はじめに
このドキュメントでは、「factory-reset」、「zapdisk」、「commit replace commands」の使用、既知の問題、および推奨される代替手段を含む、IOS® XRが稼働するCiscoでの安全なデータ消去および工場出荷時のリセットの操作について説明します。
要件
次の項目に関する知識があることが推奨されます。
- Cisco IOS XRソフトウェアのアーキテクチャと動作
- IOS XR環境における「factory-reset」および「zapdisk」コマンドのプラットフォーム固有の動作
- シスコルーティングプラットフォームでのデバイス再イメージングおよび構成管理の手順。
- IOS XRにおけるコアダンプ分析およびトラブルシューティングの理解
使用するコンポーネント
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
[Hardware]:
- Cisco NCS 5500/5700シリーズルータ
- Cisco NCS 540/560
- Cisco ASR9000/9900
- Cisco 8000 ルータ
[ソフトウェア(Software)]
- 最近の変更:の実行
- 「工場出荷時設定に戻したシャットダウンロケーションすべて」
- zapdisk start location allコマンド
- 最も一般的なコマンドは「commit replace」です。
- 「Hderase」(rommonモード)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明:
IOS XRを実行しているシスコプラットフォームは、デバイスの使用停止時やラボのクリーンアップ時など、設定や機密データを安全に削除する必要がある環境でよく使用されます。
このような操作には、主に次の3つのコマンドを使用できます。
- Commit replace:実行コンフィギュレーション全体を新しいコンフィギュレーションで置き換えて、既存のコンフィギュレーションを効果的に消去するために使用します。これは、サービスに影響を与える可能性があるため、注意して使用する必要がある強力なコマンドです。基本的には、「書き込み消去」の後に新しい設定をロードする操作と同じです。
- factory-reset shutdown location all:すべての場所で設定とユーザデータを消去することで、デバイスを工場出荷時の状態にリセットします。
- zapdisk start location all:すべての場所のストレージデバイスからユーザデータを安全に消去するために使用します。
- hderase:このワイプアウトディスクメモリ機能は、RSPおよびラインカードのディスクメモリからデータを完全に削除します。消去されたデータは回復不可能です。
問題.
XRのさまざまな派生版で、設定のクリーンアップを実行する正しい方法について、いくつかのギャップがある可能性があります。 現在、設定のクリーンアップの実行に役立ついくつかのコマンドがあります。
このドキュメントで説明されている主な課題は、IOS XR 7.8.1または7.8.2を実行しているCisco NCS 5500シリーズルータから機密情報を安全に削除することです。このシナリオでは、確認された問題と症状の概要を示します。
1:すべての場所で工場出荷時設定へのリセットを試行する
device# factory-reset shutdown location all
出力例:
LC/0/1/CPU0:May 27 23:55:49.699 UTC: ssd_enc_server[255]: %OS-SSD_ENC-1-FACTORY_RESET : Factory reset CLI is not supported on this platform. Please use 'zapdisk' instead.
device#
説明: 「factory-reset shutdown location all」コマンドは、このプラットフォームではサポートされていません。代わりに「zapdisk」コマンドを使用するようにユーザに指示します。
2:データ消去のためのZapdiskの実行
device# zapdisk start location all
確認された症状:実行中、プロセスのクラッシュが検出され、システムによってログに記録されました。syslogメッセージが生成されました。
Sep 15 19:29:14.345 UTC: logger[69445]: %OS-SYSLOG-4-LOG_WARNING : PAM detected crash for zapdisk_client on 0_RP0_CPU0. All necessary files for debug have been collected and saved at 0/RP0/CPU0 : harddisk:/cisco_support/PAM-crash-xr_0_RP0_CPU0-zapdisk_client-2024Sep15-192913.tgz (Please copy tgz file out of the router and send to Cisco support. This tgz file will be removed after 14 days.)
