예를 들면 다음과 같습니다. 수정 또는 삭제로부터 Junos OS 구성 보호
이 예는 구성 모드에서 및 unprotect 명령을 사용하여 protect CLI 구성을 보호하고 보호하는 방법을 보여줍니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
M Series, MX 시리즈, PTX 시리즈 또는 T 시리즈 디바이스
Junos OS 모든 디바이스에서 11.2 이상 실행
개요
Junos OS 통해 디바이스 구성이 다른 사용자가 수정하거나 삭제하지 않도록 보호할 수 있습니다. CLI의 구성 모드에서 명령을 사용하여 protect 이를 수행할 수 있습니다. 마찬가지로 명령을 사용하여 unprotect 보호된 구성을 보호할 수도 있습니다.
이러한 명령은 구성 계층의 모든 수준(최상위 상위 계층 또는 계층의 가장 낮은 수준 내의 구성 문 또는 식별자)에서 사용할 수 있습니다.
구성 계층이 보호되는 경우 사용자는 다음 작업을 수행할 수 없습니다.
보호되는 계층 내의 계층 또는 문 또는 식별자 삭제 또는 수정
보호되는 계층 내에 새로운 구성 문 또는 식별자 삽입
보호 계층 내의 문 또는 식별자 이름 바꾸기
구성을 보호된 계층으로 복사
보호된 계층 내에서 문 활성화 또는 비활성화
보호된 계층에 주석을 추가
토폴로지
상위 수준 계층 보호
절차
단계별 절차
계층의 최상위 수준에서 구성을 보호하려면 다음을 수행합니다.
보호할 계층을 식별하고 계층 수준에서 계층 [edit] 에 protect 대한 명령을 실행합니다.
예를 들어, 전체 [edit access] 계층 수준을 보호하려면 다음 명령을 사용합니다.
[edit]user@host#protect access
결과
상위 계층 아래의 모든 요소를 보호합니다.
구성에 protect 사용되지 않는 계층에 대한 명령을 실행하면 Junos OS CLI는 다음 오류 메시지를 표시합니다.
[edit]user@host#protect accesswarning: statement not found
하위 계층 보호
계층 내에서 구성 문 보호
구성 문에 대한 식별자 목록 보호
절차
단계별 절차
일부 구성 문은 여러 값을 사용할 수 있습니다. 예를 들어, address 계층 수준의 문은 [edit system login deny-sources] 호스트 이름, IPv4 주소 또는 IPv6 주소 목록을 취할 수 있습니다. 다음과 같은 구성이 있다고 가정해 보겠습니다.
[edit system login]
deny-sources {
address [ 172.17.28.19 172.17.28.20 172.17.28.21 172.17.28.22];
}
문에 대한 address 모든 주소를 보호하려면 수준에서 다음 명령을 [edit] 사용합니다.
[edit]
user@host# protect system login deny-sources address
결과
문에 대한 address 모든 주소([172.17.28.19 172.17.28.20 172.17.28.21 172.17.28.22])가 보호됩니다.
Homogenous 목록에서 개별 멤버 보호
절차
단계별 절차
다음과 같은 구성이 있다고 가정해 보겠습니다.
[edit groups ]
test1 {
system {
name-server {
10.1.2.1;
10.1.2.2;
10.1.2.3;
10.1.2.4;
}
}
}
문에 대해 name-server 하나 이상의 개별 주소를 보호하려면 수준에서 다음 명령을 실행 [edit] 합니다.
[edit] user@host#protect groups test1 system name-server 10.1.2.1user@host#protect groups test1 system name-server 10.1.2.4
결과
주소 10.1.2.1 및 10.1.2.4가 보호됩니다.
구성 보호 해제
절차
단계별 절차
계층 수준에서 다음과 같은 구성을 [edit system] 가지고 있다고 가정해 봅시죠.
protect: system {
host-name bigping;
domain-search 10.1.2.1;
login {
deny-sources {
protect: address [ 172.17.28.19 172.17.28.173 172.17.28.0 174.0.0.0 ];
}
}
}
전체 [edit system] 계층 수준을 보호하지 않으면, 수준에서 다음 명령을 실행합니다 [edit] .
