المقدمة

يصف هذا المستند عمليات مسح البيانات الآمنة وإعادة ضبط المصنع على Cisco باستخدام IOS® XR، بما في ذلك إستخدام "إعادة ضبط المصنع" و"الأقراص المضغوطة" و"أوامر الاستبدال"، والمشكلات المعروفة، والبدائل الموصى بها.

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• بنية برنامج Cisco IOS XR وتشغيله.
• السلوكيات الخاصة بالنظام الأساسي لأوامر "إعادة ضبط المصنع" و"Zapdisk" في بيئات IOS XR.
• إجراءات تعويض الأجهزة وإدارة التكوين على منصات توجيه Cisco.
• فهم تحليل عملية تفريغ الأساسي واستكشاف الأخطاء وإصلاحها في IOS XR.

المكونات المستخدمة

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر، فإن المعلومات الواردة في هذا المستند تستند إلى إصدارات البرامج والمكونات المادية التالية:

الأجهزة:

• الموجهات من السلسلة Cisco NCS 5500/5700
• Cisco NCS 540/560
• Cisco ASR9000/9900
• الموجه Cisco 8000

البرنامج

• إصدارات برنامج IOS XR:
• 32 بت
• 64 بت
• الطراز XR7

• بيئة Lab مع التكوين الافتراضي

• التغييرات الأخيرة: تنفيذ
• "موقع إيقاف التشغيل لإعادة ضبط المصنع بالكامل"            
• أوامر "Zapdisk Start Location all"
• أكثر الأوامر شيوعا هو "تعيين بديل".
• "hderase" (وضع rommon)

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية:

غالبا ما يتم إستخدام أنظمة Cisco الأساسية التي تشغل IOS XR في البيئات التي تتطلب إزالة آمنة للتكوين والبيانات الحساسة، مثل أثناء إيقاف تشغيل الجهاز أو تنظيف المختبر.

تتوفر ثلاثة أوامر أساسية لمثل هذه العمليات:

• الالتزام بالاستبدال: يستخدم لاستبدال التكوين الجاري تشغيله بالكامل بتكوين جديد، مما يؤدي إلى مسح التكوين الموجود بشكل فعال. إنه أمر قوي يجب إستخدامه بحذر حيث أنه يمكن أن يكون مؤثرا على الخدمة. أساسا، يعمل مثل "write erase" يتبع بتحميل تشكيل جديد.

• موقع إيقاف التشغيل لإعادة ضبط المصنع الكل: تم تصميمه لإعادة ضبط الجهاز إلى حالة المصنع الخاصة به من خلال مسح بيانات التكوين والمستخدمين عبر جميع المواقع.

• موقع بدء Zapdisk الكل:  يستخدم لمحو بيانات المستخدم بشكل آمن من أجهزة التخزين في كافة المواقع.

• hderase: تعمل ميزة "مسح ذاكرة القرص" هذه على حذف البيانات بشكل دائم من ذاكرة القرص الخاصة ب RSPs وبطاقات الخط. البيانات التي تمت مسحها غير قابلة للاسترداد.

مشكلة. 

يمكن أن يكون هناك إثنان ثغرات فيما يتعلق بالطريق الصحيح أن ينجز تشكيل تنظيف عبر مصباح مختلف من XR. حاليا، هناك عدة أمر أن يساعدنا أن ينجز التشكيل تنظيف. 

يتضمن التحدي الرئيسي الذي يواجه في هذا المستند الإزالة الآمنة للمعلومات السرية من موجه من السلسلة Cisco NCS 5500 Series يشغل IOS XR 7.8.1 أو 7.8.2. يحدد السيناريو المشاكل والأعراض التي تم رصدها:

1: محاولة إعادة تعيين المصنع على كافة المواقع

device# factory-reset shutdown location all

مثال الإخراج:

LC/0/1/CPU0:May 27 23:55:49.699 UTC: ssd_enc_server[255]: %OS-SSD_ENC-1-FACTORY_RESET : Factory reset CLI is not supported on this platform. Please use 'zapdisk' instead.
device#

الشرح: الأمر "إعادة ضبط المصنع إيقاف التشغيل الموقع all" غير مدعوم على هذا النظام الأساسي. يوجه النظام المستخدم لاستخدام الأمر "zapdisk" كبديل.