説明: 「zapdisk」操作によって、「zapdisk_client」プロセスのクラッシュが引き起こされ、コアダンプが生成されました。ルータはSSH経由でアクセス可能で、ハードウェアがすぐに使用不能になったという報告はありませんでした。
ステップ3:コアダンプの詳細
Core location: 0/RP0/CPU0:/misc/disk1
Core for pid = 61085 (zapdisk_client)
Core for process: zapdisk_client_61085.by.11.20240915-192911.xr-vm_node0_RP0_CPU0.dd2cd.core.gz
Core dump time: 2024-09-15 19:29:11.109818050 +0000
Process:
Core was generated by `zapdisk_client -a'.
説明:ルータによって診断用のコアダンプファイルが作成されました。このファイルはローカルに保存され、必要に応じて分析やシスコサポートへのアップロードに使用できます。
解決方法
すべてのXRプラットフォームで通常最も使用されるオプションを示す。
1:置換をコミット
このコマンドは、すべてのCisco IOS XRプラットフォームでサポートされており、現在最も広く使用されており、一般的です。これらの理由から、この手順が推奨されます。このコマンドは、実行コンフィギュレーション全体を新しいコンフィギュレーションで置き換えるか、または削除するために使用されます。この操作は、既存の構成を置き換える新しい構成に応じてデバイスの動作状態を大幅に変更する可能性があるため、サービスに影響を与えると見なされます。
例:
RP/0/RP0/CPU0:NCS-540-D#conf t
Thu Aug 7 23:30:45.335 UTC
RP/0/RP0/CPU0:NCS-540-D(config)#commit replace
Thu Aug 7 23:30:50.118 UTC
This commit will replace or remove the entire running configuration. This
operation can be service affecting.
Do you wish to proceed? [no]: y
2:工場出荷時設定にリセットされたシャットダウンロケーションすべて
これは、Cisco 8000シリーズルータ専用です。
factory resetコマンドは、ルータからすべての機密データを完全に消去します。これは、RMAのためにデバイスを返却する前、使用停止にする前、または所有権を譲渡する前に実行する重要なセキュリティ手順です。データは次のディレクトリから削除されます。
- /misc/disk1
- /misc/scratch
- /ar/log
- /misc/config
ファイルの削除に加えて、ストレージデバイスをランダムなデータで上書きして、回復を困難にしたり、事実上不可能にすることができます。
例:
RP/0/RP1/CPU0:8808-A#factory-reset ?
reload Reload the location after performing factory-reset
shutdown Shutdown the location after performing factory-reset
RP/0/RP1/CPU0:8808-A#factory-reset reload ?
location Specify location
RP/0/RP1/CPU0:8808-A#factory-reset reload location ?
0/1/CPU0 Fully qualified location specification
0/2/CPU0 Fully qualified location specification
0/RP1/CPU0 Fully qualified location specification
WORD Fully qualified location specification
all Show all locations
RP/0/RP1/CPU0:8808-A#factory-reset reload location
3: Zapdisk start location all
zapdisk機能は、eXRリリース6.3.1イメージから使用できます。 zapdisk機能は、ディスク論理ボリュームをクリーンアップし、ルータ上のすべてのCPUボードのrommonパラメータをリセットすることによって、ルータを工場出荷時の状態にリセットするために実装されています。この機能は、主にカード(RSP/LC)に障害があり、RMAのためにカードのディスク/パーティションのクリーニングが必要な場合に必要です。これは、eXRを実行するASR9Kシステムに必要です。
zapdiskの動作
- 有効にした後の動作: zapdiskをCPUボードで有効にした後、ルータ/ボードが再イメージ化されている場合、ボード上のrommon変数を工場出荷時の設定にリセットし、ボード上のディスク論理ボリュームをクリーンアップします(
/harddisk:に保存されたファイルを含む)。
- リロード動作:CPUボードでzapdiskを有効にした後、物理的なOIRを行うか、CLIコマンドを使用してボードをリロードしても、zapdisk機能はトリガーされません。
- 重要な注意:カードをスロットから取り外すまでは、カード(zapdiskが実行されている場所)またはシャーシ全体をリロードしないでください。カードをリロードすると、カードが再起動し、消去したばかりのデータがディスクに再度入ります。
- CLI コマンド:
admin zapdisk set:ルータでzapdiskを有効にします。admin zapdisk unset:ルータでzapdiskを無効にします。
