Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment essuyer en toute sécurité le disque d'un commutateur Cisco Nexus, qui utilise des utilitaires Linux standard. Cela est nécessaire pour certains clients militaires et gouvernementaux qui déplacent des équipements d'une zone sécurisée à une zone non sécurisée, ou pour tout autre client ayant des exigences de conformité de déplacer des équipements hors de leurs locaux.
Deux options sont possibles, selon que le commutateur est équipé d'un disque SSD ou d'une clé eUSB :
Les utilitaires standard utilisés dans la procédure documentée utilisent une série de commandes qui détruisent en toute sécurité les données sur le disque de stockage et, dans la plupart des cas, rendent difficile, voire impossible, la récupération des données.
Ce guide vous guide à travers les deux processus avec les commutateurs de la gamme Cisco Nexus 3000, les commutateurs de la gamme Cisco Nexus 5000, les commutateurs de la gamme Cisco Nexus 9000, les commutateurs de la gamme Cisco Nexus 7000 et les commutateurs de la gamme Cisco MDS à l'esprit, mais fonctionne pour la plupart des autres commutateurs Cisco Nexus, à condition que vous ayez un accès au système d'initialisation ou Bash. Si le commutateur que vous utilisez ou la version du logiciel que vous exécutez n'a pas de support pour permettre à feature bash d'accéder à l'interpréteur de commandes Bash, ouvrez une demande de service avec le TAC de Cisco pour obtenir de l'aide sur l'utilisation d'un plug-in de débogage pour cette procédure.
si votre PID renvoie la valeur 0, le système utilise un SSD et peut utiliser la méthode Init-System pour effacer le lecteur.
Si votre PID renvoie la valeur 1, le système utilise une clé eUSB et vous devez utiliser la méthode d'effacement de zéro octet.
F340.23.13-C3064PQ-1# config terminal Enter configuration commands, one per line. End with CNTL/Z.
F340.23.13-C3064PQ-1(config)# feature bash-shell
F340.23.13-C3064PQ-1(config)#
F340.23.13-C3064PQ-1(config)# exit
F340.23.13-C3064PQ-1# run bash bash-4.2$ cat /sys/block/sda/queue/rotational 1 bash-4.2$
Une fois la procédure précédente effectuée, si vous ne savez toujours pas quel type de lecteur se trouve dans votre système et quelle procédure doit être utilisée pour effacer le contenu du disque en toute sécurité, ouvrez une demande de service auprès du TAC Cisco.
Avant d'essuyer votre lecteur, vous devez disposer des éléments suivants :
Remarque : Il est vivement recommandé d'effectuer cette procédure sur les pièces qui ne sont plus en production ou installées dans les châssis de production. Les périphériques ou les pièces doivent être déplacés dans un environnement hors production avant d'effectuer cette procédure afin d'éviter toute interruption involontaire du réseau.
Remarque : Lorsque vous effectuez cette procédure sur un superviseur à l'intérieur d'un commutateur modulaire, il est recommandé de n'installer dans le système que le superviseur dont vous prévoyez d'effectuer la procédure.
loader > cmdline recoverymode=1
loader > boot bootflash:nxos.7.0.3.I7.8.bin
Remarque : ce test a été effectué sur un N9K-C9372TX-E avec un processeur Intel Core i3- à 2,50 GHz et un SSD 110G. Le temps total pour le système d'initialisation a pris ~8 secondes :
switch(boot)# clear nvram
switch(boot)# init system This command is going to erase your startup-config, licenses as well as the contents of your bootflash:. Do you want to continue? (y/n) [n] y
switch(boot)# reload This command will reboot this supervisor module. (y/n) ? y
Remarque : Lorsque vous effectuez cette procédure sur un superviseur à l'intérieur d'un commutateur modulaire, il est recommandé de n'installer que le superviseur dont vous prévoyez d'effectuer la procédure dans le système.
2. Activez feature bash-shell à partir du mode de configuration et entrez l'invite Bash avec run bash (N3K/9K uniquement. D'autres commutateurs Cisco Nexus ont besoin d'un plug-in de débogage pour accéder à Bash).
F340.23.13-C3064PQ-1# config terminal
F340.23.13-C3064PQ-1(config)# feature bash-shell F340.23.13-C3064PQ-1(config)# exit
F340.23.13-C3064PQ-1# run bash
bash-4.2$
N7K-1# load n7000-s2-debug-sh.7.2.1.D1.1.gbin
Loading plugin version 7.2(1)D1(1)
###############################################################
Warning: debug-plugin is for engineering internal use only!
