Juniper SRX (Junos OS) 系統配置檔自動備份

Juniper SRX (Junos OS) 系統配置檔自動備份

網絡設備的系統配置(設定檔)，毋庸置疑，最寶貴的資料莫過於它了，沒有了它，再貴的設備都跟廢鐵一般沒有作用。我們見過很多工程師朋友在網絡設備down掉後急的火燒眉毛，就是因為沒有定期備份系統配置的緣故，就算臨時想找台設備頂替都沒有辦法，可見定期備份系統配置的重要性。

而在Juniper網絡設備的Junos OS中，我們可以把定期備份系統配置的工作交給設備來自動執行，讓自動備份配置變成一件非常簡單的事情。

請參考下列的指令架構說明：

archival {

    configuration {

        archive-sites {

            file://<path>/<filename>;                                                                       —transfer on a path to a named file

            ftp://username@host:<port>url-path password password;                   —transfer using active FTP server

            pasvftp://username@host:<port>url-path password password;           —transfer to a device that only accepts passive FTP services

            scp://username@host:<port>url-path password password;                  —transfer to a known host using background SCP file transfers

        }

        transfer-interval interval;

        transfer-on-commit;

    }

}

自動備份系統配置

設定當您有修改設定檔時，每次commit提交後就自動備份系統配置。

set system archival configuration transfer-on-commit

set system archival configuration archive-sites "ftp://帳號@192.168.88.1/路徑" password "ftp密碼"

設定成每隔一天自動備份系統配置。(1440單位為Minute，24hr)

set system archival configuration transfer-interval "1440"

set system archival configuration archive-sites "ftp://帳號@192.168.88.1/路徑" password "ftp密碼"

上述之兩種設定方法無法兩者全都設定，只能擇一設定。

還原備份的系統配置。

[edit]

root@srx210# load ?

Possible completions:

  factory-default      Override existing configuration with factory default

  merge                Merge contents with existing configuration

  override             Override existing configuration

  patch                Load patch file into configuration

  replace              Replace configuration data

  set                  Execute set of commands on existing configuration

  update               Update existing configuration

[edit]

root@srx210# load override ?

Possible completions:

  <filename>           Filename (URL, local, remote, or floppy)

  terminal             Use login terminal

[edit]

root@srx100# load override ftp://username:password@192.168.88.1/srx-ok.conf

load complete

[edit]

root@srx100# load override scp://192.168.88.1/srx-ok.conf

load complete

[edit]

如何在系統執行提交(commit)操作命令時使用scp將配置檔儲存到遠程設備上

SCP

SCP安全複製（Secure copy）是指在本地主機與遠端主機或者兩台遠端主機之間基於Secure Shell（SSH）協定安全地傳輸電腦檔案。「SCP」通常指安全複製協定或者程式本身。

SCP是一種基於BSD RCP協定的網路傳輸協定，支援同一個網路上主機之間傳輸檔案。SCP使用Secure Shell（SSH）完成資料傳輸，並使用同時用它進行身分認證，從而確保資料傳輸時的真實性和保密性。用戶端可以向伺服器傳送（上傳）檔案，可選包含其基本屬性（權限、時間戳）。用戶端也可以請求（下載）一個伺服器的檔案或目錄。SCP預設通過TCP埠22執行。

WinSCP

WinSCP是一款開源的SFTP客戶端，運行於Windows系統下，遵照GPL發布。WinSCP除了SFTP，還支援SSH、SCP。

WinSCP的開發始於2000年4月，由布拉格經濟大學所發展與維護，基於PuTTY的對於SSH的實現，支援 SSH-1 與 SSH-2，WinSCP同時也支援 SCP (Secure Copy Protocol)通訊協定，WinSCP具有FTP的檔案傳輸功能，又比FTP更加具有安全性。使用者可自SourceForge.net網站下載。

從網路安全的角度上來看，使用scp來備份系統配置檔才是我們最佳的選擇。以下為設定示範：

root@srx100# set system archival configuration transfer-on-commit

root@srx100# set archive-sites "scp://user@10.85.33.22:/path/filename" password "password"

The authenticity of host '10.85.33.22 (10.85.33.22)' can't be established.

RSA key fingerprint is 24:60:ab:1b:6d:4e:10:e2:ea:9c:0f:af:17:49:38:cc.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '10.85.33.22' (RSA) to the list of known hosts.

The public key of the remote host (10.85.33.22 in the above example) can be viewed using the command

root@srx100# show security

ssh-known-hosts {

    host 10.85.33.22 {

        rsa-key  B3NzaC1yc2EAAAABIwAAAQEA..(truncated)

    }

}

一旦添加密鑰之後，Juniper SRX網路設備會在每次提交配置(commit)時對配置進行自動存檔的作業。

Encrypt configuration files

請參考下列之網路連結。

Encrypting Configuration Files

Decrypting Configuration Files

為儲存在flash中的設定檔進行加密：

request system set-encryption-key algorithm aes

set system encrypt-configuration-files

commit

請注意：加密後的設定檔只能在這台SRX設備上使用，在別的設備無法辨識使用，除非必要請小心使用。

為設定檔解密：

set system no-encrypt-configuration-files

commit