Junos jak zabezpieczyć konfigurację

Ostatnio dużo siedziałem na nową wersja SRX’a w wersji wirtualnej i odkryłem możliwość blokowania konfiguracji poszczególnych opcji, poniżej przedstawię jak zabezpieczyć jakiś segment konfiguracji.

Do zabezpieczenia konfiguracji służy polecenie protect

root# protect ?   
Possible completions:
> access               Network access configuration
> access-profile       Access profile for this instance
> accounting-options   Accounting data configuration
> applications         Define applications by protocol characteristics
+ apply-groups         Groups from which to inherit configuration data
> chassis              Chassis configuration
> class-of-service     Class-of-service configuration
> event-options        Event processing configuration
> firewall             Define a firewall configuration
> forwarding-options   Configure options to control packet forwarding
> groups               Configuration groups
> interfaces           Interface configuration
> multicast-snooping-options  Multicast snooping option configuration
> policy-options       Policy option configuration
> protocols            Routing protocol configuration
> routing-instances    Routing instance configuration
> routing-options      Protocol-independent routing option configuration
> schedulers           Security scheduler
> security             Security configuration
> services             Set services parameters
> smtp                 Simple Mail Transfer Protocol service configuration
> snmp                 Simple Network Management Protocol configuration
> switch-options       Options for default routing-instance of type virtual-switch
> system               System parameters
> vlans                VLAN configuration

jak widać możemy zabezpieczyć każdy element konfiguracji.

Przykład:

Zabezpieczamy interfejs sieciowy ge-0/0/0

root# protect interfaces ge-0/0/0

wykonujemy commit wychodzimy z trybu konfiguracji i sprawdzamy:

root> show configuration interfaces 
protect: ge-0/0/0 {
    vlan-tagging;
    unit 100 {
        vlan-id 100;
        family inet {
            address 10.20.100.100/24;
        }
    }
}

po próbie modyfikacji konfiguracji interfejsu ge-0/0/0 o opis dostajemy komunikat:

[edit]
root# set interfaces ge-0/0/0 description test 
warning: [interfaces ge-0/0/0] is protected, 'interfaces ge-0/0/0 description' cannot be created

aby móc wykonać modyfikację zabezpieczonego interfejsu musimy wykonać polecenie

[edit]
root# unprotect interfaces ge-0/0/0

i nie musimy wykonywać commitu bo od razu możemy modyfikować konfigurację.

[edit]
root# set interfaces ge-0/0/0 description test    

[edit]
root#

Mam nadzieję, że komuś przyda się powyższy wpis.

 

Pasjonat komputerowy od zawsze oraz maniak w zakresie sieci, wirtualizacji oraz bezpieczeństwa IT. Kompetentny inżynier z dużym doświadczeniem w realizacji projektów informatycznych i telekomunikacyjnych. Wieloletni administrator IT, który utrzymuje systemy informatyczne dostosowując je do wymogów biznesowych z zapewnieniem dostępności 24/7/365.
Posts created 126

Related Posts

Begin typing your search term above and press enter to search. Press ESC to cancel.

Back To Top