ASR5x00 Copia de seguridad del archivo .chassisid (ID del chasis) en las versiones 20 y superiores de StarOS

Introducción

Este documento describe cómo realizar una copia de seguridad de .chassisidfile (ID del chasis) en las versiones 20 y superiores de StarOS.

Antecedentes

La clave del chasis se utiliza para cifrar y descifrar contraseñas cifradas en el archivo de configuración. Si se configuran dos o más chasis con el mismo valor de clave de chasis, las contraseñas cifradas se pueden descifrar mediante cualquiera de los chasis que comparten el mismo valor de clave de chasis. Como corolario de esto, un valor de clave de chasis dado no puede descifrar contraseñas que fueron cifradas con un valor de clave de chasis diferente.

La clave del chasis se utiliza para generar la ID del chasis que se almacena en un archivo y se utiliza como clave principal para proteger los datos confidenciales (como contraseñas y secretos) en los archivos de configuración

Para la versión 15.0 y posteriores, el ID del chasis es un hash SHA256 de la clave del chasis. Los usuarios pueden establecer la clave del chasis mediante un comando CLI o mediante el asistente de configuración rápida. Si el ID del chasis no existe, se utiliza una dirección MAC local para generar el ID del chasis.

Para la versión 19.2 y posteriores, el usuario debe establecer explícitamente la clave del chasis mediante el asistente de configuración rápida o el comando CLI. Si no está configurado, se genera un ID de chasis predeterminado usando la dirección MAC local. En ausencia de una clave del chasis (y por lo tanto, la ID del chasis), los datos confidenciales no aparecen en un archivo de configuración guardado.

El ID del chasis es el hash SHA256 (codificado en formato base36) de la clave de chasis introducida por el usuario más un número aleatorio seguro de 32 bytes. Esto garantiza que la clave del chasis y la ID del chasis tengan una entropía de 32 bytes para la seguridad clave.

Si un ID de chasis no está disponible, el cifrado y el descifrado de datos confidenciales en los archivos de configuración no funcionan.

Problema: No es suficiente para realizar una copia de seguridad del valor de la clave del chasis para ejecutar la misma configuración en el mismo nodo.

Debido al cambio en el comportamiento que comienza con la versión 19.2, ya no es suficiente hacer una copia de seguridad del valor de la clave del chasis para poder ejecutar la misma configuración en el mismo nodo.

Además, debido al número aleatorio de 32 bytes asociado a la clave de chasis configurada, siempre se generan ID de chasis diferentes basadas en las mismas claves de chasis.

Ésa es la razón por la que la comprobación de claves del chasis del comando cli se oculta ahora, ya que siempre devuelve negativo incluso si se ingresa la misma clave antigua.

Para poder recuperar una máquina StarOS de una configuración guardada (por ejemplo, cuando se perdió todo el contenido de la unidad /flash) es necesario realizar una copia de seguridad de .chassisid (donde StarOS almacena la ID del chasis)

El ID del chasis se almacena en el archivo /flash/.chassisid en el disco duro StarOS. El método más sencillo para realizar una copia de seguridad de este archivo es transferirlo a través de un protocolo de transferencia de archivos a un servidor de copia de seguridad:

  

Como ve el archivo .chassisid es uno oculto y con las versiones más recientes no es posible realizar operaciones de administración de archivos con archivos ocultos. Por ejemplo, este error se muestra con la versión 20.0.1:

  

[local]sim-lte# copy /flash/.chassisid /flash/backup
Failure: source is not valid.
[local]sim-lte#

Or:

[local]sim-lte# show file url /flash/.chassisid
Failure: file is not valid.

Solución

Todavía hay una manera de acceder a este archivo a través de este procedimiento:

Paso 1. Asegúrese de que el archivo .chassisid esté presente en /flash/.chassisid.

[local]sim-lte# dir /flash/.chassisid
-rw-rw-r--    1 root     root           53 Jun 23 10:59 /flash/.chassisid
8       /flash/.chassisid
Filesystem           1k-blocks      Used Available Use% Mounted on
/var/run/storage/flash/part1   523992    192112    331880  37% /mnt/user/.auto/onboard/flash

Paso 2. Inicie sesión en modo oculto.

[local]sim-lte# cli test-commands 
Password:
Warning: Test commands enables internal testing and debugging commands
 USE OF THIS MODE MAY CAUSE SIGNIFICANT SERVICE INTERRUPTION
[local]sim-lte# 

Nota: Si no hay ninguna contraseña de modo oculto configurada, configúrela con lo siguiente:

[local]sim-lte(config)# tech-support test-commands password <password>

Paso 3. Inicie un comando debug shell.

