إجراء إعادة ضبط آمنة للمصنع على موجهات SD-WAN cEdge
المحتويات
المقدمة
يصف هذا المستند إجراء إعادة ضبط المصنع الآمن لموجهات Cisco Catalyst SD-WAN Edge التي تشغل نظام Cisco IOS® XE.
الخلفية
تقوم إعادة ضبط المصنع بإرجاع الجهاز إلى حالة التصنيع الأصلية الخاصة به وعادة ما تكون مطلوبة كجزء من عمليات سير العمل الخاصة بإبطال التشغيل أو إعادة النشر أو إصلاح الأمان.
تحذير: توصي هذه المقالة بشكل حصري بخيار إعادة ضبط جميع الأجهزة الآمنة في المصنع"، والذي يقوم بإجراء عملية تصفية للبيانات متوافقة مع NIST SP 800-88 Rev. 1. تعمل هذه الطريقة على جعل البيانات الموجودة على وسائط التخزين غير قابلة للاسترداد وتوفر أعلى مستوى من الضمان بأنه قد تمت إزالة البيانات الحساسة بشكل دائم.
قابلية التطبيق
يتم دعم الأمر reset factory all secure على هذه الأنظمة الأساسية التي تعمل بنظام التشغيل Cisco IOS XE:
- الأنظمة الأساسية للطرف سلسلة Cisco Catalyst 8200
- الأنظمة الأساسية لحافة السلسلة Cisco Catalyst 8300 Series
- الأنظمة الأساسية للطرف سلسلة Cisco Catalyst 8500
- سلسلة موجهات خدمات التجميع طراز ASR 1000 من Cisco
- سلسلة موجهات طراز ISR 4000 ذات الخدمات المتكاملة من Cisco
- السلسلة ISR 1000 من موجهات الخدمات المتكاملة من Cisco
ملاحظة: يمكن إستخدام خيار all secure فقط على الأجهزة المستقلة. تحقق من نظامك الأساسي ومن أن إصدار Cisco IOS XE يدعم الكلمة الأساسية الآمنة بالتحقق من إعادة ضبط المصنع ؟ في وضع EXEC ذي الامتيازات قبل المتابعة.
المتطلبات الأساسية
قبل إجراء إعادة ضبط المصنع الآمنة، تأكد من استيفاء المتطلبات الأساسية التالية:
- تكوين النسخ الاحتياطي: قم بتصدير جميع تكوينات الأجهزة والقوالب والسياسات وتخزينها بأمان من برنامج SD-WAN Manager (vManage) قبل إعادة الضبط.
- نسخ صور برامج النسخ الاحتياطي: تأكد من الحصول على نسخة من صورة برنامج Cisco IOS XE Software محملة في ذاكرة التمهيد Bootflash قبل إجراء إعادة الضبط. بينما يحتفظ الخيار
الآمنبصورة التمهيد في الذاكرة المؤقتة (Flash) على معظم الأنظمة الأساسية، تقوم بعض الأنظمة الأساسية بتعقيم ذاكرة Bootflash بالكامل كجزء من المسح الآمن. كحالة طوارئ، ابق دائما صورة Cisco IOS XE متاحة على محرك أقراص USB أو خادم TFTP الذي يمكن الوصول إليه لضمان الاسترداد بغض النظر عن سلوك النظام الأساسي. - طاقة غير منقطعة: تأكد من أن الجهاز مزود بمصدر طاقة غير متقطع خلال عملية إعادة الضبط بأكملها. يمكن أن يؤدي فقد الطاقة أثناء عملية التعقيم إلى جعل الجهاز غير قابل للاسترداد.
- إكمال أي إجراءات ISSU: إذا كانت هناك أي عمليات ترقية للبرامج أثناء الخدمة (ISSU) معلقة أو قيد التقدم، فقم بإتمامها قبل بدء إعادة ضبط المصنع.
- إصدار ترخيص HSEC: يجب إصدار ترخيص HSEC من الجهاز قبل إعادة ضبط المصنع. إرجاع ترخيص HSECK9 كما هو موضح في قسم "إرجاع ترخيص HSECK9" في: تكوين ترخيص HSECK9 على موجهات Cisco Edge
- إزالة من بنية SD-WAN: قم بإبطال شهادة الجهاز من vManage وقم بإزالة الجهاز من تغشية وحدة التحكم قبل إجراء إعادة الضبط.
- الوصول إلى وحدة التحكم: تأكد من حصولك على وصول وحدة التحكم المادية إلى الجهاز. بعد إعادة الضبط، يدخل الجهاز في وضع ROMmon ولا تتوفر جلسات عمل vty.
