ASR5x00 StarOS 릴리스 20 이상에서 .chassisid 파일(섀시 ID) 백업

소개

이 문서에서는 StarOS 릴리스 20 이상에서 .chassisidfile(섀시 ID)을 백업하는 방법에 대해 설명합니다.

배경 정보

섀시 키는 컨피그레이션 파일에서 암호화된 비밀번호를 암호화하고 해독하는 데 사용됩니다.동일한 섀시 키 값으로 두 개 이상의 섀시가 구성된 경우 동일한 섀시 키 값을 공유하는 섀시에 의해 암호화된 비밀번호를 해독할 수 있습니다.이에 대한 결과로서 지정된 섀시 키 값은 다른 섀시 키 값으로 암호화된 비밀번호를 해독할 수 없습니다.

섀시 키는 파일에 저장되고 컨피그레이션 파일에서 중요한 데이터(예: 비밀번호, 비밀)를 보호하기 위한 기본 키로 사용되는 섀시 ID를 생성하는 데 사용됩니다.

릴리스 15.0 이상의 경우 섀시 ID는 섀시 키의 SHA256 해시입니다.섀시 키는 CLI 명령 또는 빠른 설정 마법사를 통해 사용자가 설정할 수 있습니다.섀시 ID가 없는 경우 로컬 MAC 주소를 사용하여 섀시 ID를 생성합니다.

릴리스 19.2 이상의 경우 사용자는 빠른 설정 마법사 또는 CLI 명령을 통해 섀시 키를 명시적으로 설정해야 합니다.설정되지 않은 경우 로컬 MAC 주소를 사용하는 기본 섀시 ID가 생성됩니다.섀시 키(섀시 ID)가 없는 경우, 저장된 컨피그레이션 파일에는 중요한 데이터가 표시되지 않습니다.

섀시 ID는 사용자가 입력한 섀시 키 및 32바이트 보안 임의 번호의 SHA256 해시(base36 형식으로 인코딩됨)입니다.이를 통해 섀시 키와 섀시 ID의 키 보안 엔트로피가 32바이트로 유지됩니다.

섀시 ID가 구성 파일의 민감한 데이터에 대해 암호화 및 암호 해독을 사용할 수 없는 경우

문제/장애:동일한 노드에서 동일한 컨피그레이션에 대해 실행할 수 있는 섀시 키 값을 백업할 수 없습니다.

릴리스 19.2부터 시작된 동작의 변경으로 인해 동일한 노드에서 동일한 컨피그레이션을 실행할 수 있도록 섀시 키 값을 더 이상 백업할 수 없습니다.

또한 구성된 섀시 키에 연결된 임의의 32바이트 번호로 인해 동일한 섀시 키를 기반으로 생성된 섀시 ID는 항상 다릅니다.

따라서 cli 명령 chassis keycheck는 동일한 이전 키를 입력하더라도 항상 음수를 반환하므로 지금 숨겨집니다.

저장된 컨피그레이션에서 StarOS 시스템을 복구하려면(예: /플래시 드라이브의 모든 내용이 손실된 경우) .chasisid(StarOS에서 섀시 ID를 저장하는 경우)를 백업해야 합니다.

섀시 ID는 StarOS 하드 드라이브의 /flash/.chassisid 파일에 저장됩니다.이 파일을 백업하는 가장 쉬운 방법은 일부 파일 전송 프로토콜을 통해 백업 서버로 전송하는 것입니다.

  

.chassisid 파일은 숨겨진 파일이며 최신 릴리스가 있는 경우 숨겨진 파일로 파일 관리 작업을 수행할 수 없습니다.예를 들어 이 오류는 릴리스 20.0.1과 함께 표시됩니다.

  

[local]sim-lte# copy /flash/.chassisid /flash/backup
Failure: source is not valid.
[local]sim-lte#

또는:

[local]sim-lte# show file url /flash/.chassisid
Failure: file is not valid.

솔루션

이 절차를 통해 이 파일에 액세스하는 방법은 여전히 있습니다.

1단계.chassisid 파일이 /flash/.chassisid에 있는지 확인합니다.

[local]sim-lte# dir /flash/.chassisid
-rw-rw-r--    1 root     root           53 Jun 23 10:59 /flash/.chassisid
8       /flash/.chassisid
Filesystem           1k-blocks      Used Available Use% Mounted on
/var/run/storage/flash/part1   523992    192112    331880  37% /mnt/user/.auto/onboard/flash

2단계. 숨김 모드로 로그인합니다.

[local]sim-lte# cli test-commands 
Password:
Warning: Test commands enables internal testing and debugging commands
 USE OF THIS MODE MAY CAUSE SIGNIFICANT SERVICE INTERRUPTION
[local]sim-lte# 

참고:숨겨진 모드 비밀번호가 구성되지 않은 경우 다음 방법으로 구성합니다.

[local]sim-lte(config)# tech-support test-commands password <password>

3단계. 디버그 셸을 시작합니다.

