예: Junos OS 구성이 수정 또는 삭제되지 않도록 보호
이 예에서는 구성 모드에서 및 명령을 사용하여 CLI 구성을 보호 및 보호 해제하는 방법을 보여줍니다.protectunprotect
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
M 시리즈, MX 시리즈, PTX 시리즈 또는 T 시리즈 디바이스
모든 디바이스에서 Junos OS 11.2 이상 실행
개요
Junos OS를 사용하면 다른 사용자가 디바이스 구성을 수정하거나 삭제하지 못하도록 보호할 수 있습니다. 이 작업은 CLI의 구성 모드에서 명령을 사용하여 수행할 수 있습니다.protect 마찬가지로 명령을 사용하여 보호된 구성의 보호를 해제할 수도 있습니다 .unprotect
이러한 명령은 구성 계층의 모든 수준(최상위 상위 계층 또는 구성 문 또는 계층의 최하위 수준 내의 식별자)에서 사용할 수 있습니다.
구성 계층이 보호되는 경우 사용자는 다음 작업을 수행할 수 없습니다.
보호되는 계층 내의 계층 또는 문이나 식별자 삭제 또는 수정
보호되는 계층 내에 새 구성 문 또는 식별자 삽입
보호된 계층 내에서 문 또는 식별자 이름 바꾸기
보호된 계층에 구성 복사
보호된 계층 내에서 문 활성화 또는 비활성화
보호된 계층에 주석 달기
토폴로지
상위 수준 계층 보호
절차
단계별 절차
계층의 최상위 수준에서 구성을 보호하려면:
보호하려는 계층을 식별하고 계층 수준에서 계층 에 대한 명령을 발행 합니다.protect[edit]
예를 들어 전체 계층 수준을 보호하려면 다음 명령을 사용합니다.[edit access]
[edit]user@host#protect access
결과
부모 계층 아래의 모든 요소를 보호합니다.
구성에 사용되지 않는 계층에 대해 명령을 실행하면 Junos OS CLI에 다음과 같은 오류 메시지가 표시됩니다.protect
[edit]user@host#protect accesswarning: statement not found
자식 계층 보호
계층 내에서 구성 문 보호
구성 문에 대한 식별자 목록 보호
절차
단계별 절차
일부 구성 문은 여러 값을 사용할 수 있습니다. 예를 들어, 계층 수준의 문 은 호스트 이름, IPv4 주소 또는 IPv6 주소의 목록을 사용할 수 있습니다.address[edit system login deny-sources] 다음과 같은 구성이 있다고 가정해 보겠습니다.
[edit system login]
deny-sources {
address [ 172.17.28.19 172.17.28.20 172.17.28.21 172.17.28.22];
}
문의 모든 주소를 보호하려면 수준에서 다음 명령을 사용합니다.address[edit]
[edit]
user@host# protect system login deny-sources address
결과
문의 모든 주소([172.17.28.19 172.17.28.20 172.17.28.21 172.17.28.22]) 가 보호됩니다.address
동종 목록으로부터 개별 구성원 보호
절차
단계별 절차
다음과 같은 구성이 있다고 가정해 보겠습니다.
[edit groups ]
test1 {
system {
name-server {
10.1.2.1;
10.1.2.2;
10.1.2.3;
10.1.2.4;
}
}
}
문에 대해 하나 이상의 개별 주소를 보호하려면 수준에서 다음 명령을 실행합니다.name-server[edit]
[edit] user@host#protect groups test1 system name-server 10.1.2.1user@host#protect groups test1 system name-server 10.1.2.4
결과
주소 10.1.2.1 및 10.1.2.4는 보호됩니다.
구성 보호 해제
절차
단계별 절차
계층 수준에 다음과 같은 구성이 있다고 가정해 보겠습니다.[edit system]
protect: system {
host-name bigping;
domain-search 10.1.2.1;
login {
deny-sources {
protect: address [ 172.17.28.19 172.17.28.173 172.17.28.0 174.0.0.0 ];
}
}
}
전체 계층 수준의 보호를 해제하려면 수준에서 다음 명령을 실행합니다.[edit system][edit]
[edit]
user@host# unprotect system
결과
전체 계층 수준은 보호되지 않습니다.system
검증
show 명령을 사용하여 계층이 보호되는지 확인
목적
구성 계층이 보호되는지 확인합니다.