تلميح: تأكد من تحميل صورة Cisco IOS XE في ذاكرة Bootflash وأن نسخة الاسترداد متوفرة على USB أو TFTP قبل تنفيذ إعادة ضبط المصنع. بينما يحتفظ الخيار الآمن بصورة التمهيد على معظم الأنظمة الأساسية، تقوم بعض الأنظمة الأساسية بتعقيم ذاكرة التمهيد Bootflash بالكامل أثناء العملية.
ما يتم محوه
يزيل الأمر إعادة ضبط المصنع جميع البيانات الآمنة بشكل دائم من الجهاز:
| الفئة | تم مسح البيانات |
|---|---|
| البرنامج | جميع صور برنامج Cisco IOS XE (يتم الاحتفاظ بصورة التمهيد الحالية في الذاكرة المؤقتة (Flash) على معظم الأنظمة الأساسية؛ ومع ذلك، فإنه على منصات معينة يتم تعقيم ذاكرة Bootflash بالكامل) |
| التكوين | تكوين بدء التشغيل، التكوين الجاري تشغيله |
| السجلات والتشخيصات | معلومات العطل وسجلات النظام و OBFL (تسجيل الأعطال على اللوحة) |
| مادة أمنية | مفاتيح ومسوغات متعلقة ب FIPS، مفاتيح PKI وشهادات قام المستخدم بتكوينها |
| التخزين | كافة بيانات المستخدم الخاصة بوحدات التخزين القابلة للإزالة (محركات أقراص SATA و SSD و USB) |
| الترخيص | جميع تراخيص الأجهزة (تتطلب إعادة التسجيل) |
| ROMMON | متغيرات بيئة ROMMON التي قام المستخدم بإضافتها |
ملاحظة: يتم الاحتفاظ بهذه العناصر بعد إعادة ضبط المصنع الآمنة:
- شهادات SUDI (معرف الجهاز الفريد الآمن) ومفاتيح PKI المقترنة
- قيمة سجل التكوين
- صورة التمهيد الحالية (يتم الاحتفاظ بها في الذاكرة المؤقتة (flash) في معظم الأنظمة الأساسية؛ على منصات معينة تم تنقية bootflash بالكامل—دائما ما يتم إجراء عملية إسترداد لمنفذ USB/TFTP)
الإجراء: إعادة ضبط المصنع الآمنة
تحذير: ولا يمكن الرجوع عن هذا الإجراء. بمجرد بدء التشغيل، يتم إتلاف جميع البيانات المدرجة في الجدول السابق بشكل دائم. تأكد من أنه قد تم التحقق من جميع النسخ الاحتياطية قبل المتابعة.
الخطوة 1: الوصول إلى الجهاز عبر وحدة التحكم
الاتصال بالجهاز عبر اتصال وحدة تحكم مادية. يتم فقد وصول SSH/VTY أثناء عملية إعادة الضبط.
الخطوة 2: أدخل وضع EXEC ذي الامتيازات
Device> enable Device#
الخطوة 3: تنفيذ إعادة الضبط الآمنة في المصنع
قم بتشغيل هذا الأمر لبدء إعادة ضبط المصنع الآمنة:
Device# factory-reset all secure
يطلب النظام التأكيد:
The factory reset operation is irreversible for all operations. Are you sure? [confirm]
تحقق: عند مطالبة التأكيد، تحقق مرة أخيرة مما يلي:
- تم إجراء نسخ إحتياطي لجميع التكوينات
- تتوفر صورة إسترداد Cisco IOS XE على USB أو TFTP
- تمت إزالة الجهاز من تغشية SD-WAN
اكتب y أو اضغط على Enter للتأكيد والمتابعة.
الخطوة 4: إنتظر اكتمال عملية التطهير
يقوم الجهاز بإجراء عملية مسح للبيانات على جميع وسائط التخزين. قد تستغرق هذه العملية فترة ممتدة وفقا لسعة التخزين. لا تقطع الطاقة أثناء هذه العملية.
عند الاكتمال، يقوم الجهاز تلقائيا بإعادة تحميل الجهاز ودخوله إلى وضع ROMmon.
الخطوة 5: إستعادة متغيرات بيئة ROMMON
بعد إعادة الضبط، يمكن مسح متغيرات البيئة بما في ذلك MAC_ADDRESS وSERIAL_NUMBER. إجراء إعادة تعيين ROMMON لاستعادتها:
rommon 1> reset
ملاحظة: يعود متغير بيئة معدل الباود إلى قيمته الافتراضية (9600) بعد إعادة ضبط المصنع. إذا تم تكوين جلسة عمل وحدة التحكم بمعدل مختلف، فيمكنك ضبط إعدادات المحاكي الطرفي إلى 9600 نقطة لاستعادة الوصول إلى وحدة التحكم.