For security reason, plugin image has been deleted.
###############################################################
Successfully loaded debug-plugin!!!
Linux(debug)#
3. Obtenez l'accès racine avec sudo su -
Remarque : Cette étape peut être ignorée pour les commutateurs de la gamme Cisco Nexus 7000 qui utilisent un plug-in de débogage pour cette procédure.
bash-4.2$ sudo su - root@F340#
4. Si vous effectuez cette procédure sur un contrôleur système installé dans un commutateur de la gamme Nexus 9000, vous devez vous connecter à distance au numéro du logement sur lequel vous souhaitez effectuer cette procédure. Par exemple, ici, il est fait pour le contrôleur système dans le logement 29 :
N9K-EOR# run bash
bash-4.2$ sudo su -
root@N9K-EOR#rlogin lc29
root@sc29:~#
5. Vérifiez la taille de bloc de chaque disque avec fdisk -l. Sur un N3K-C3064PQ-10X, il n'a que /dev/sda @ 512 octets de taille de bloc, voir ici :
Remarque : Sur certains commutateurs Cisco Nexus, il peut y avoir plusieurs disques. Il doit être pris en compte lorsque vous effectuez l'opération d'ajout. Par exemple, N7K-SUP2 contient /dev/sda, /dev/sdb, /dev/sdc/, /dev/md2, /dev/md3, /dev/md4, /dev/md5, et /dev/md6. Vous devez effectuer l'opération dd sur chacun de ces éléments pour terminer correctement la procédure d'effacement sécurisé.
Remarque : Sur les commutateurs de la gamme Cisco Nexus 9000, le contrôleur système a /dev/mtdblock0, /dev/mtdblock1, /dev/mtdbloc2, /dev/mtdblock3, /dev/mtdblock4, /dev/mtdblock5, et /dev/mtdblock6. Vous devez effectuer l'opération d'ajout sur chacun d'eux pour terminer la procédure d'effacement sécurisé correctement.
root@F340# fdisk -l Disk /dev/sda: 2055 MB, 2055208960 bytes 64 heads, 62 sectors/track, 1011 cylinders Units = cylinders of 3968 * 512 = 2031616 bytes Disk identifier: 0x8491e758 Device Boot Start End Blocks Id System /dev/sda1 1 5 9889 83 Linux /dev/sda2 6 45 79360 5 Extended /dev/sda3 67 1011 1874880 83 Linux /dev/sda4 46 66 41664 83 Linux /dev/sda5 6 26 41633 83 Linux /dev/sda6 27 45 37665 83 Linux
6. Écrivez un octet zéro dans chaque secteur du disque.
Remarque : Ce test a été effectué sur un N3K-C3064PQ-10X avec un processeur Intel Celeron P4505 @1.87 GHz et eUSB 13G. Le processus Zero-Byte a pris ~501 secondes.
root@F340# dd if=/dev/zero of=/dev/sda bs=512
Remarque : Il est prévu que les messages du noyau générés à cette étape apparaîtront sur certaines parties.
7. Une fois l’étape 5 terminée, rechargez le commutateur, le superviseur ou le contrôleur système :
Remarque : Afin de recharger le contrôleur système dans un commutateur modulaire de la gamme Cisco Nexus 9000, entrez l'interface de ligne de commande reload module <slot_number>.
bash-4.2$ exit F340.23.13-C3064PQ-1# exit F340.23.13-C3064PQ-1# reload WARNING: There is unsaved configuration!!! WARNING: This command will reboot the system Do you want to continue? (y/n) [n] y
1. Connectez-vous au compte d’administrateur du commutateur via le port de console.
2. Activez feature bash-shell à partir du mode de configuration et entrez l'invite Bash avec run bash (N3K/N9K uniquement). D'autres commutateurs Cisco Nexus ont besoin d'un plug-in de débogage pour accéder à Bash). Si vous avez besoin d'un plug-in de débogage, contactez le TAC Cisco et suivez l'étape 3 au lieu de l'étape 2.
Remarque : Afin d'accéder au LC/FM à partir de Bash-prompt, entrez rlogin lc# CLI une fois que vous avez obtenu l'accès racine. Remplacez à présent le # dans la CLI par le numéro de logement sur lequel vous souhaitez effectuer l'opération.