[local]sim-lte# debug shell
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Cisco Systems QvPC-SI Intelligent Mobile Gateway
[No authentication; running a login shell]

Paso 4. Mover en el directorio /flash. Verifique si el archivo está ahí.

sim-lte:ssi# 
sim-lte:ssi# ls
bin cdrom1 hd-raid param rmm1 tmp usr
boot dev include pcmcia1 sbin usb1 var
boot1 etc lib proc sftp usb2 vr
boot2 flash mnt records sys usb3
sim-lte:ssi# 
sim-lte:ssi# cd flash
sim-lte:ssi# ls -a
. ldlinux.sys restart_file_cntr.txt
.. module.sys sftp
.chassisid patch staros.bin
crashlog2 persistdump syslinux.ban
crsh2 rc.local syslinux.cfg

Paso 5. Copie el archivo oculto en uno que no esté oculto.

sim-lte:ssi# cp .chassisid chassisid.backup
sim-lte:ssi# 
sim-lte:ssi# 
sim-lte:ssi# ls
chassisid.backup patch staros.bin
crashlog2 persistdump syslinux.ban
crsh2 rc.local syslinux.cfg
ldlinux.sys restart_file_cntr.txt
module.sys sftp

Paso 6. Salga del comando debug shell. Debe poder transferir el archivo de copia de seguridad creado sin ningún problema.

sim-lte:ssi# exit
Connection closed by foreign host.
[local]sim-lte# 
[local]sim-lte# copy /flash/chassisid.backup /flash/chasisid.backup2
********************************************************************************
Transferred 53 bytes in 0.003 seconds (17.3 KB/sec)
[local]sim-lte# 
[local]sim-lte# 
[local]sim-lte# show file url /flash/chassisid.backup
1ke03dqfdb9dw3kds7vdslvuls3jnop8yj41qyh29w7urhno4ya6

ACTUALIZACIÓN para el procedimiento de actualización Ultra-M

La actualización de N5.1 a N5.5 destruirá la instancia de vpc y el OSP. Antes de iniciar el procedimiento de actualización, debemos realizar una copia de seguridad del archivo de configuración de vPC y del ID del chasis si queremos reutilizarlos.

Paso 1. backup del chassisid y el último archivo de configuración :

bash-2.05b# ls -alrt
-rwxrwxr-x 1 root root 53 Jul 11 14:43 .chassisid
-rwxrwxr-x 1 root root 381973 Jul 11 14:41 GGN-2017-07-28.cfg


from copied file :

cpedrode@CPEDRODE-xxxxx:~/Desktop$ more 2017-07-28.chassis-id 
1swbwpd8fd8ca3kf33kn6qxb2h33ihfkqu1tu7x1ndf82znag1b5^@

Nota:  el archivo de configuración tendrá una clave derivada de .chasssid: 

[local]GGN# show configuration url /flash/GGN-2017-07-28.cfg | more
Monday July 11 14:59:34 CEST 2016
#!$$ StarOS V21.1 Chassis c95bf13f030f6f68cae4e370b2d2482e
config

Paso 2. Continúe con la actualización de Ultra-M 

Paso 3. Una vez que se ha actualizado el sistema y se ha iniciado StarOS vpc CF, copie chassisid (el archivo normal) y el archivo de configuración (asegúrese de que también se ha cambiado la dirección IP de O&M adecuada) a /flash/sftp (StarOS >R20)

Paso 4. Realice una copia de seguridad del archivo .chassisid predeterminado oculto desde /flash en modo "test-command" y elimínelo.

Paso 5. Copie el archivo chassisid de /flash/sftp en /flash en modo oculto como ".chassisid". Copie también el archivo de configuración

Nota: puede verificar el cli de emisión de clave derivada - show configuration url /flash/xxxxxx.cfg | más y compárelo con el archivo de configuración de copia de seguridad

Paso 6. Agregue la prioridad de arranque que apunta al nuevo archivo de configuración

Nota: En este punto, StarOS dará un error:

[local]GGN(config)# boot system priority 6 image /flash/staros.bin config /flash/GGN-2017-07-28.cfg
Monday July 28 08:45:28 EDT 2017
Warning: Configuration was generated using a different chassis key, some encrypted information may not 
be valid

Si ha seguido los pasos correctos, tendrá un archivo de configuración con una clave derivada de Chasis igual al archivo de configuración de respaldo y un chasis igual al chasis de respaldo.

Tenga en cuenta que cuando vea el archivo chassisid, añadirá el mensaje PS1 :

bash-2.05b# cat .chassisid
1swbwpd8fd8ca3kf33kn6qxb2h33ihfkqu1tu7x1ndf82znag1b5bash-2.05b#

Paso 7. Reiniciar vPC  

En este momento, el sistema debe reiniciarse y puede utilizar las credenciales de inicio de sesión del archivo de configuración de copia de seguridad.