<![CDATA[Latest posts for the topic "自動備份 NetScreen 500 組態設定檔"]]> https://forum.andowson.com/posts/list/26.page JForum - http://www.jforum.net 自動備份 NetScreen 500 組態設定檔
由於懶惰是人的天性,所以總是會想如何把事情自動化,於是我就想用ant的[url=http://ant.apache.org/manual/OptionalTasks/telnet.html]telnet task[/url]來自動登入Firewall並執行save config指令,方法大致如下:
1.在備份用的主機上架設[url=http://www.andowson.com/posts/list/184.page]TFTP Server[/url]
2.下載及安裝JRE、[url=http://ant.apache.org/]Ant 1.7.1[/url]及telnet task所需之[url=http://commons.apache.org/downloads/download_net.cgi]commons-net[/url]套件。
3.編輯一個build.xml及一個build.properties檔案
4.執行 ant 看是否可正常備份
5.寫一個批次檔將該ant指令包裝起來
6.設定自動執行該批次檔

底下再簡單說明一下上述步驟
1.安裝TFTP Server可以參考這篇[url]http://www.andowson.com/posts/list/184.page[/url],去下載tftpd32 service edition (installer),安裝完成後,手動建立一個C:\tftp的目錄,並把tftp的根目錄(Base Directory)設定到C:\tftp(設定完成建議重開機測試看看,以免日後作WindowsUpdate重開機之後目錄的設定跑掉,造成備份失敗)

2.將把下載來的ant zip檔解壓縮到C:\底下,設定環境變數ANT_HOME指向安裝的目錄,並在Path變數加上%ANT_HOME%\bin。然後把commons-net的jar檔放到ANT_HOME的lib目錄下。

3.可以參考底下兩個範例,將這兩個檔案存到C:\下
build.xml範例如下:
[code=xml]
<?xml version="1.0" encoding="Big5" ?>

<project name="backup" default="ns500" basedir=".">
<description>Network Switch Config Backup</description>

<!-- Enable access to build.properties variables -->
<property file="build.properties" />
<property name="backup.root.dir" value="C:\Documents and Settings\andowson\My Documents\config" />
<property name="ns500.backup.dir" value="${backup.root.dir}\Firewall\${ns500.ip}" />
<property name="tftp.root" value="C:\tftp" />

<!-- Init -->
<target name="init" description="Create backup directory">
<tstamp>
<format property="TODAY" pattern="yyyyMMdd" />
</tstamp>

<mkdir dir="${backup.root.dir}" />
<mkdir dir="${backup.root.dir}\Firewall" />
<mkdir dir="${backup.root.dir}\Firewall\${ns500.ip}" />
</target>

<!-- Backup NS500 Config -->
<target name="ns500" depends="init" description="Backup ns500 config">
<property name="ns500.cfg" value="ns500_${TODAY}.cfg" />

<telnet server="${ns500.ip}">
<read timeout="5">login: </read>
<write>${firewall.username}</write>
<read timeout="5">password: </read>
<write>${firewall.password}</write>
<read timeout="5">-> </read>
<write>save config from flash to tftp ${tftp.host} ${ns500.cfg}</write>
<read timeout="30">TFTP Succeeded</read>
<write>exit</write>
</telnet>
<move file="${tftp.root}\${ns500.cfg}" todir="${ns500.backup.dir}" />
</target>

</project>
[/code]

build.properties範例如下:請視您真正的情況修改對應的參數值,下列例子中我們的TFTP主機IP是172.16.34.14,防火牆NS500的IP是192.168.1.254。
[code]
tftp.host=172.16.34.14
ns500.ip=192.168.1.254
firewall.username=netscreen
firewall.password=netscreen
[/code]

4.開啟一個DOS命令列視窗,然後切換到build.xml及build.properties所存放的目錄下,接著執行
ant ns500

5.將上述動作編輯成一個backup_config.bat
[code=batch]
@echo off
cd C:\
ant ns500
[/code]

6.執行附屬應用程式>系統工具>排定的工作,然後選到C:\backup_config.bat這個檔案,並設定執行的條件及頻率。

要注意的地方:
NetScreen上要先啟動Telnet存取,並將備份主機的IP加入到防火牆允許的管理IP。
目前實際測試後發現Ant 1.8.0無法正常執行,請使用Ant 1.7.1。]]> https://forum.andowson.com/posts/preList/404/772.page https://forum.andowson.com/posts/preList/404/772.page GMT 回覆:自動備份 NetScreen 500 組態設定檔 管理
-- 透過指令行介面進行管理
----安全 Shell
----安全副本
[quote]範例: SSHv1 使用 PKA 進行自動登入
在此範例中,請您 ( 作為根管理員) 為自動執行指令碼的遠端主機設定 SSHv1 公開
金鑰確認 (PKA)。此遠端主機存取裝置的唯一目的是每天晚上下載設定檔。由於驗
證是自動進行的,因此[color=red] SSH 用戶端登入到裝置時不需要人員操作[/color]。[/quote]