N7K-1# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
N7K-1(config)# feature bash-shell
N7K-1(config)# exit
N7K-1# run bash
bash-4.3$
N9K-EOR# run bash
bash-4.2$ sudo su -
root@N9K-EOR#rlogin lc22
root@fm22:~#
3. Pour les commutateurs Cisco Nexus qui utilisent le plug-in de débogage, assurez-vous que le plug-in de débogage pour la version du logiciel en cours d'exécution est copié dans bootflash, et chargez le plug-in de débogage sur le module pour lequel vous souhaitez exécuter la procédure d'effacement sécurisé pour :
Remarque : Une image de plug-in de débogage distincte doit être utilisée pour les modules d'E/S des commutateurs de la gamme Nexus 7000, contrairement à l'image de plug-in de débogage disponible pour les modules Supervisor. Utilisez l'image LC pour la version du logiciel qui s'exécute sur le commutateur.
switch# attach module 3
Attaching to module 3 ...
To exit type 'exit', to abort type '$.'
module-3# load bootflash:dplug-lc_p476-bin.7.2.1.D1.1.bin
Name of debug-plugin from SUP: '/bootflash/dplug-lc_p476-bin.7.2.1.D1.1.bin'
Downloaded debug-plugin to LC: '/tmp/dplug-lc_p476-bin.7.2.1.D1.1.bin'
Loading plugin version 7.2(1)D1(1)
###############################################################
Warning: debug-plugin is for engineering internal use only!
###############################################################
Warning: /debug-plugin/.autorun is using deprecated /bin/bash. Please change to /bin/sh
Successfully loaded debug-plugin!!!
Linux(debug)#
4. Ensuite, pour les cartes de ligne de la gamme Cisco Nexus 7000, déterminez où /logflash/ et /mnt/pss est monté sur le système de fichiers. Pour ce faire, utilisez la commande mount pour trouver où résident /mnt/plog (logflash) et /mnt/pss.
Remarque : Pour les cartes de ligne de la gamme Cisco Nexus 9000, exécutez l'opération dd sur /dev/mmcblk0.
Remarque : Pour les modules de fabric Cisco Nexus 9000, exécutez l'opération dd sur /tmpfs, /dev/root, /dev/zram0, /dev/loop0, /dev/loop1 et /unionfs.
Linux(debug)# mount | grep plog
/dev/mtdblock2 on /mnt/plog type jffs2 (rw,noatime)
Linux(debug)#
Linux(debug)# mount | grep pss
tmpfs on /mnt/pss type tmpfs (rw,size=409600k,mode=777)
Linux(debug)#
5. Maintenant qu'il est connu que /mnt/plog réside sur /dev/mtdblock2 et /mnt/pss réside sur /tmpfs, vous écrivez Zero-Byte sur les deux en utilisant la commande dd, quittez le plug-in de débogage et rechargez le module :
Linux(debug)# dd if=/dev/zero of=/dev/mtdblock2 bs=1024
dd: writing '/dev/mtdblock2': No space left on device
15361+0 records in
15360+0 records out
Linux(debug)#
Linux(debug)# dd if=dev/zero of=/tmpfs bs=1024
dd: writing '/tmpfs': No space left on device
23781+0 records in
23780+0 records out
Linux(debug)#
Linux(debug)# exit
####################################################################
Warning: for security reason, please delete plugin image on sup.
####################################################################
module-3# exit
rlogin: connection closed.
switch#
switch# reload module 3
This command will reload module 3. Proceed[y/n]? [n] y
reloading module 3 ...
switch#
Après avoir mis le commutateur hors tension puis sous tension, il démarre à l'invite du chargeur.
Afin de récupérer à partir de l'invite loader>, le commutateur doit être démarré TFTP selon les étapes suivantes :
loader > set ip <IP_address> <Subnet_Mask>
2. Si le serveur TFTP à partir duquel vous démarrez se trouve dans un sous-réseau différent, affectez une passerelle par défaut au commutateur :
loader > set gw <GW_IP_Address>
3. Exécutez le processus de démarrage. Le commutateur démarre à l’invite switch(boot).
Remarque : Pour les commutateurs qui utilisent des images système/de démarrage distinctes, tels que les commutateurs Cisco Nexus 5000, Cisco Nexus 6000 et Cisco Nexus 7000, vous devez à cette étape démarrer l'image de démarrage. Pour les commutateurs qui utilisent une image NXOS unique, comme les commutateurs Cisco Nexus 9000 et les commutateurs Cisco Nexus 3000, à cette étape, vous devez démarrer l'image unique :
loader > boot tftp:///
4. Exécutez clear nvram, Init system et formatez bootflash :
Remarque : Pour les commutateurs Cisco Nexus 5000 et Cisco Nexus 6000, la mémoire vive non volatile n'est pas disponible à l'invite switch(boot)#.
switch(boot)# clear nvram
switch(boot)# init system
This command is going to erase your startup-config, licenses as well as the contents of your bootflash:.