الخطوة 6: تمهيد صورة برنامج Cisco IOS XE Software
في معظم الأنظمة الأساسية، يحافظ الخيار الآمن على صورة التمهيد في الذاكرة المؤقتة (flash). تحقق من وجوده باستخدام ذاكرة التمهيد dir bootflash: من ROMMON. إذا كانت الصورة متوفرة، فقم بالتمهيد مباشرة:
rommon 2> boot bootflash:<image-filename>.bin
السلوك الخاص بالمنصات: وعلى منصات أجهزة معينة، تعمل عملية التعقيم الآمنة على مسح ذاكرة التمهيد (Bootflash) بالكامل، بما في ذلك صورة التمهيد. في هذه الحالات، قم بالاسترداد عبر منفذ USB أو بروتوكول TFTP.
الخيار أ — USB إستعادة:
rommon 2> boot usbflash0:<image-filename>.bin
الخيار ب — إسترداد TFTP:
قم بتعيين متغيرات بيئة ROMMON المطلوبة، ثم ابدأ النقل:
rommon 2> IP_ADDRESS=rommon 3> IP_SUBNET_MASK= rommon 4> DEFAULT_GATEWAY= rommon 5> TFTP_SERVER= rommon 6> TFTP_FILE= .bin rommon 7> tftpboot
تحقق من توفر الاتصال بخادم TFTP من خلال واجهة الإدارة أو مقطع الشبكة المتصل مباشرة. لا يدعم ROMMON بروتوكولات التوجيه، لذلك يجب أن يكون خادم TFTP قابلا للوصول إليه عبر البوابة الافتراضية التي تم تكوينها.
الحصول دائما على صورة إسترداد مرتبة على USB أو خادم TFTP يمكن الوصول إليه قبل بدء إعادة ضبط المصنع لحساب هذا السلوك.
ما بعد إعادة التعيين: إعادة الإلحاق بقناة SD-WAN
بعد إستعادة الجهاز باستخدام صورة Cisco IOS XE نظيفة، أستخدم الإجراءات القياسية لضم شبكة SD-WAN لإعادة الجهاز إلى البنية:
- تكوين بروتوكول نظام تمهيد تشغيل الكمبيوتر: تطبيق تكوين تمهيد تشغيل الكمبيوتر (IP للنظام، معرف الموقع، اسم المؤسسة، عنوان vBond). راجع إنشاء ملف bootstrap باستخدام CLI للإجراء.
- تثبيت الشهادة: قم بتثبيت شهادة الجهاز وسلسلة المرجع المصدق الجذر كما هو مطلوب من قبل المرجع المصدق (Symantec/DigiCert أو Cisco PKI أو Enterprise CA).
- التحكم في الاتصالات: تحقق من إنشاء إتصالات التحكم في DTLS/TLS ل vManage و vSmart و vBond.
- دفع القالب: من vManage، قم بإرفاق قالب الجهاز أو مجموعة التكوين المناسبة بالجهاز.
- التحقق من الصحة: تأكد من تشغيل جلسات عمل BFD وممرات OMP وأنفاق مستوى البيانات.
ملاحظة: بعد إعادة الإلحاق، يجب إعادة تطبيق ترخيص HSEC (High Security) يدويا عبر CLI لاستعادة إخراج التشفير. كما هو موثق في إدارة تراخيص HSEC في Cisco Catalyst SD-WAN، لا يدعم مدير SD-WAN (vManage) إعادة تثبيت ترخيص HSEC على جهاز. يلزم إعادة تحميل الجهاز على الموجهات الفعلية لتنشيط الترخيص. ارجع إلى تكوين ترخيص HSECK9 على موجهات Cisco Edge للحصول على إجراء واجهة سطر الأوامر (CLI) اليدوي.
استكشاف الأخطاء وإصلاحها
وحدة التحكم غير مستجيبة بعد إعادة الضبط
إذا بدا أن وحدة التحكم غير مستجيبة بعد اكتمال إعادة ضبط المصنع، فمن المحتمل أن يكون معدل الباود قد عاد إلى الوضع الافتراضي (9600). قم بضبط المحاكي الطرفي على 9600 باود وأعد الاتصال.
الجهاز لا يدخل ROMMON
إذا لم يدخل الجهاز ROMMON بعد اكتمال إعادة الضبط، فتحقق من تعيين سجل التكوين بشكل صحيح. في معظم الحالات، تدفع دورة الطاقة الجهاز إلى ROMMON عند عدم وجود صورة قابلة للتمهيد.
