aufgefordert werden:plain-text-password

    • Um ein bereits verschlüsseltes Passwort einzugeben, verwenden Sie die folgende Option:encrypted-password

  2. Bestätigen Sie die Änderungen.
  3. Um die verschlüsselten Kennworteinträge anzuzeigen, verwenden Sie den Befehl Konfigurationsmodus .show Hier einige Zahlen zum Generationswechsel:

Konfigurieren des unbeaufsichtigten Modus für U-Boot

Bevor Sie den unbeaufsichtigten Modus für U-Boot aktivieren, müssen Sie das jloader-Firmware-Paket herunterladen und installieren, wie in TSB16425 beschrieben./volume/build/junos/13.2/service/13.2X51-D20.2/ship/jloader-ex-2200-13.2X51-D20.2-signed.tgzhttps://kb.juniper.net/InfoCenter/index?page=content&id=TSB16425&cat=&actp=LIST

Der unbeaufsichtigte Modus für U-Boot ist standardmäßig nicht aktiviert. Gehen Sie wie folgt vor, um den unbeaufsichtigten Modus zu konfigurieren:

  1. Konfigurieren Sie den unbeaufsichtigten Modus.
  2. Bestätigen Sie die Änderungen.

Zugriff auf die U-Boot-CLI

Wenn der unbeaufsichtigte Modus für U-Boot konfiguriert ist und das Bootloader-Passwort festgelegt wurde, können Sie während des Bootvorgangs auf die U-Boot-CLI zugreifen, indem Sie <Strg+c> drücken und das Kennwort an der Eingabeaufforderung eingeben:

Das richtige Passwort muss innerhalb einer Minute nach Erscheinen der Eingabeaufforderung eingegeben werden. Wenn das Kennwort nicht innerhalb einer Minute eingegeben wird oder wenn das Kennwort falsch ist oder nicht konfiguriert wurde, wird der Zugriff auf die U-Boot-CLI blockiert und der Startvorgang wird fortgesetzt. Weitere Informationen zum Verhalten im unbeaufsichtigten Modus finden Sie unter Grundlegendes zum unbeaufsichtigten Modus für U-Boot auf Switches der EX-Serie.Grundlegendes zum unbeaufsichtigten Modus für U-Boot auf Switches der EX-Serie

Siehe auch

Verwandte Themen