Juniper SRX(Junos OS)系统配置归档自动备份

2020-11-0121:36:35
评论
1,565 3084字

网络设备的系统配置(配置文件),毋庸置疑,最宝贵的数据莫过于它了,没有了它,再贵的设备都跟废铁一般没有作用。我们见过很多工程师朋友在网络设备down掉后急的火烧眉毛,就是因为没有定期备份系统配置的缘故,就算临时想找台设备顶替都没有办法,可见定期备份系统配置的重要性。
而在Juniper网络设备的Junos OS中,我们可以把定期备份系统配置的工作交给设备来自动执行,让自动备份配置变成一件非常简单的事情。

请参考下列的指令构架说明:

archival {
    configuration {
        archive-sites {
            file://<path>/<filename>;                                                                       —transfer on a path to a named file
            ftp://username@host:<port>url-path password password;                   —transfer using active FTP server
            pasvftp://username@host:<port>url-path password password;           —transfer to a device that only accepts passive FTP services
            scp://username@host:<port>url-path password password;                  —transfer to a known host using background SCP file transfers
        }
        transfer-interval interval;
        transfer-on-commit;
    }
}

自动备份系统配置
设定当您有修改设定档时,每次commit提交后就自动备份系统配置。

set system archival configuration transfer-on-commit
set system archival configuration archive-sites "ftp://账号@192.168.88.1/路径" password "ftp密码"

设定成每隔一天自动备份系统配置。(1440单位为Minute,24hr)

set system archival configuration transfer-interval "1440"
set system archival configuration archive-sites "ftp://账号@192.168.88.1/路径" password "ftp密码"

上述之两种设定方法无法两者全都设定,只能择一设定。

还原备份的系统配置。

[edit]
root@srx210# load ?
Possible completions:
  factory-default      Override existing configuration with factory default
  merge                Merge contents with existing configuration
  override             Override existing configuration
  patch                Load patch file into configuration
  replace              Replace configuration data
  set                  Execute set of commands on existing configuration
  update               Update existing configuration
[edit]
root@srx210# load override ?
Possible completions:
  <filename>           Filename (URL, local, remote, or floppy)
  terminal             Use login terminal
[edit]
root@srx100# load override ftp://username:password@192.168.88.1/srx-ok.conf
load complete
[edit]
root@srx100# load override scp://192.168.88.1/srx-ok.conf
load complete
[edit]

如何在系统执行提交(commit)操作命令时使用scp将配置档储存到远程设备上

SCP
SCP安全复制(Secure copy)是指在本地主机与远端主机或者两台远端主机之间基于Secure Shell(SSH)协定安全地传输计算机档案。「SCP」通常指安全复制协定或者程序本身。
SCP是一种基于BSD RCP协定的网络传输协定,支持同一个网络上主机之间传输档案。SCP使用SecureShell(SSH)完成数据传输,并使用同时用它进行身份认证,从而确保数据传输时的真实性和保密性。客户端可以向服务器传送(上传)档案,可选包含其基本属性(权限、时间戳)。客户端也可以请求(下载)一个服务器的档案或目录。SCP预设通过TCP端口22执行。
WinSCP
WinSCP是一款开源的SFTP客户端,运行于Windows系统下,遵照GPL发布。WinSCP除了SFTP,还支持SSH、SCP。
WinSCP的开发始于2000年4月,由布拉格经济大学所发展与维护,基于PuTTY的对于SSH的实现,支持SSH-1与SSH-2,WinSCP同时也支持SCP(Secure Copy Protocol)通信协定,WinSCP具有FTP的档案传输功能,又比FTP更加具有安全性。使用者可自SourceForge.net网站下载。

从网络安全的角度上来看,使用scp来备份系统配置档才是我们最佳的选择。以下为设定示范:

root@srx100# set system archival configuration transfer-on-commit
root@srx100# set archive-sites "scp://user@10.85.33.22:/path/filename" password "password"
The authenticity of host '10.85.33.22 (10.85.33.22)' can't be established.
RSA key fingerprint is 24:60:ab:1b:6d:4e:10:e2:ea:9c:0f:af:17:49:38:cc.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.85.33.22' (RSA) to the list of known hosts.
The public key of the remote host (10.85.33.22 in the above example) can be viewed using the command
root@srx100# show security
ssh-known-hosts {
    host 10.85.33.22 {
        rsa-key  B3NzaC1yc2EAAAABIwAAAQEA..(truncated)
    }
}

一旦添加密钥之后,Juniper SRX网络设备会在每次提交配置(commit)时对配置进行自动存盘的作业。

Encrypt configuration files


为储存在flash中的归档进行加密:

request system set-encryption-key algorithm aes
set system encrypt-configuration-files
commit

请注意:加密后的设定档只能在这台SRX设备上使用,在别的设备无法辨识使用,除非必要请小心使用。

为归档解密:

set system no-encrypt-configuration-files
commit
Juniper SRX(Junos OS)系统配置归档自动备份
豌豆日志
  • 本文由 发表于 2020-11-0121:36:35
  • 转载请务必保留本文链接:https://pealog.com/357.html
Juniper SRX (Junos OS)设备恢复出厂配置 网络技术

Juniper SRX (Junos OS)设备恢复出厂配置

在什么情况下我们需要将SRX防火墙恢复出厂设定呢?一、当您忘记密码无法登入管理设备时其实忘记密码我们还有另一个选择,就是透过密码恢复程序来重新设定密码,请参考下列之网络连接:Juniper SRX(J...
Juniper SRX (Junos OS) NTP网络校验设定 网络技术

Juniper SRX (Junos OS) NTP网络校验设定

NTP全名为Network Time Protocol,可用来同步不同电脑系统之间的时间,现在的智慧型手机几乎也会使用到这个服务,用来校准、设定装置上的日期时间,而校时服务需要靠NTP服务器来提供,虽...
Juniper SRX (Junos OS)设备恢复出厂配置 网络技术

Juniper SRX (Junos OS)设备恢复出厂配置

在什么情况下我们需要将SRX防火墙恢复出厂设定呢?一、当您忘记密码无法登入管理设备时其实忘记密码我们还有另一个选择,就是透过密码恢复程序来重新设定密码,请参考下列之网络连接:Juniper SRX(J...
Juniper SRX (Junos OS) NTP网络校验设定 网络技术

Juniper SRX (Junos OS) NTP网络校验设定

NTP全名为Network Time Protocol,可用来同步不同电脑系统之间的时间,现在的智慧型手机几乎也会使用到这个服务,用来校准、设定装置上的日期时间,而校时服务需要靠NTP服务器来提供,虽...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: