소개
이 문서에서는 "factory-reset", "zapdisk" 및 "commit replace commands" 사용, 알려진 문제, 권장 대안을 비롯하여 Cisco with IOS® XR의 보안 데이터 삭제 및 공장 초기화 작업에 대해 설명합니다.
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco IOS XR 소프트웨어 아키텍처 및 운영.
- IOS XR 환경에서 "factory-reset" 및 "zapdisk" 명령의 플랫폼별 동작
- Cisco 라우팅 플랫폼에서 디바이스 재이미지화 및 컨피그레이션 관리를 위한 절차.
- IOS XR의 코어 덤프 분석 및 문제 해결 이해.
사용되는 구성 요소
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 네트워크가 가동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다. 이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
하드웨어:
- Cisco NCS 5500/5700 Series 라우터
- Cisco NCS 540/560
- Cisco ASR9000/9900
- Cisco 라우터 8000
소프트웨어
- 최근 변경 내용: 실행
- "공장 초기화 종료 위치 모두"
- "zapdisk start location all" 명령
- 가장 일반적인 명령은 "commit replace"입니다.
- "Hderase"(롬몬 모드)
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보:
IOS XR을 실행하는 Cisco 플랫폼은 디바이스 폐기 또는 랩 정리 중과 같이 컨피그레이션 및 민감한 데이터의 안전한 제거가 필요한 환경에서 자주 사용됩니다.
이러한 작업에는 세 가지 기본 명령을 사용할 수 있습니다.
- Commit replace: 실행 중인 전체 컨피그레이션을 새 컨피그레이션으로 대체하여 기존 컨피그레이션을 효과적으로 지우는 데 사용됩니다. 서비스에 영향을 미칠 수 있으므로 신중하게 사용해야 하는 강력한 명령입니다. 기본적으로 "쓰기 지우기"와 같은 작업을 수행한 다음 새 컨피그레이션을 로드합니다.
- 공장 초기화 종료 위치 모두: 모든 위치에서 컨피그레이션 및 사용자 데이터를 지워 디바이스를 공장 상태로 재설정하려는 의도입니다.
- zapdisk 시작 위치 모두: 모든 위치의 스토리지 디바이스에서 사용자 데이터를 안전하게 지우는 데 사용됩니다.
- 구문: 이 디스크 메모리 지우기 기능은 RSP 및 라인 카드의 디스크 메모리에서 데이터를 영구적으로 삭제합니다. 지워진 데이터는 복구할 수 없습니다.
문제/장애.
다양한 유형의 XR에서 컨피그레이션 정리를 수행하는 올바른 방법과 관련하여 몇 가지 차이점이 있을 수 있습니다. 현재 컨피그레이션 정리를 수행하는 데 도움이 되는 몇 가지 명령이 있습니다.
이 문서에서 다루는 주요 문제점은 IOS XR 7.8.1 또는 7.8.2를 실행하는 Cisco NCS 5500 Series 라우터에서 기밀 정보를 안전하게 제거하는 것입니다. 이 시나리오에서는 관찰된 문제와 증상을 간략하게 설명합니다.
1: 모든 위치에서 공장 초기화 시도 중
device# factory-reset shutdown location all
출력 예:
LC/0/1/CPU0:May 27 23:55:49.699 UTC: ssd_enc_server[255]: %OS-SSD_ENC-1-FACTORY_RESET : Factory reset CLI is not supported on this platform. Please use 'zapdisk' instead.
device#
설명: 이 플랫폼에서는 "factory-reset shutdown location all" 명령이 지원되지 않습니다. 시스템은 사용자가 "zapdisk" 명령을 대신 사용하도록 지시합니다.
2: 데이터 삭제를 위한 Zapdisk 실행
device# zapdisk start location all
관찰된 증상: 실행 중에 프로세스 충돌이 탐지되어 시스템에 기록되었습니다. syslog 메시지가 생성되었습니다.
Sep 15 19:29:14.345 UTC: logger[69445]: %OS-SYSLOG-4-LOG_WARNING : PAM detected crash for zapdisk_client on 0_RP0_CPU0. All necessary files for debug have been collected and saved at 0/RP0/CPU0 : harddisk:/cisco_support/PAM-crash-xr_0_RP0_CPU0-zapdisk_client-2024Sep15-192913.tgz (Please copy tgz file out of the router and send to Cisco support. This tgz file will be removed after 14 days.)