متغيرات البيئة المفقودة في ROMMON
إذا كان متغيرات MAC_ADDRESS أو SERIAL_NUMBER مفقودة بعد إعادة الضبط، قم بإصدار الأمر reset في ROMMON لاستعادة متغيرات البيئة الافتراضية في المصنع من تخزين الأجهزة.
الأسئلة المتكررة
س: لماذا يوصى بخيار "الأمان" على خيارات "الكل" أو "المرور الثالث" القياسية؟
ج: يعمل خيار إعادة ضبط المصنع جميع الأجهزة الآمنة على إجراء أشمل عملية تصفية للبيانات المتوفرة، وذلك تماشيا مع NIST SP 800-88 Rev. 1. ويجعل البيانات غير قابلة للاسترداد ويحتفظ بصورة التمهيد الحالية في ذاكرة الفلاش، مما يعمل على تبسيط عملية الاسترداد. بالمقارنة، فإن خيار المرور 3 يقوم بتنفيذ حشو إستبدال ثلاثي المسارات (أصفار، واحدات، وعشوائية) والذي يستغرق حوالي ثلاثة أضعاف الطول وكذلك يمحو صورة التمهيد، ويتطلب إعادة تحميل صورة كاملة من USB أو TFTP. ويوصى بالخيار الآمن لأنه يوفر أكبر عملية تعقيم ممكنة بأقل التكاليف التشغيلية للاسترداد.
س: كم تستغرق عملية إعادة ضبط المصنع الآمنة؟
ج: تختلف المدة باختلاف السعة التخزينية الإجمالية للجهاز. بالنسبة للأجهزة المزودة بوحدة تخزين فلاش قياسية (8-32 جيجابايت)، تكتمل العملية عادة في غضون 15-45 دقيقة. قد تستغرق الأجهزة التي تحتوي على محركات أقراص مزودة بذاكرة مصنوعة من مكونات صلبة (SSD) أو محركات أقراص SATA أكبر حجما وقتا أطول. هام: لا تقطع الطاقة أثناء هذه العملية. خطط لنافذة الصيانة التي تضع في الحسبان وقت إعادة تحميل الصورة بالإضافة إلى وقت إعادة التحميل.
س: هل يحتفظ الجهاز بهويته (الرقم التسلسلي، SUDI) بعد إعادة التعيين؟
ج: نعم. يتم تخزين شهادة "معرف الجهاز الفريد الآمن (SUDI)" ومفاتيح PKI المرتبطة بها في وحدة تخزين محمية بالأجهزة (شريحة TAm/ACT2) ولا يتم مسحها بواسطة إعادة ضبط المصنع. كما يتم الاحتفاظ بالرقم التسلسلي للجهاز في الأجهزة. وهذا يعني أنه يمكن إعادة تحميل الجهاز إلى بنية SD-WAN باستخدام هويته الأصلية بعد إعادة الضبط.
س: هل أحتاج إلى إزالة الجهاز من "إدارة SD-WAN" قبل إجراء إعادة التعيين؟
ج: نعم. يوصى بشدة بإبطال شهادة الجهاز وإزالة الجهاز من تغشية شبكة SD-WAN قبل إعادة ضبط المصنع. وهذا يضمن الإزالة النظيفة من البنية الأساسية لوحدة التحكم، ولا توجد إدخالات قديمة في مخزون جهاز vManage، ولا توجد إتصالات تحكم منفصلة أو حالة نفق. من vManage: انتقل إلى التكوين > الشهادات > تحديد الجهاز > إبطال، ثم الإرسال إلى وحدات التحكم. بعد ذلك، احذف الجهاز من قائمة الأجهزة.
س: ما الذي يحدث لترخيص HSEC بعد إعادة ضبط المصنع؟
ج: تتم إزالة ترخيص HSEC (للأمان العالي) أثناء إعادة ضبط المصنع. بدونه، يعمل الجهاز بإنتاجية تشفير مقيدة. يجب إصدار ترخيص HSEC قبل إعادة ضبط المصنع بحيث يمكن إعادة إستخدامه بعد ذلك:
- قبل إعادة التعيين: قم بإصدار الترخيص عبر
الترخيص الذكي،ثم أعد الترخيص المحلي عبر الإنترنتوأزال مثيل المنتج من Smart License Central. - بعد إعادة الإلحاق: إعادة تطبيق ترخيص HSEC يدويا عبر CLI (واجهة سطر الأوامر). كما هو موثق في إدارة تراخيص HSEC في Cisco Catalyst SD-WAN، لا يدعم مدير SD-WAN (vManage) إعادة تثبيت ترخيص HSEC.
