Ostatnio dużo siedziałem na nową wersja SRX’a w wersji wirtualnej i odkryłem możliwość blokowania konfiguracji poszczególnych opcji, poniżej przedstawię jak zabezpieczyć jakiś segment konfiguracji.
Do zabezpieczenia konfiguracji służy polecenie protect
root# protect ? Possible completions: > access Network access configuration > access-profile Access profile for this instance > accounting-options Accounting data configuration > applications Define applications by protocol characteristics + apply-groups Groups from which to inherit configuration data > chassis Chassis configuration > class-of-service Class-of-service configuration > event-options Event processing configuration > firewall Define a firewall configuration > forwarding-options Configure options to control packet forwarding > groups Configuration groups > interfaces Interface configuration > multicast-snooping-options Multicast snooping option configuration > policy-options Policy option configuration > protocols Routing protocol configuration > routing-instances Routing instance configuration > routing-options Protocol-independent routing option configuration > schedulers Security scheduler > security Security configuration > services Set services parameters > smtp Simple Mail Transfer Protocol service configuration > snmp Simple Network Management Protocol configuration > switch-options Options for default routing-instance of type virtual-switch > system System parameters > vlans VLAN configuration
jak widać możemy zabezpieczyć każdy element konfiguracji.
Przykład:
Zabezpieczamy interfejs sieciowy ge-0/0/0
root# protect interfaces ge-0/0/0
wykonujemy commit wychodzimy z trybu konfiguracji i sprawdzamy:
root> show configuration interfaces protect: ge-0/0/0 { vlan-tagging; unit 100 { vlan-id 100; family inet { address 10.20.100.100/24; } } }
po próbie modyfikacji konfiguracji interfejsu ge-0/0/0 o opis dostajemy komunikat:
[edit] root# set interfaces ge-0/0/0 description test warning: [interfaces ge-0/0/0] is protected, 'interfaces ge-0/0/0 description' cannot be created
aby móc wykonać modyfikację zabezpieczonego interfejsu musimy wykonać polecenie
[edit] root# unprotect interfaces ge-0/0/0
i nie musimy wykonywać commitu bo od razu możemy modyfikować konfigurację.
[edit] root# set interfaces ge-0/0/0 description test [edit] root#
Mam nadzieję, że komuś przyda się powyższy wpis.