[edit]
user@host# unprotect system
결과
전체 system 계층 수준은 보호되지 않습니다.
확인
show 명령을 사용하여 계층이 보호되는지 확인
목적
구성 계층이 보호되고 있는지 확인합니다.
실행
구성 모드에서 [edit] 계층 수준에서 명령을 실행 show 하여 보호되는 모든 구성 계층 및 구성 문을 확인합니다.
보호되는 모든 계층 또는 문은 문자열로 protect: 접두사됩니다.
...
protect: system {
host-name bigping;
domain-search 10.1.2.1;
login {
deny-sources {
protect: address [ 172.17.28.19 172.17.28.173 172.17.28.0 174.0.0.0 ];
}
}
}
...
구성 수정을 시도하여 계층이 보호되는지 확인
목적
, copy, insert, deleterename및 명령을 사용하여 activate구성을 수정하려고 시도하여 구성이 보호되는지 확인합니다.
실행
구성이 보호되는지 확인하기 위해 다음을 수행합니다.
최상위 계층 또는 하위 수준 계층 또는 계층 내 문을 위해 ,
copy,renameinsert, 및delete명령을 사용해activate보십시오.보호된 계층 또는 명령문의 경우, Junos OS 명령이 실행되지 않았다는 적절한 경고를 표시합니다. 예를 들어,
protect: system { host-name a; inactive: domain-search [ a b ]; }계층이 보호되는지 확인하려면 문에
activate대한domain-search명령을 실행해 보십시오.[edit system]user@host#
activate system domain-searchJunos OS CLI는 적절한 메시지를 표시합니다.
warning: [system] is protected, 'system domain-search' cannot be activated
보호 명령의 사용 확인
목적
구성을 protect 보호하는 데 사용되는 명령을 볼 수 있습니다.
실행
필요한 계층으로 이동합니다.
명령을 실행합니다
show | display set relative.
user@host> show | display set relative
set system host-name bigping
set system domain-search 10.1.2.1
set system login deny-sources address 172.17.28.19
set system login deny-sources address 172.17.28.173
set system login deny-sources address 172.17.28.0
set system login deny-sources address 174.0.0.0
protect system login deny-sources address
protect systemXML에서 구성 보기
목적
보호된 계층 또는 문도 XML에 표시되는지 확인합니다. 보호되는 계층, 문 또는 식별자는 XML의 | display xml 속성과 함께 표시됩니다.
실행
XML에서 구성을 보려면 다음을 수행합니다.
보고자 하는 계층으로 이동합니다.
show파이프 기호 및 옵션| display xml과 함께 명령을 사용합니다.[edit system]user@host#
show | display xml[edit] user@host# show system | display xml <rpc-reply xmlns:junos="http://xml.juniper.net/junos/11.2I0/junos"> <configuration junos:changed-seconds="1291279234" junos:changed-localtime="2017-12-02 00:40:34 PST"> <system protect="protect"> <host-name>bigping</host-name> <domain-search>10.1.2.1</domain-search> <login> <message> \jnpr \tUNAUTHORIZED USE OF THIS ROUTER \tIS STRICTLY PROHIBITED! </message> <class> <name>a</name> <allow-commands>commit-synchronize</allow-commands> <deny-commands>commit</deny-commands> </class> <deny-sources> <address protect="protect">172.17.28.19</address> <address protect="protect">172.17.28.173</address> <address protect="protect">172.17.28.0</address> <address protect="protect">174.0.0.0</address> </deny-sources> </login> <syslog> <archive> </archive> </syslog> </system> </configuration> <cli> <banner>[edit]</banner> </cli> </rpc-reply>주:태그와 함께 XML 구성을
unprotect="unprotect"로드하면 이미 보호된 계층을 보호하지 않습니다. 예를 들어, 다음 XML 계층을 로드한다고 가정합니다.<protocols unprotect="unprotect"> <ospf> <area> <name>0.0.0.0</name> <interface> <name>all</name> </interface> </area> </ospf> </protocols>계층이
[edit protocols]이미 보호되면 보호되지 않습니다.