Do you want to continue? (y/n) [n] y
Initializing the system ...
<snip>
switch(boot)# format bootflash:
This command is going to erase the contents of your bootflash:.
Do you want to continue? (y/n) [n] y
get_sup_active_slot failed with -1
Unknown card
Formatting bootflash:
<snip>
5. Rechargez le commutateur :
switch(boot)# reload
This command will reboot this supervisor module. (y/n) ? y
ˇ
(c) Copyright 2011, Cisco Systems.
N3000 BIOS v.5.0.0, Tue 06/05/2018, 05:24 PM
6. Définissez (ou attribuez) une adresse IP à l’interface mgmt0 du commutateur :
loader > set ip <IP_address> <Subnet_Mask>
7. Si le serveur TFTP à partir duquel vous démarrez se trouve dans un sous-réseau différent, affectez une passerelle par défaut au commutateur :
loader > set gw <GW_IP_Address>
8. Rechargez le commutateur :
Remarque : Cette étape (8) n'est PAS requise lorsque cette procédure est exécutée sur les commutateurs Cisco Nexus 5000, les commutateurs Cisco Nexus 6000, les commutateurs Cisco Nexus 7000, les modules Supervisor ou les commutateurs Cisco Nexus 9000, le module Supervisor. Passez à l'étape 9 si vous effectuez cette procédure sur un commutateur de la gamme Cisco Nexus 5000, un commutateur de la gamme Cisco Nexus 6000, un module de supervision du commutateur de la gamme Cisco Nexus 7000 ou un module de supervision des commutateurs de la gamme Cisco Nexus 9000.
loader> reboot
9. Exécutez le processus de démarrage. Le commutateur démarre à l’invite switch(boot).
Remarque : Pour les commutateurs qui utilisent des images système/de démarrage distinctes, comme les commutateurs Cisco Nexus 7000, vous devez à cette étape démarrer l'image de démarrage. Pour les commutateurs qui utilisent une image NXOS unique, comme les commutateurs Cisco Nexus 9000 et les commutateurs Cisco Nexus 3000, à cette étape, vous devez démarrer l'image unique :
loader > boot tftp://<server_IP>/<nxos_image_name>
10. Pour les commutateurs qui utilisent des images système/de démarrage distinctes, comme les commutateurs Cisco Nexus 5000, les commutateurs Cisco Nexus 6000 et les commutateurs Cisco Nexus 7000, à cette étape, vous devez prendre des mesures supplémentaires pour démarrer le commutateur. Vous devez configurer l'adresse IP et le masque de sous-réseau mgmt 0, ainsi que la passerelle par défaut. Une fois cette opération terminée, vous pouvez copier l'image de démarrage et l'image système sur le commutateur et la charger :
switch(boot)# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch(boot)(config)# interface mgmt 0
switch(boot)(config-if)# ip address 10.122.160.55 255.255.255.128
switch(boot)(config-if)# no shutdown
switch(boot)(config-if)# exit
switch(boot)(config)#
switch(boot)(config)# ip default-gateway 10.122.160.1
switch(boot)(config)#
switch(boot)(config)# exit
switch(boot)#
switch(boot)#
switch(boot)# copy ftp: bootflash:
Enter source filename:
Enter hostname for the ftp server:
Enter username:
Connected to x.x.x.x.
220 CALO Fileserver
331 Please specify the password.
Password:
230 Login successful.
221 Goodbye.
Copy complete, now saving to disk (please wait)...
switch(boot)#
switch(boot)# copy ftp: bootflash:
Enter source filename:
Enter hostname for the ftp server:
Enter username:
Connected to x.x.x.x.
220 CALO Fileserver
331 Please specify the password.
Password:
230 Login successful.
221 Goodbye.
switch(boot)#
11. Pour les commutateurs Cisco Nexus 5000, les commutateurs Cisco Nexus 6000 et les modules de supervision des commutateurs Cisco Nexus 7000, à partir de l'invite switch(boot)#, entrez load bootflash:<image_système>. Ceci termine le processus de démarrage du commutateur.
switch(boot)# load bootflash:<system_image>
12. Une fois l'image du système chargée avec succès, vous devez passer par l'invite de configuration pour commencer à configurer le périphérique selon vos spécifications.