설명: "zapdisk" 작업에서 "zapdisk_client" 프로세스의 충돌을 트리거하여 코어 덤프가 생성되었습니다. 라우터는 SSH를 통해 계속 액세스할 수 있었으며, 즉시 하드웨어 사용 불가 상태는 보고되지 않았습니다.
3단계: 코어 덤프 세부 정보
Core location: 0/RP0/CPU0:/misc/disk1
Core for pid = 61085 (zapdisk_client)
Core for process: zapdisk_client_61085.by.11.20240915-192911.xr-vm_node0_RP0_CPU0.dd2cd.core.gz
Core dump time: 2024-09-15 19:29:11.109818050 +0000
Process:
Core was generated by `zapdisk_client -a'.
설명: 라우터가 진단용으로 코어 덤프 파일을 생성했습니다. 이 파일은 로컬에 저장되며, 필요한 경우 분석 또는 Cisco 지원에 업로드할 수 있습니다.
솔루션
모든 XR 플랫폼에서 일반적으로 가장 많이 사용되는 옵션을 표시합니다.
1: 바꾸기 커밋
이 명령은 모든 Cisco IOS XR 플랫폼에서 지원되며 현재 가장 널리 사용되고 널리 사용되고 있습니다. 이러한 이유로 이 절차를 사용하는 것이 좋습니다. 이 명령은 실행 중인 전체 컨피그레이션을 새 컨피그레이션으로 교체하거나 제거하는 데 사용됩니다. 이 작업은 기존 장치를 교체하는 새 구성에 따라 장치 작동 상태를 크게 변경할 수 있으므로 서비스에 영향을 주는 것으로 간주됩니다.
예:
RP/0/RP0/CPU0:NCS-540-D#conf t
Thu Aug 7 23:30:45.335 UTC
RP/0/RP0/CPU0:NCS-540-D(config)#commit replace
Thu Aug 7 23:30:50.118 UTC
This commit will replace or remove the entire running configuration. This
operation can be service affecting.
Do you wish to proceed? [no]: y
2: 공장 초기화 종료 위치 모두
이는 Cisco 8000 Series 라우터에만 해당됩니다.
factory reset 명령은 라우터에서 모든 민감한 데이터를 영구적으로 지웁니다. 이는 RMA를 위해 디바이스를 반환하거나, 디바이스를 서비스 해제하거나, 소유권을 이전하기 전에 수행해야 할 중요한 보안 단계입니다. 다음 디렉토리에서 데이터가 삭제됩니다.
- /misc/disk1
- /misc/scratch
- /ar/log
- /misc/config
파일을 제거하는 것 외에도, 저장 장치는 복구를 어렵거나 사실상 불가능하게 만들기 위해 무작위 데이터로 덮어 쓸 수 있습니다.
예:
RP/0/RP1/CPU0:8808-A#factory-reset ?
reload Reload the location after performing factory-reset
shutdown Shutdown the location after performing factory-reset
RP/0/RP1/CPU0:8808-A#factory-reset reload ?
location Specify location
RP/0/RP1/CPU0:8808-A#factory-reset reload location ?
0/1/CPU0 Fully qualified location specification
0/2/CPU0 Fully qualified location specification
0/RP1/CPU0 Fully qualified location specification
WORD Fully qualified location specification
all Show all locations
RP/0/RP1/CPU0:8808-A#factory-reset reload location
3: Zapdisk 시작 위치 모두
zapdisk 기능은 eXR 릴리스 6.3.1 이미지에서 사용할 수 있습니다. zapdisk 기능은 디스크 논리 볼륨을 정리하고 라우터의 모든 CPU 보드에서 rommon 매개변수를 재설정하여 라우터 공장 재설정에 대해 구현됩니다. 이 기능은 RSP/LC(Card/LC)에 결함이 있는 경우 주로 필요하며 RMA를 위해 보내야 하며 카드의 디스크/파티션을 정리해야 합니다. eXR을 실행하는 ASR9K 시스템에 필요합니다.
zapdisk 작업
- 활성화 이후의 동작: CPU 보드에서 zapdisk를 활성화한 후 보드의 rommon 변수를 공장 설정 및 라우터/보드가 다시 이미지화되는 경우 정리할 보드의 디스크 논리 볼륨(
/harddisk 아래에 저장된 파일 포함)으로 재설정할 수 있습니다.
- 다시 로드 동작: CPU 보드에서 zapdisk가 활성화된 후 물리적 OIR을 수행하거나 CLI 명령을 사용하여 보드를 다시 로드하면 zapdisk 기능이 트리거되지 않습니다.
