例:Junos OS 設定を修正または削除から保護する
この例では、設定モードで および unprotect コマンドをprotect使用して、CLI 設定の保護と保護保護を行う方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
M Series、MXシリーズ、PTXシリーズ、またはT Seriesデバイス
すべてのデバイスでJunos OS 11.2以降が実行されている
概要
Junos OSを使用すると、デバイス設定が他のユーザーによって変更または削除されるのを防ぎます。これを実現するには、CLI の protect 設定モードで コマンドを使用します。同様に、 コマンドを使用 unprotect して保護された設定の保護を保護することも可能です。
これらのコマンドは、トップレベルの親階層、設定ステートメント、または階層の最下位レベル内の識別子など、設定階層の任意のレベルで使用できます。
構成階層が保護されている場合、ユーザーは以下のアクティビティを実行できません。
保護された階層内の階層またはステートメントまたは識別子の削除または変更
保護された階層内に新しい設定ステートメントまたは識別子を挿入する
保護された階層内のステートメントまたは識別子の名前変更
保護された階層への設定のコピー
保護された階層内のステートメントのアクティブ化または非アクティブ化
保護された階層への注釈付け
トポロジ
親レベル階層の保護
手順
手順
階層の最上位レベルで設定を保護するには、
保護する階層を識別し、 階層レベルの protect 階層に 対して コマンドを [edit] 発行します。
例えば、階層レベル全体 [edit access] を保護したい場合は、以下のコマンドを使用します。
[edit]user@host#protect access
結果
親階層のすべての要素を保護します。
設定で使用されていない階層に protect 対して コマンドを発行すると、Junos OS CLIに次のエラーメッセージが表示されます。
[edit]user@host#protect accesswarning: statement not found
子階層の保護
階層内の設定ステートメントの保護
設定ステートメントの識別子リストの保護
手順
手順
一部の設定ステートメントは、複数の値を取ることができます。たとえば、 階層レベルの address[edit system login deny-sources] ステートメントには、ホスト名、IPv4アドレス、またはIPv6アドレスのリストを取得できます。以下の構成があるとします。
[edit system login]
deny-sources {
address [ 172.17.28.19 172.17.28.20 172.17.28.21 172.17.28.22];
}
ステートメントのすべてのアドレス address を保護するには、 レベルで以下のコマンドを [edit] 使用します。
[edit]
user@host# protect system login deny-sources address
結果
ステートメントのすべてのアドレス([172.17.28.19 172.17.28.20 172.17.28.21 172.17.28.22]) address が保護されます。
同種リストから個人メンバーを保護する
手順
手順
以下の構成があるとします。
[edit groups ]
test1 {
system {
name-server {
10.1.2.1;
10.1.2.2;
10.1.2.3;
10.1.2.4;
}
}
}
ステートメントに対して1つ以上の個別のアドレスを name-server 保護するには、 レベルで以下のコマンドを [edit] 発行します。
[edit] user@host#protect groups test1 system name-server 10.1.2.1user@host#protect groups test1 system name-server 10.1.2.4
結果
アドレス 10.1.2.1 および 10.1.2.4 が保護されています。
設定の保護保護
手順
手順
階層レベルで以下の設定があると [edit system] します。
protect: system {
host-name bigping;
domain-search 10.1.2.1;
login {
deny-sources {
protect: address [ 172.17.28.19 172.17.28.173 172.17.28.0 174.0.0.0 ];
}
}
}
階層レベル全体 [edit system] の保護を解除するには、 レベルで以下のコマンドを [edit] 発行します。
[edit]
user@host# unprotect system
結果
階層レベル全体 system が保護されていない。
検証
show コマンドを使用して階層が保護されていることを確認する
目的
設定階層が保護されていることを確認します。
対処
設定モードで、 階層レベルで コマンドを[edit]発行showして、保護されているすべての設定階層と設定ステートメントを表示します。
保護されたすべての階層またはステートメントのプレフィックス protect: は文字列です。
...
protect: system {
host-name bigping;
domain-search 10.1.2.1;
login {
deny-sources {
protect: address [ 172.17.28.19 172.17.28.173 172.17.28.0 174.0.0.0 ];
}
}
}
...
設定変更を試みることで階層が保護されていることを確認する
目的
、 、 、および コマンドを使用してactivaterenamecopyinsert設定を変更することで、設定が保護されていることを確認します。delete
対処
設定が保護されていることを確認するには、
トップレベル階層または子レベル階層、または 階層内の ステートメントに 、および コマンドを使用
activaterenamecopyinsertdeleteしてみてください。保護された階層またはステートメントの場合、Junos OSにコマンドが実行されていないことを示す適切な警告が表示されます。次がその例です。
protect: system { host-name a; inactive: domain-search [ a b ]; }階層が保護されていることを確認するには、 ステートメントの
activateコマンドdomain-searchを発行してみてください。[edit system]user@host#
activate system domain-searchJunos OS CLI には、以下の適切なメッセージが表示されます。
warning: [system] is protected, 'system domain-search' cannot be activated
protect コマンドの使用を確認する
目的
設定の保護に protect 使用するコマンドを表示するには。
対処
必要な階層に移動します。
コマンドを
show | display set relative発行します。
user@host> show | display set relative
set system host-name bigping
set system domain-search 10.1.2.1
set system login deny-sources address 172.17.28.19
set system login deny-sources address 172.17.28.173
set system login deny-sources address 172.17.28.0
set system login deny-sources address 174.0.0.0
protect system login deny-sources address
protect systemXML で設定を表示
目的
保護された階層またはステートメントも XML に表示されるかどうかを確認します。保護された階層、ステートメント、または識別子は、XMLの属性で | display xml 表示されます。
対処
設定を XML で表示するには、次の手順にしたがっています。
表示する階層に移動します。
コマンドを
showパイプ記号と オプション| display xmlと共に使用します。[edit system]user@host#
show | display xml[edit] user@host# show system | display xml <rpc-reply xmlns:junos="http://xml.juniper.net/junos/11.2I0/junos"> <configuration junos:changed-seconds="1291279234" junos:changed-localtime="2017-12-02 00:40:34 PST"> <system protect="protect"> <host-name>bigping</host-name> <domain-search>10.1.2.1</domain-search> <login> <message> \jnpr \tUNAUTHORIZED USE OF THIS ROUTER \tIS STRICTLY PROHIBITED! </message> <class> <name>a</name> <allow-commands>commit-synchronize</allow-commands> <deny-commands>commit</deny-commands> </class> <deny-sources> <address protect="protect">172.17.28.19</address> <address protect="protect">172.17.28.173</address> <address protect="protect">172.17.28.0</address> <address protect="protect">174.0.0.0</address> </deny-sources> </login> <syslog> <archive> </archive> </syslog> </system> </configuration> <cli> <banner>[edit]</banner> </cli> </rpc-reply>注:保護済みの階層のタグを使用した
unprotect="unprotect"XML 設定の読み込み例えば、以下の XML 階層を読み込む場合を考えます。<protocols unprotect="unprotect"> <ospf> <area> <name>0.0.0.0</name> <interface> <name>all</name> </interface> </area> </ospf> </protocols>すでに保護されている場合、その
[edit protocols]階層は保護されません。