2: تنفيذ Zapdisk لمحو البيانات

device# zapdisk start location all

الاعراض الملحوظة: أثناء التنفيذ، تم الكشف عن تعطل عملية وتسجيله بواسطة النظام. تم إنشاء رسالة syslog:

Sep 15 19:29:14.345 UTC: logger[69445]: %OS-SYSLOG-4-LOG_WARNING : PAM detected crash for zapdisk_client on 0_RP0_CPU0. All necessary files for debug have been collected and saved at 0/RP0/CPU0  : harddisk:/cisco_support/PAM-crash-xr_0_RP0_CPU0-zapdisk_client-2024Sep15-192913.tgz (Please copy tgz file out of the router and send to Cisco support. This tgz file will be removed after 14 days.)

الشرح: تسببت عملية "zapdisk" في حدوث عطل في عملية "zapdisk_client"، مما أدى إلى إنشاء تفريغ أساسي. ظل الموجه يمكن الوصول إليه عبر بروتوكول SSH، ولم يتم الإبلاغ عن عدم توفر الأجهزة فورا.

الخطوة 3: تفاصيل تفريغ Core

Core location: 0/RP0/CPU0:/misc/disk1
Core for pid = 61085 (zapdisk_client)
Core for process: zapdisk_client_61085.by.11.20240915-192911.xr-vm_node0_RP0_CPU0.dd2cd.core.gz
Core dump time: 2024-09-15 19:29:11.109818050 +0000

Process:
Core was generated by `zapdisk_client -a'.

الشرح: قام الموجه بإنشاء ملف تفريغ أساسي لأغراض التشخيص. يتم تخزين الملف محليا ويتوفر للتحليل أو التحميل إلى دعم Cisco إذا لزم الأمر.

الحل

إظهار الخيار الذي يكون عادة الأكثر إستخداما ضمن كل منصات XR.

1: الالتزام باستبدال

يتم دعم هذا الأمر على جميع الأنظمة الأساسية من Cisco IOS XR وهو حاليا الأكثر إستخداما وشيوعا. ولهذه الأسباب، فإن هذا هو الإجراء الموصى به. يتم إستخدام هذا الأمر لاستبدال التكوين الجاري تشغيله بالكامل أو إزالته بتكوين جديد. تعتبر هذه العملية مؤذية للخدمة لأنها يمكن أن تغير حالة تشغيل الجهاز بشكل كبير بناء على التكوين الجديد الذي يستبدل التكوين الموجود.

مثال:

RP/0/RP0/CPU0:NCS-540-D#conf t
Thu Aug  7 23:30:45.335 UTC
RP/0/RP0/CPU0:NCS-540-D(config)#commit replace
Thu Aug  7 23:30:50.118 UTC

This commit will replace or remove the entire running configuration. This
operation can be service affecting.
Do you wish to proceed? [no]: y

2: موقع إيقاف التشغيل لإعادة الضبط في المصنع الكل

هذا فقط لموجهات سلسلة 8000 من Cisco.

يقوم أمر إعادة ضبط المصنع بمسح جميع البيانات الحساسة من الموجه بشكل دائم. هذه خطوة أمان بالغة الأهمية يجب تنفيذها قبل إعادة الجهاز إلى ترخيص المواد المسترجعة (RMA) أو سحبه أو نقل الملكية. يتم حذف البيانات من هذه الدلائل:

• /misc/disk1
• /misc/scratch
• /ar/log
• /misc/config

بالإضافة إلى إزالة الملفات، يمكن الكتابة فوق جهاز التخزين ببيانات عشوائية لجعل عملية الاسترداد صعبة أو مستحيلة فعليا.