- 중요 참고 사항: 카드가 슬롯에서 제거될 때까지 카드(zapdisk가 수행되는 경우) 또는 전체 섀시를 다시 로드하지 마십시오. 다시 로드하면 카드가 다시 부팅되고 방금 지워진 데이터로 디스크가 다시 채워질 수 있습니다.
- CLI 명령:
admin zapdisk 집합: 라우터에서 zapdisk를 활성화합니다.admin zapdisk unset: 라우터에서 zapdisk를 비활성화합니다.
- 확인:
- CPU 보드에서 Calvados shell 명령을 실행하여 zapdisk의 상태를 확인합니다.
/opt/cisco/calvados/bin/nvram_dump -a
- 출력은 다음과 같습니다.
ZAPDISK_CARD=1 — zapdisk가 설정되어 있습니다(admin zapdisk 설정 후).ZAPDISK_CARD=0 — zapdisk가 설정 해제되었습니다(admin zapdisk 해제 후).
- 또는
/opt/cisco/calvados/bin/nvram_dump -r ZAPDISK_CARD를 사용할 수 있습니다. 그러면 설정된 경우 출력 데이터가 1입니다.
- 향상된 운영(iOS XR 7.0.1부터 시작):
- zapdisk를 수행할 수 있는 모든 위치를 표시하려면
zapdisk 위치 표시
- 지정된 위치에서 작업을 시작하는 EXEC CLI:
zapdisk 시작 위치 <location>(예: zapdisk 시작 위치 0/1, zapdisk 시작 위치 모두)
- 잘못된 위치가 지정되면 시스템은 "INCORRECT LOCATION, zapdisk can not initiate on this node"로 응답합니다.
- zapdisk
시작 위치 all이 실행되면 작업이 완료되면 syslog 메시지가 표시됩니다.
4: 헤데라아제
이제 hderase 명령의 차례입니다. 다음은 Cisco ASR 9000 라우터에서 iOS XR 64비트 7.0.x에서 해독 절차가 작동하는 방법입니다.
1. 2개의 RP 라우터가 있는 경우 1개의 RP를 제거합니다. 단일 RP가 있는 경우 별도의 작업이 필요하지 않습니다. 콘솔 케이블을 RP에 연결합니다. 이 작업이 완료되면 RP/라우터를 다시 로드합니다.
sysadmin-vm:0_RSP0# hw-module location all reload
Tue Jun 16 04:27:50.284 UTC
Reload hardware module ? [no,yes] yes
result Card graceful reload request on all acknowledged.
sysadmin-vm:0_RSP0#
2. 부팅하는 동안 Ctrl-C를 누릅니다.
##########################################################
System Bootstrap, Version 22.24 [ASR9K x86 ROMMON],
Copyright (c) 1994-2019 by Cisco Systems, Inc.
Compiled on Tue 07/16/2019 15:41:43.70
BOARD_TYPE : 0x101014
Rommon : 22.24 (Primary)
Board Revision : 5
PCH EEPROM : 0.0
IPU FPGA(PL) : 0.20.1 (Primary)
IPU INIT(HW_FPD) : 2.5.1
IPU FSBL(BOOT.BIN) : 1.104.0
IPU LINUX(IMAGE.FPD) : 1.104.0
DRAX FPGA : 0.35.1
CBC0 : Part 1=54.10, Part 2=54.8, Act Part=1
Product Number : ASR-9901-RP
Chassis : ASR-9901
Chassis Serial Number : FOC2216NU0J
Slot Number : 0
Pxe Mac Address LAN 0 : b0:26:80:ac:81:a0
Pxe Mac Address LAN 1 : b0:26:80:ac:81:a1
==========================================================
Got EMT Mode as Disk Boot
Got Boot Mode as Disk Boot
Booting IOS-XR 64 bit Boot previously installed image - Press Ctrl-c to stop >>>>>>>>>>>>>>>>>>>>>>>> At this point, press CTRL-C
3. 이 bios 메뉴가 표시되면 옵션 1을 선택합니다.