작업
구성 모드에서, 계층 레벨에서 명령을 발행 하여 보호되는 모든 구성 계층 및 구성 문을 확인합니다.show[edit]
보호되는 모든 계층 또는 문에는 접두사로 문자열이 붙습니다 .protect:
...
protect: system {
host-name bigping;
domain-search 10.1.2.1;
login {
deny-sources {
protect: address [ 172.17.28.19 172.17.28.173 172.17.28.0 174.0.0.0 ];
}
}
}
...
구성 수정을 시도하여 계층이 보호되는지 확인
목적
, , , 및 명령을 사용하여 구성을 수정하여 구성이 보호되는지 확인합니다.activatecopyinsertrenamedelete
작업
구성이 보호되는지 확인하려면,
최상위 계층 또는 하위 수준 계층 또는 계층 내의 문에 대해 , , , 및 명령을 사용해 보십시오.
activatecopyinsertrenamedelete보호된 계층 또는 문의 경우, Junos OS는 명령이 실행되지 않았다는 적절한 경고를 표시합니다. 예:
protect: system { host-name a; inactive: domain-search [ a b ]; }계층이 보호되는지 확인하려면 문에 대한 명령을 실행해 보십시오.
activatedomain-search[edit system]user@host#
activate system domain-searchJunos OS CLI에 적절한 메시지가 표시됩니다.
warning: [system] is protected, 'system domain-search' cannot be activated
protect 명령의 사용 확인
목적
구성을 보호하는 데 사용되는 명령을 봅니다 .protect
작업
필요한 계층으로 이동합니다.
show | display set relative명령을 실행합니다.
user@host> show | display set relative
set system host-name bigping
set system domain-search 10.1.2.1
set system login deny-sources address 172.17.28.19
set system login deny-sources address 172.17.28.173
set system login deny-sources address 172.17.28.0
set system login deny-sources address 174.0.0.0
protect system login deny-sources address
protect systemXML로 구성 보기
목적
보호된 계층 또는 문도 XML에 표시되는지 확인합니다. 보호된 계층, 문 또는 식별자는 XML에서 특성과 함께 표시됩니다.| display xml
작업
XML에서 구성을 보려면:
보려는 계층으로 이동합니다.
파이프 기호 및 옵션과 함께 명령을 사용합니다.
show| display xml[edit system]user@host#
show | display xml[edit] user@host# show system | display xml <rpc-reply xmlns:junos="http://xml.juniper.net/junos/11.2I0/junos"> <configuration junos:changed-seconds="1291279234" junos:changed-localtime="2017-12-02 00:40:34 PST"> <system protect="protect"> <host-name>bigping</host-name> <domain-search>10.1.2.1</domain-search> <login> <message> \jnpr \tUNAUTHORIZED USE OF THIS ROUTER \tIS STRICTLY PROHIBITED! </message> <class> <name>a</name> <allow-commands>commit-synchronize</allow-commands> <deny-commands>commit</deny-commands> </class> <deny-sources> <address protect="protect">172.17.28.19</address> <address protect="protect">172.17.28.173</address> <address protect="protect">172.17.28.0</address> <address protect="protect">174.0.0.0</address> </deny-sources> </login> <syslog> <archive> </archive> </syslog> </system> </configuration> <cli> <banner>[edit]</banner> </cli> </rpc-reply>주:태그가 있는 XML 구성을 로드하면 이미 보호된 계층의 보호가 해제됩니다.
unprotect="unprotect"예를 들어, 다음과 같은 XML 계층을 로드한다고 가정해 보겠습니다.<protocols unprotect="unprotect"> <ospf> <area> <name>0.0.0.0</name> <interface> <name>all</name> </interface> </area> </ospf> </protocols>계층이 이미 보호되어 있는 경우 보호되지 않습니다.
[edit protocols]