مثال:

RP/0/RP1/CPU0:8808-A#factory-reset ?
  reload    Reload the location after performing factory-reset
  shutdown  Shutdown the location after performing factory-reset
RP/0/RP1/CPU0:8808-A#factory-reset reload ?
  location  Specify location
RP/0/RP1/CPU0:8808-A#factory-reset reload location ?
  0/1/CPU0    Fully qualified location specification
  0/2/CPU0    Fully qualified location specification
  0/RP1/CPU0  Fully qualified location specification
  WORD        Fully qualified location specification
  all         Show all locations
RP/0/RP1/CPU0:8808-A#factory-reset reload location

3: موقع بدء Zapdisk الكل

تتوفر ميزة Zapdisk من صورة الإصدار 6.3.1 من eXR. يتم تنفيذ ميزة Zapdisk لإعادة ضبط مصنع الموجهات من خلال تنظيف وحدات التخزين المنطقية للأقراص وإعادة تعيين معلمات ROMMON على جميع لوحات وحدة المعالجة المركزية (CPU) على الموجه. تكون هذه الميزة مطلوبة بشكل أساسي عند العثور على خطأ في بطاقة (RSPs/LCs) ويجب إرسالها ل RMA، مما يتطلب تنظيف القرص/أقسام البطاقة. وهو مطلوب لأنظمة ASR9K التي تعمل بنظام eXR.

عمليات المزاح

• السلوك بعد التمكين: بعد تمكين ميزة Zapdisk على لوحة وحدة المعالجة المركزية (CPU)، يمكن إعادة ضبط متغيرات ROMMON على اللوحة إلى إعدادات المصنع ووحدات التخزين المنطقية للأقراص على اللوحة المراد تنظيفها (بما في ذلك الملفات المحفوظة تحت /harddisk:) إذا تم تعويض الموجه/اللوحة.
• سلوك إعادة التحميل: بعد تمكين ميزة Zapdisk على لوحات وحدة المعالجة المركزية (CPU)، لا يمكن أن تؤدي إعادة تحميل اللوحات عن طريق إجراء عملية OIR مادية أو باستخدام أوامر CLI إلى تشغيل وظائف Zapdisk.
• ملاحظة هامة: الرجاء عدم إعادة تحميل البطاقة (حيث يتم إجراء Zapdisk) أو الهيكل بأكمله حتى تتم إزالة البطاقة من الفتحة. يمكن أن تؤدي إعادة التحميل إلى تمهيد البطاقة مرة أخرى، وإعادة ملء القرص بالبيانات التي تم مسحها للتو.
• أوامر واجهة سطر الأوامر (CLI):
  • تعيين Admin Zapdisk: تمكين ميزة Zapdisk على الموجه.
  • لم يتم تعيين Admin Zapdisk: قم بتعطيل Zapdisk على الموجه.

• التحقق:
  • قم بتنفيذ الأمر shell في Calvados على لوحة وحدة المعالجة المركزية للتحقق من حالة Zapdisk: /opt/cisco/calvados/bin/nvram_dump -a
  • تظهر المخرجات:
    • Zapdisk_CARD=1 — تم تعيين Zapdisk (بعد تعيين Admin Zapdisk)
    • ZAPDISK_CARD=0 — لم يتم تعيين Zapdisk (بعد عدم تعيين Admin Zapdisk)
  • بدلا من ذلك، يمكنك إستخدام /opt/cisco/calvados/bin/nvram_dump -r ZAPDISK_CARD الذي يظهر بيانات الإخراج هي 1 إذا تم تعيينها.