- 検証:
- CPUボードでCalvadosシェルコマンドを実行し、zapdiskのステータスを確認します。
/opt/cisco/calvados/bin/nvram_dump -a
- 出力は次のようになります。
ZAPDISK_CARD=1 — zapdiskが設定されます(admin zapdisk setの後)ZAPDISK_CARD=0 — zapdiskは設定解除されています(admin zapdisk unset後)
- または、
/opt/cisco/calvados/bin/nvram_dump -r ZAPDISK_CARDを使用して、data is 1(設定されている場合)の出力を表示することもできます。
- 拡張操作(iOS XR 7.0.1以降):
- zapdiskを実行できるすべての場所を表示するには、
show zapdisk locations
- 指定された場所(
zapdisk start location <location>)でアクションを開始するためのEXEC CLI(例:zapdisk start location 0/1、zapdisk start location all)
- 不正な場所が指定されると、システムは「INCORRECT LOCATION, zapdisk can not be initiated on this node」という応答を返します。
zapdisk start location allを実行すると、アクションが完了した後にsyslogメッセージが表示されます。
4:Hderase
今度はhderaseコマンドの順番です。Cisco ASR 9000ルータでiOS XR 64ビット7.0.xを使用する場合は、次の手順を実行します。
1. 2つのRPルータである場合は、1つのRPを削除します。RPが1つある場合は、特に対処の必要はありません。コンソールケーブルをRPに接続します。この作業が完了したら、RP/ルータをリロードします。
sysadmin-vm:0_RSP0# hw-module location all reload
Tue Jun 16 04:27:50.284 UTC
Reload hardware module ? [no,yes] yes
result Card graceful reload request on all acknowledged.
sysadmin-vm:0_RSP0#
2. ブート中にCtrl+Cキーを押します。
##########################################################
System Bootstrap, Version 22.24 [ASR9K x86 ROMMON],
Copyright (c) 1994-2019 by Cisco Systems, Inc.
Compiled on Tue 07/16/2019 15:41:43.70
BOARD_TYPE : 0x101014
Rommon : 22.24 (Primary)
Board Revision : 5
PCH EEPROM : 0.0
IPU FPGA(PL) : 0.20.1 (Primary)
IPU INIT(HW_FPD) : 2.5.1
IPU FSBL(BOOT.BIN) : 1.104.0
IPU LINUX(IMAGE.FPD) : 1.104.0
DRAX FPGA : 0.35.1
CBC0 : Part 1=54.10, Part 2=54.8, Act Part=1
Product Number : ASR-9901-RP
Chassis : ASR-9901
Chassis Serial Number : FOC2216NU0J
Slot Number : 0
Pxe Mac Address LAN 0 : b0:26:80:ac:81:a0
Pxe Mac Address LAN 1 : b0:26:80:ac:81:a1
==========================================================
Got EMT Mode as Disk Boot
Got Boot Mode as Disk Boot
Booting IOS-XR 64 bit Boot previously installed image - Press Ctrl-c to stop >>>>>>>>>>>>>>>>>>>>>>>> At this point, press CTRL-C
3. このBIOSメニューが表示されたら、オプション1を選択します。
Please select the operating system and the boot device:
1) Boot to ROMMON
2) IOS-XR 64 bit Boot previously installed image
3) IOS-XR 64 bit Mgmt Network boot using DHCP server
4) IOS-XR 64 bit Mgmt Network boot using local settings (iPXE)
(Press 'p' for more option)
Selection [1/2/3/4]: 1
Selected Boot to ROMMON, Continue ? Y/N: Y
Set CBC OS type IOS-XR 32 bit, EMT IOS-XR Boot to CBC
<SNIP>
##########################################################
System Bootstrap, Version 22.24 [ASR9K x86 ROMMON],
Copyright (c) 1994-2019 by Cisco Systems, Inc.
