Ejemplo: Protección de la configuración de Junos OS contra modificaciones o eliminaciones
En este ejemplo se muestra cómo usar los protect
comandos y unprotect
en el modo de configuración para proteger y desproteger la configuración de la CLI.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un dispositivo serie M, MX, PTX o T
Junos OS 11.2 o posterior ejecutándose en todos los dispositivos
Descripción general
Junos OS le permite proteger la configuración del dispositivo para que otros usuarios no la modifiquen o eliminen. Esto se puede lograr mediante el comando en protect
el modo de configuración de la CLI. Del mismo modo, también puede desproteger una configuración protegida mediante el unprotect
comando.
Estos comandos se pueden utilizar en cualquier nivel de la jerarquía de configuración: una jerarquía principal de nivel superior, una instrucción de configuración o un identificador dentro del nivel más bajo de la jerarquía.
Si se protege una jerarquía de configuración, los usuarios no pueden realizar las siguientes actividades:
Eliminar o modificar una jerarquía o una instrucción o identificador dentro de la jerarquía protegida
Insertar una nueva instrucción de configuración o un identificador dentro de la jerarquía protegida
Cambiar el nombre de una instrucción o identificador dentro de la jerarquía protegida
Copiar una configuración en una jerarquía protegida
Activar o desactivar instrucciones dentro de una jerarquía protegida
Anotar una jerarquía protegida
Topología
Protección de una jerarquía de nivel primario
Procedimiento
Procedimiento paso a paso
Para proteger una configuración en el nivel superior de la jerarquía:
Identifique la jerarquía que desea proteger y emita el protect
comando para la jerarquía en el nivel de [edit]
jerarquía.
Por ejemplo, si desea proteger todo [edit access]
el nivel de jerarquía, utilice el siguiente comando:
[edit]
user@host#protect access
Resultados
Protege todos los elementos de la jerarquía principal.
Si emite el protect
comando para una jerarquía que no se utiliza en la configuración, la CLI de Junos OS muestra el siguiente mensaje de error:
[edit]
user@host#protect access
warning: statement not found
Protección de una jerarquía secundaria
Procedimiento
Procedimiento paso a paso
Para proteger una jerarquía secundaria incluida en una jerarquía principal:
Desplácese hasta la jerarquía del contenedor principal. Utilice el protect
comando para la jerarquía en el nivel primario.
Por ejemplo, si desea proteger el nivel de [edit system syslog console]
jerarquía, utilice el siguiente comando en el nivel de [edit system syslog]
jerarquía.
[edit system syslog]
user@host#protect console
Resultados
Protege todos los elementos de la jerarquía secundaria.
Protección de una instrucción de configuración dentro de una jerarquía
Procedimiento
Procedimiento paso a paso
Para proteger una instrucción de configuración dentro de un nivel jerárquico:
Desplácese hasta el nivel de jerarquía que contiene la instrucción que desea proteger y emita el protect
comando para la jerarquía.
Por ejemplo, si desea proteger la host-name
instrucción en el nivel de [edit system]
jerarquía, utilice el siguiente comando:
[edit system]
user@host#protect host-name
Resultados
Protección de una lista de identificadores para una instrucción de configuración
Procedimiento
Procedimiento paso a paso
Algunas instrucciones de configuración pueden tomar varios valores. Por ejemplo, la address
instrucción en el [edit system login deny-sources]
nivel de jerarquía puede tomar una lista de nombres de host, direcciones IPv4 o direcciones IPv6. Supongamos que tiene la siguiente configuración:
[edit system login] deny-sources { address [ 172.17.28.19 172.17.28.20 172.17.28.21 172.17.28.22]; }
Para proteger todas las direcciones de la address
instrucción, utilice el comando siguiente en el [edit]
nivel:
[edit]
user@host# protect system login deny-sources address
Resultados
Todas las direcciones ([172.17.28.19 172.17.28.20 172.17.28.21 172.17.28.22]) para la address
declaración están protegidas.
Protección de un miembro individual de una lista homogénea
Procedimiento
Procedimiento paso a paso
Supongamos que tiene la siguiente configuración:
[edit groups ] test1 { system { name-server { 10.1.2.1; 10.1.2.2; 10.1.2.3; 10.1.2.4; } } }
Para proteger una o varias direcciones individuales para la name-server
instrucción, emita el comando siguiente en el [edit]
nivel:
[edit] user@host#protect groups test1 system name-server 10.1.2.1
user@host#protect groups test1 system name-server 10.1.2.4
Resultados
Las direcciones 10.1.2.1 y 10.1.2.4 están protegidas.
Desprotección de una configuración
Procedimiento
Procedimiento paso a paso
Supongamos que tiene la siguiente configuración en el nivel de [edit system]
jerarquía:
protect: system { host-name bigping; domain-search 10.1.2.1; login { deny-sources { protect: address [ 172.17.28.19 172.17.28.173 172.17.28.0 174.0.0.0 ]; } } }
Para desproteger todo [edit system]
el nivel jerárquico, emita el siguiente comando en el [edit]
nivel:
[edit]
user@host# unprotect system
Resultados
Todo el system
nivel jerárquico está desprotegido.
Verificación
- Comprobar que una jerarquía está protegida mediante el comando show
- Comprobar que una jerarquía está protegida intentando modificar una configuración
- Verificar el uso del comando protect
- Ver la configuración en XML
Comprobar que una jerarquía está protegida mediante el comando show
Propósito
Para comprobar que una jerarquía de configuración está protegida.
Acción
En el modo de configuración, ejecute el show
comando en el nivel de [edit]
jerarquía para ver todas las jerarquías de configuración e instrucciones de configuración que están protegidas.
Todas las jerarquías o instrucciones protegidas tienen el prefijo de una protect:
cadena.
... protect: system { host-name bigping; domain-search 10.1.2.1; login { deny-sources { protect: address [ 172.17.28.19 172.17.28.173 172.17.28.0 174.0.0.0 ]; } } } ...
Comprobar que una jerarquía está protegida intentando modificar una configuración
Propósito
Para comprobar que una configuración está protegida intentando modificar la configuración mediante los activate
comandos , copy
, insert
rename
, y delete
.
Acción
Para comprobar que una configuración está protegida:
Intente usar los
activate
comandos ,copy
,rename
insert
, ydelete
para una jerarquía de nivel superior o una jerarquía de nivel secundario o una instrucción dentro de la jerarquía.Para una jerarquía o instrucción protegida, Junos OS muestra una advertencia adecuada de que el comando no se ha ejecutado. Por ejemplo:
protect: system { host-name a; inactive: domain-search [ a b ]; }
Para comprobar que la jerarquía está protegida, intente emitir el
activate
comando para ladomain-search
instrucción:[edit system]
user@host#
activate system domain-search
La CLI de Junos OS muestra un mensaje apropiado:
warning: [system] is protected, 'system domain-search' cannot be activated
Verificar el uso del comando protect
Propósito
Para ver los protect
comandos utilizados para proteger una configuración.
Acción
Desplácese hasta la jerarquía necesaria.
Emita el
show | display set relative
comando.
user@host> show | display set relative
set system host-name bigping
set system domain-search 10.1.2.1
set system login deny-sources address 172.17.28.19
set system login deny-sources address 172.17.28.173
set system login deny-sources address 172.17.28.0
set system login deny-sources address 174.0.0.0
protect system login deny-sources address
protect system
Ver la configuración en XML
Propósito
Para comprobar si las jerarquías o instrucciones protegidas también se muestran en el XML. Las jerarquías, instrucciones o identificadores protegidos se muestran con el | display xml
atributo en el XML.
Acción
Para ver la configuración en XML:
Desplácese hasta la jerarquía que desea ver.
Utilice el
show
comando con el símbolo de barra vertical y la opción| display xml
:[edit system]
user@host#
show | display xml
[edit] user@host# show system | display xml <rpc-reply xmlns:junos="http://xml.juniper.net/junos/11.2I0/junos"> <configuration junos:changed-seconds="1291279234" junos:changed-localtime="2017-12-02 00:40:34 PST"> <system protect="protect"> <host-name>bigping</host-name> <domain-search>10.1.2.1</domain-search> <login> <message> \jnpr \tUNAUTHORIZED USE OF THIS ROUTER \tIS STRICTLY PROHIBITED! </message> <class> <name>a</name> <allow-commands>commit-synchronize</allow-commands> <deny-commands>commit</deny-commands> </class> <deny-sources> <address protect="protect">172.17.28.19</address> <address protect="protect">172.17.28.173</address> <address protect="protect">172.17.28.0</address> <address protect="protect">174.0.0.0</address> </deny-sources> </login> <syslog> <archive> </archive> </syslog> </system> </configuration> <cli> <banner>[edit]</banner> </cli> </rpc-reply>Nota:Al cargar una configuración XML con la
unprotect="unprotect"
etiqueta, se desprotege una jerarquía ya protegida. Por ejemplo, supongamos que carga la siguiente jerarquía XML:<protocols unprotect="unprotect"> <ospf> <area> <name>0.0.0.0</name> <interface> <name>all</name> </interface> </area> </ospf> </protocols>
La
[edit protocols]
jerarquía queda desprotegida si ya está protegida.