- إعادة التحميل: يلزم إعادة تحميل على الموجهات الفعلية لتنشيط الترخيص.
- تحقق من خلال
show license summaryوshow license authorization.
للحصول على الإجراء الكامل، ارجع إلى تكوين ترخيص HSECK9 على موجهات Cisco Edge وإدارة تراخيص HSEC في Cisco Catalyst SD-WAN.
س: هل يمكنني إجراء إعادة ضبط المصنع الآمنة عن بعد (عبر SSH/VTY)؟
ج: بينما يمكن إصدار الأمر من الناحية التقنية عبر جلسة SSH/VTY، فإنه غير مرغوب فيه بشدة. يبدأ الجهاز فورا في عملية التعقيم وينتهي الجلسة عن بعد. بعد إعادة الضبط، يدخل الجهاز في وضع ROMMON حيث لا يتوفر اتصال IP، ولا يمكن الوصول إلى VTY، ويكون وصول وحدة التحكم مطلوبا لاسترداد الصورة. تأكد دائما من توفر الوصول المادي إلى وحدة التحكم قبل بدء إعادة ضبط المصنع.
س: هل إعادة ضبط المصنع الآمنة مناسبة لسيناريوهات إصلاح الأمان؟
ج: نعم. تعد إعادة ضبط المصنع الآمنة النهج الموصى به عندما يجب إعادة الجهاز إلى حالة جيدة معروفة بعد إجراء تسوية مشتبه فيها. وهذا يضمن إزالة جميع المفاتيح التي زرعها المهاجم أو الأبواب الخلفية أو آليات الاستمرار بشكل دائم، وعدم بقاء أي تكوين متبق أو بيانات اعتماد، وضمان تنظيف الجهاز لإعادة دمجه. بالنسبة لعمليات إعادة الضبط التي تتعلق بالأمان في المصنع، تأكد من إنشاء بيانات الاعتماد الجديدة (كلمات المرور والمفاتيح والشهادات) أثناء إعادة التسجيل، ومن عدم إستعادة تكوينات النسخ الاحتياطي التي تم تخزينها مسبقا على الجهاز.
س: ما الذي يمنع إستخدام "طلب إعادة تعيين برنامج SDWAN الخاص ببرنامج النظام الأساسي" أو "طلب إعادة تعيين تكوين برنامج PLATFORM SDWAN" بدلا من ذلك؟
ج: تخدم هذه الأوامر غرضا مختلفا ولا توفر نفس مستوى التعقيم مثل إعادة ضبط المصنع لكل آمن. يقوم الأمر request platform software sdwan software reset بإعادة ضبط برنامج SD-WAN software ولكنه لا يمسح التكوينات أو المفاتيح أو الشهادات أو التخزين الأساسية من Cisco IOS XE — يحتفظ الجهاز بحالة نظام التشغيل الأساسي الخاص به. يقوم الأمر request platform software sdwan config reset بإعادة ضبط التكوين SD-WAN فقط ولكنه يترك صورة Cisco IOS XE، والمسوغات المحلية، ومفاتيح SSH، وجميع البيانات الأخرى دون تغيير على القرص. ولا يقوم أي من الأمرين بتحديث البيانات على وسائط التخزين. إذا كان الهدف هو إعادة الجهاز إلى حالة نظيفة بالكامل - وخاصة بعد حادث أمني - فإن هذه الأوامر غير كافية لأن البيانات المتبقية (المفاتيح أو بيانات الاعتماد أو السجلات أو الملفات التي يتم زرعها للمهاجم) يمكن أن تظل على الذاكرة المؤقتة (flash) أو محركات الأقراص المزودة بذاكرة مصنوعة من مكونات صلبة (SSD). أستخدم ميزة إعادة ضبط المصنع" جميع الأجهزة الآمنة عندما يكون هناك ضمان بأن الجهاز نظيف على مستوى التخزين.
المراجع
- أنظمة جديرة بالثقة من Cisco — دليل إعادة ضبط المصنع
- تكوين ترخيص HSECK9 على موجهات Cisco Edge
- إدارة تراخيص HSEC في Cisco Catalyst SD-WAN
- إنشاء ملف bootstrap باستخدام CLI — دليل بدء تشغيل SD-WAN
- ترقية وحدات التحكم في SD-WAN باستخدام واجهة المستخدم الرسومية (GUI) vManage أو واجهة سطر الأوامر (CLI)
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
16-Jun-2026
|
الإصدار الأولي |
التعليقات