• العمليات المحسنة (بدءا من الإصدار iOS XR 7.0.1):
  • لإظهار كافة المواقع التي يمكن إجراء التزامن فيها: إظهار مواقع الأقراص المؤقتة
  • واجهة سطر أوامر (CLI) ل EXEC لبدء الإجراء على موقع معين: موقع بدء Zapdisk <location> (على سبيل المثال، موقع بدء Zapdisk 0/1، موقع بدء Zapdisk all)
    • في حالة تحديد موقع غير صحيح، يستجيب النظام ب "موقع غير صحيح، يتعذر بدء تشغيل Zapdisk على هذه العقدة".
    • عند تنفيذ موقع بدء Zapdisk، يتم عرض رسالة syslog بمجرد اكتمال الإجراء.

4: هيدراز

الآن دور أمر hderase. هذه هي الطريقة التي يعمل بها إجراء التجزئة بنظام التشغيل iOS XR 64-بت 7.0.x في موجه Cisco ASR 9000:

1. إذا كان هو موجه RP ثنائي، فقم بإزالة بروتوكول RP واحد. إذا كان هناك RP واحد، فلا يلزم إتخاذ أي إجراء. توصيل كبل وحدة التحكم ب RP. ما إن يتم هذا، أعدت ال RP/مسحاج تخديد:

sysadmin-vm:0_RSP0# hw-module location all reload 
Tue Jun 16 04:27:50.284 UTC
Reload hardware module ? [no,yes] yes
result Card graceful reload request on all acknowledged.
sysadmin-vm:0_RSP0#

2. أثناء التمهيد، اضغط على CTRL-C:

##########################################################
System Bootstrap, Version 22.24 [ASR9K x86 ROMMON],
Copyright (c) 1994-2019 by Cisco Systems, Inc.
Compiled on Tue 07/16/2019 15:41:43.70
BOARD_TYPE : 0x101014 
Rommon : 22.24 (Primary) 
Board Revision : 5
PCH EEPROM : 0.0
IPU FPGA(PL) : 0.20.1 (Primary)
IPU INIT(HW_FPD) : 2.5.1
IPU FSBL(BOOT.BIN) : 1.104.0
IPU LINUX(IMAGE.FPD) : 1.104.0
DRAX FPGA : 0.35.1
CBC0 : Part 1=54.10, Part 2=54.8, Act Part=1 
Product Number : ASR-9901-RP
Chassis : ASR-9901
Chassis Serial Number : FOC2216NU0J
Slot Number : 0
Pxe Mac Address LAN 0 : b0:26:80:ac:81:a0
Pxe Mac Address LAN 1 : b0:26:80:ac:81:a1
==========================================================
Got EMT Mode as Disk Boot
Got Boot Mode as Disk Boot
Booting IOS-XR 64 bit Boot previously installed image - Press Ctrl-c to stop >>>>>>>>>>>>>>>>>>>>>>>> At this point, press CTRL-C

3. بمجرد أن ترى قائمة BIOS هذه، حدد الخيار 1:

Please select the operating system and the boot device:
1) Boot to ROMMON
2) IOS-XR 64 bit Boot previously installed image
3) IOS-XR 64 bit Mgmt Network boot using DHCP server
4) IOS-XR 64 bit Mgmt Network boot using local settings (iPXE)
(Press 'p' for more option)
Selection [1/2/3/4]: 1
Selected Boot to ROMMON, Continue ? Y/N: Y
Set CBC OS type IOS-XR 32 bit, EMT IOS-XR Boot to CBC
<SNIP>
##########################################################
System Bootstrap, Version 22.24 [ASR9K x86 ROMMON],
Copyright (c) 1994-2019 by Cisco Systems, Inc.
Compiled on Tue 07/16/2019 15:41:43.70
BOARD_TYPE : 0x101014 
Rommon : 22.24 (Primary) 
Board Revision : 5
PCH EEPROM : 0.0
IPU FPGA(PL) : 0.20.1 (Primary)
IPU INIT(HW_FPD) : 2.5.1
IPU FSBL(BOOT.BIN) : 1.104.0
IPU LINUX(IMAGE.FPD) : 1.104.0
DRAX FPGA : 0.35.1
CBC0 : Part 1=54.10, Part 2=54.8, Act Part=1 
==========================================================
DRAM Frequency: 2133 MHz
DRAM Frequency: 2133 MHz
Memory Size: 32768 MB
Valid Flash Device returned - 
Device Type 3
Id 1620512, ExtId 0, Size 8, VendorName Micron DeviceName N25Q128A
Memory Size: 32768 MB 
MAC Address from cookie: b0:26:80:ac:81:a0
Board Type: 0x00101014
Chassis Type: 0x00ef1015
Slot Number: 00
Chassis Serial: FOC2216NU0J
Cbc uart base address = 3e8
rommon 1 >
rommon 1 >