Please select the operating system and the boot device:
1) Boot to ROMMON
2) IOS-XR 64 bit Boot previously installed image
3) IOS-XR 64 bit Mgmt Network boot using DHCP server
4) IOS-XR 64 bit Mgmt Network boot using local settings (iPXE)
(Press 'p' for more option)
Selection [1/2/3/4]: 1
Selected Boot to ROMMON, Continue ? Y/N: Y
Set CBC OS type IOS-XR 32 bit, EMT IOS-XR Boot to CBC
<SNIP>
##########################################################
System Bootstrap, Version 22.24 [ASR9K x86 ROMMON],
Copyright (c) 1994-2019 by Cisco Systems, Inc.
Compiled on Tue 07/16/2019 15:41:43.70
BOARD_TYPE : 0x101014
Rommon : 22.24 (Primary)
Board Revision : 5
PCH EEPROM : 0.0
IPU FPGA(PL) : 0.20.1 (Primary)
IPU INIT(HW_FPD) : 2.5.1
IPU FSBL(BOOT.BIN) : 1.104.0
IPU LINUX(IMAGE.FPD) : 1.104.0
DRAX FPGA : 0.35.1
CBC0 : Part 1=54.10, Part 2=54.8, Act Part=1
==========================================================
DRAM Frequency: 2133 MHz
DRAM Frequency: 2133 MHz
Memory Size: 32768 MB
Valid Flash Device returned -
Device Type 3
Id 1620512, ExtId 0, Size 8, VendorName Micron DeviceName N25Q128A
Memory Size: 32768 MB
MAC Address from cookie: b0:26:80:ac:81:a0
Board Type: 0x00101014
Chassis Type: 0x00ef1015
Slot Number: 00
Chassis Serial: FOC2216NU0J
Cbc uart base address = 3e8
rommon 1 >
rommon 1 >
4. 여기서 rommon 아래에 "hderase" 옵션이 표시됩니다(XR 버전 6.6.3 이전에는 제공되지 않음).
rommon 1 > priv
You now have access to the full set of monitor commands.
Warning: some commands will allow you to destroy your
configuration and/or system images and could render
the machine unbootable.
rommon 2 > ?
alias set and display aliases command
dumpcounters Dump RX/Tx marvell switch counters
bpcookie display contents of upper backplane cookie
call call a subroutine at address with converted hex args
cbc0_select Select CBC0 for CPU-CBC communication
<SNIP>
aldrin_init aldrin initialization
aldrin_cmd aldrin command execution
bios_usb_en bios usb stack en/dis
mvinit_strld Initialize Marvell 88E6122 Switch for LC use
hderase Erase all hard drive contents permanently >>>>>>>>>>>>>>>>>>>>>>>>>>>>
rommon 3 >
rommon 4 > hderase
SATA HD(0x4,0x0,0x0):
Model : SMART iSATA SHSLM32GEBCITHD02
Serial No : STP190505VU
Secure Erase Supported
Security State : Disable/Not Locked/Not Frozen
All the contents on this Drive will be Erased
Do you wish to continue?(Y/N)y
Erasing SATA HD(0x4,0x0,0x0)...
Erasing SATA HD(0x4,0x0,0x0) Completed
rommon 5 > reset -h
Starting ASR9k initialization ...
<SNIP>
Booting IOS-XR (32 bit Classic XR) - Press Ctrl-c to stop
요약
이 문서에서는 절차 및ios XR 소프트웨어를 실행하는 Cisco 라우터에서 안전한 데이터 삭제 및 공장 초기화 작업을 수행하기 위한 모범 사례. 컨피그레이션 정리 및 데이터 삭제에 사용할 수 있는 기본 명령의 목적, 용도 및 제한 사항, 특히 commit replace, factory-reset, zapdisk, hderase를 검토합니다.
이 문서에서는 모든 IOS XR 플랫폼에서 컨피그레이션을 지울 때 널리 지원되고 권장되는 commit replace를 사용하지만, factory-reset 및 zapdisk 명령은 플랫폼 및 버전별 동작을 가지고 있음을 강조합니다. 특히 일부 플랫폼(예: IOS XR 7.8.x가 포함된 NCS 5500 Series)에서는 공장 초기화가 지원되지 않으며 zapdisk에서 프로세스 충돌이 발생할 수 있습니다. 디바이스 가용성에 영향을 주지 않고 이후 소프트웨어 릴리스에서 해결됩니다.
모든 명령 및 절차는 랩 환경에서 검증되었으며 프로덕션 환경에서 적용하기 전에 신중하게 검토할 것을 권장합니다. 이 문서에서는 명령 사용법, 문제 해결, 추가 기술 지원 및 문서화에 대한 참조를 제공합니다.
피드백