[quote]安全副本 (SCP) 提供了一個途徑,使遠端用戶端能使用 SSH 通訊協定與安全性裝
置交換檔案。(SSH 通訊協定為 SCP 連接提供驗證、加密和資料完整性。) 裝置作
為一個 SCP 伺服器,接受來自遠端主機上的 SCP 用戶端的連接。
SCP 要求在開始檔案傳輸之前對遠端用戶端進行驗證。SCP 驗證程序與用於驗證
SSH 用戶端的程序完全相同。可以用密碼或 PKA 金鑰來驗證 SCP 用戶端。一旦驗
證該 SCP 用戶端後,就可以向裝置傳輸或從中傳輸一個或多個檔案。SCP 用戶端
應用程式確定用於指定來源和目的地檔案名稱的準確方法;請參閱 SCP 用戶端應
用程式文件。
在裝置上預設為停用 SCP。若要啟用 SCP,還必須啟用 SSH。

下面是一個 SCP 用戶端指令的範例,該指令[color=red]將組態檔案從 NetScreen 裝置 ( 管理員
名稱是 "juniper",IP 位址是 10.1.1.1)上的快閃記憶體中複製到用戶端系統的
"ns_sys_config_backup" 檔案[/color]中:
scp juniper@10.1.1.1:ns_sys_config ns_sys_config_backup[/quote]
我們可以用Linux 上的scp的指令來取得NS500的config
[code]scp netscreen@192.168.1.254:ns_sys_config ns500_20100226.cfg[/code]
然後只要再完成讓由Linux 透過SSH連線防火牆時不需再輸入帳號密碼就可以達到自動備份的目的了。

要免驗證自動登入的方法如下:
[quote]1. 在 SSH 用戶端上,使用金鑰產生程式來產生公開和私人金鑰對。( 該金鑰對是
用於 SSHv1 的 RSA 或用於 SSHv2 的 DSA。[/quote]
參考[url]http://www.andowson.com/posts/list/191.page[/url]的方法,產生public/private dsa key pair檔案
[code]cd ~/.ssh
ssh-keygen -d[/code]

[quote]2. 將公開金鑰從本機 SSH 目錄移到 TFTP 伺服器上的目錄,然後啟動 TFTP 程式。[/quote]
將id_dsa.pub上傳到Windows主機上的TFTP伺服器,例如放到上例中的C:\tftp目錄下

[quote]3. 登入到裝置,以便可透過 CLI 對其進行設定。[/quote]

[quote]4. 要將公開金鑰從 TFTP 伺服器載入到裝置,請輸入以下的其中一個 CLI 指令:
對於 SSHv1:
exec ssh tftp pka-rsa [ username name ] file-name name_str ip-addr
tftp_ip_addr
對於 SSHv2:
exec ssh tftp pka-dsa [ user-name name ] file-name name_str ip-addr
tftp_ip_addr
username 或 user-name 選項僅用於根管理員,因此只有根管理員可以將 RSA
金鑰連結到另一個管理員。當您 ( 作為根管理或讀/ 寫管理) 只輸入指令而沒
有輸入使用者名稱時,裝置將金鑰連結到您自己的管理帳號;也就是將金鑰連
結到輸入指令的管理。[/quote]
[code]exec ssh tftp pka-dsa file-name id_dsa.pub ip-addr 172.16.34.14[/code]

完成後,在Linux主機上執行
[code]scp netscreen@192.168.1.254:ns_sys_config ns500_20100226.cfg[/code]
看是否可以成功複製組態檔。如果防火牆不允許用netscreen這個帳號進行scp,則可另外建立一個帳號,例如cfg,然後將公鑰匯入到該帳號去。
[code]exec ssh tftp pka-dsa user-name cfg file-name id_dsa.pub ip-addr 172.16.34.14[/code]
然後scp指令稍微改一下,變成:
[code]scp cfg@192.168.1.254:ns_sys_config ns500_20100226.cfg[/code]
接下來就很簡單了,寫支shell script來自動取得系統日期並呼叫scp指令,然後到crontab去設定該shell script自動執行的時間即可。

參考資料
http://www.juniper.net/techpubs/software/screenos/screenos5.3.0/translated/Traditional/Ce_v3_tc.pdf]]> https://forum.andowson.com/posts/preList/404/774.page https://forum.andowson.com/posts/preList/404/774.page GMT