4. من هنا، يمكنك الاطلاع على خيار "hderase" ضمن ROMMON (لم يكن هذا موجودا قبل إصدار XR 6.6.3):

rommon 1 > priv

You now have access to the full set of monitor commands.
Warning: some commands will allow you to destroy your
configuration and/or system images and could render
the machine unbootable.

rommon 2 > ?
alias set and display aliases command
dumpcounters Dump RX/Tx marvell switch counters
bpcookie display contents of upper backplane cookie
call call a subroutine at address with converted hex args
cbc0_select Select CBC0 for CPU-CBC communication
<SNIP>
aldrin_init aldrin initialization
aldrin_cmd aldrin command execution
bios_usb_en bios usb stack en/dis
mvinit_strld Initialize Marvell 88E6122 Switch for LC use
hderase Erase all hard drive contents permanently >>>>>>>>>>>>>>>>>>>>>>>>>>>>
rommon 3 >
rommon 4 > hderase
SATA HD(0x4,0x0,0x0):
Model : SMART iSATA SHSLM32GEBCITHD02
Serial No : STP190505VU
Secure Erase Supported
Security State : Disable/Not Locked/Not Frozen
All the contents on this Drive will be Erased
Do you wish to continue?(Y/N)y
Erasing SATA HD(0x4,0x0,0x0)...
Erasing SATA HD(0x4,0x0,0x0) Completed

rommon 5 > reset -h
Starting ASR9k initialization ...
<SNIP>
Booting IOS-XR (32 bit Classic XR) - Press Ctrl-c to stop

ملخص

تحدد هذه الوثيقة الإجراءاتأفضل الممارسات لعمليات مسح البيانات الآمنة وإعادة ضبط المصنع على موجهات Cisco التي تشغل برنامج IOS XR. وهو يستعرض الغرض من الأوامر الرئيسية المتاحة لتنظيف التكوين وتعطيل البيانات واستخدامها وحدودها - وعلى وجه التحديد تنفيذ الاستبدال وإعادة ضبط المصنع وZapdisk وDerase.

يسلط المستند الضوء على أنه بينما يتم دعم إستبدال الالتزام على نطاق واسع ويوصى به لمسح التكوين عبر جميع الأنظمة الأساسية IOS XR، فإن أوامر إعادة ضبط المصنع وZapdisk تحتوي على سلوك النظام الأساسي والإصدار المحدد. وبشكل ملحوظ، في بعض الأنظمة الأساسية (على سبيل المثال، NCS 5500 Series مع IOS XR 7.8.x)، لا يتم دعم إعادة ضبط المصنع، ويمكن أن يواجه Zapdisk أعطال في العملية - رغم أن هذه الأعطال لا تؤثر على توفر الجهاز ويتم حلها في إصدارات البرامج اللاحقة.

تم التحقق من صحة جميع الأوامر والإجراءات في بيئة معملية، وتوصي Cisco بإجراء مراجعة دقيقة قبل تطبيقها في الإنتاج. يوفر المستند إرشادات حول إستخدام الأوامر واستكشاف الأخطاء وإصلاحها والمراجع للحصول على مزيد من الدعم التقني والمستندات.