Compiled on Tue 07/16/2019 15:41:43.70
BOARD_TYPE : 0x101014
Rommon : 22.24 (Primary)
Board Revision : 5
PCH EEPROM : 0.0
IPU FPGA(PL) : 0.20.1 (Primary)
IPU INIT(HW_FPD) : 2.5.1
IPU FSBL(BOOT.BIN) : 1.104.0
IPU LINUX(IMAGE.FPD) : 1.104.0
DRAX FPGA : 0.35.1
CBC0 : Part 1=54.10, Part 2=54.8, Act Part=1
==========================================================
DRAM Frequency: 2133 MHz
DRAM Frequency: 2133 MHz
Memory Size: 32768 MB
Valid Flash Device returned -
Device Type 3
Id 1620512, ExtId 0, Size 8, VendorName Micron DeviceName N25Q128A
Memory Size: 32768 MB
MAC Address from cookie: b0:26:80:ac:81:a0
Board Type: 0x00101014
Chassis Type: 0x00ef1015
Slot Number: 00
Chassis Serial: FOC2216NU0J
Cbc uart base address = 3e8
rommon 1 >
rommon 1 >
4. ここから、rommonの下に「hderase」オプションが表示されます(これはXRバージョン6.6.3以前にはありませんでした)。
rommon 1 > priv
You now have access to the full set of monitor commands.
Warning: some commands will allow you to destroy your
configuration and/or system images and could render
the machine unbootable.
rommon 2 > ?
alias set and display aliases command
dumpcounters Dump RX/Tx marvell switch counters
bpcookie display contents of upper backplane cookie
call call a subroutine at address with converted hex args
cbc0_select Select CBC0 for CPU-CBC communication
<SNIP>
aldrin_init aldrin initialization
aldrin_cmd aldrin command execution
bios_usb_en bios usb stack en/dis
mvinit_strld Initialize Marvell 88E6122 Switch for LC use
hderase Erase all hard drive contents permanently >>>>>>>>>>>>>>>>>>>>>>>>>>>>
rommon 3 >
rommon 4 > hderase
SATA HD(0x4,0x0,0x0):
Model : SMART iSATA SHSLM32GEBCITHD02
Serial No : STP190505VU
Secure Erase Supported
Security State : Disable/Not Locked/Not Frozen
All the contents on this Drive will be Erased
Do you wish to continue?(Y/N)y
Erasing SATA HD(0x4,0x0,0x0)...
Erasing SATA HD(0x4,0x0,0x0) Completed
rommon 5 > reset -h
Starting ASR9k initialization ...
<SNIP>
Booting IOS-XR (32 bit Classic XR) - Press Ctrl-c to stop
要約
このドキュメントでは、手順とios XRソフトウェアを実行するシスコルータにおける安全なデータ消去および工場出荷時リセット操作のベストプラクティスまた、設定のクリーンアップとデータのサニタイズに使用できる主なコマンド、特にcommit replace、factory-reset、zapdisk、およびhderaseの目的、使用、および制限事項について説明します。
このドキュメントでは、すべてのIOS XRプラットフォーム間で設定をクリアするためにcommit replaceが幅広くサポートされており推奨されている一方で、factory-resetコマンドとzapdiskコマンドがプラットフォームとバージョン固有の動作を持っていることに注目します。特に、一部のプラットフォーム(たとえば、IOS XR 7.8.xが稼働するNCS 5500シリーズ)ではfactory-resetがサポートされておらず、zapdiskでプロセスのクラッシュが発生する場合があります。ただし、これらによるデバイスのアベイラビリティへの影響はなく、これ以降のソフトウェアリリースで解決されています。
すべてのコマンドと手順はラボ環境で検証されているため、実稼働環境に適用する前に慎重に検討することをお勧めします。このドキュメントでは、コマンドの使用方法、トラブルシューティング、およびテクニカルサポートとドキュメントの参考資料について説明します。
フィードバック