[local]sim-lte# debug shell
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Cisco Systems QvPC-SI Intelligent Mobile Gateway
[No authentication; running a login shell]

4단계. /flash 디렉토리로 이동합니다.파일이 있는지 확인합니다.

sim-lte:ssi# 
sim-lte:ssi# ls
bin cdrom1 hd-raid param rmm1 tmp usr
boot dev include pcmcia1 sbin usb1 var
boot1 etc lib proc sftp usb2 vr
boot2 flash mnt records sys usb3
sim-lte:ssi# 
sim-lte:ssi# cd flash
sim-lte:ssi# ls -a
. ldlinux.sys restart_file_cntr.txt
.. module.sys sftp
.chassisid patch staros.bin
crashlog2 persistdump syslinux.ban
crsh2 rc.local syslinux.cfg

5단계. 숨겨진 파일을 숨기지 않은 파일로 복사합니다.

sim-lte:ssi# cp .chassisid chassisid.backup
sim-lte:ssi# 
sim-lte:ssi# 
sim-lte:ssi# ls
chassisid.backup patch staros.bin
crashlog2 persistdump syslinux.ban
crsh2 rc.local syslinux.cfg
ldlinux.sys restart_file_cntr.txt
module.sys sftp

6단계. 디버그 셸을 종료합니다.아무 문제 없이 생성된 백업 파일을 전송할 수 있어야 합니다.

sim-lte:ssi# exit
Connection closed by foreign host.
[local]sim-lte# 
[local]sim-lte# copy /flash/chassisid.backup /flash/chasisid.backup2
********************************************************************************
Transferred 53 bytes in 0.003 seconds (17.3 KB/sec)
[local]sim-lte# 
[local]sim-lte# 
[local]sim-lte# show file url /flash/chassisid.backup
1ke03dqfdb9dw3kds7vdslvuls3jnop8yj41qyh29w7urhno4ya6

Ultra-M 업그레이드 절차 업데이트

N5.1을 N5.5로 업그레이드하면 vpc 인스턴스 및 OSP가 제거됩니다.업그레이드 절차를 시작하기 전에 vPC 컨피그레이션 파일과 섀시 ID를 다시 사용하려면 먼저 백업해야 합니다.

1단계. chassisid 및 마지막 구성 파일을 백업합니다.

bash-2.05b# ls -alrt
-rwxrwxr-x 1 root root 53 Jul 11 14:43 .chassisid
-rwxrwxr-x 1 root root 381973 Jul 11 14:41 GGN-2017-07-28.cfg


from copied file :

cpedrode@CPEDRODE-xxxxx:~/Desktop$ more 2017-07-28.chassis-id 
1swbwpd8fd8ca3kf33kn6qxb2h33ihfkqu1tu7x1ndf82znag1b5^@

참고: 구성 파일에는 .chassisid에서 파생된 키가 있습니다. 

[local]GGN# show configuration url /flash/GGN-2017-07-28.cfg | more
Monday July 11 14:59:34 CEST 2016
#!$$ StarOS V21.1 Chassis c95bf13f030f6f68cae4e370b2d2482e
config

2단계. Ultra-M 업그레이드 진행 

3단계. 시스템이 업그레이드되고 StarOS vpc CF 부팅이 완료되면 chassisid(일반 파일) 및 구성 파일(올바른 O&M ip 주소도 변경되었는지 확인)을 /flash/sftp(StarOS >R20)로 복사합니다.

4단계. "test-command" 모드에서 숨겨진 기본 .chassisid 파일을 /flash에서 백업하고 삭제합니다.

5단계. /flash/sftp의 chassisid 파일을 숨김 모드에서 /flash로 ".chassisid"로 복사합니다. 구성 파일도 복사합니다.

참고:파생된 키 발급 cli - show configuration url /flash/xxxxxx.cfg | 백업 구성 파일과 비교

6단계. 새 구성 파일을 가리키는 부팅 우선순위를 추가합니다.

참고: 이 시점에서 StarOS는 다음과 같은 오류를 표시합니다.

[local]GGN(config)# boot system priority 6 image /flash/staros.bin config /flash/GGN-2017-07-28.cfg
Monday July 28 08:45:28 EDT 2017
Warning: Configuration was generated using a different chassis key, some encrypted information may not 
be valid

올바른 단계를 수행한 경우, 백업 구성 파일과 같은 섀시 파생 키가 있고 백업 섀시 ID와 같은 chassisid가 있는 구성 파일이 있습니다.

섀시 ID 파일을 볼 때 PS1 프롬프트가 추가됩니다.

bash-2.05b# cat .chassisid
1swbwpd8fd8ca3kf33kn6qxb2h33ihfkqu1tu7x1ndf82znag1b5bash-2.05b#

7단계. vPC 재부팅  

이때 시스템을 재부팅해야 하며 백업 구성 파일의 로그인 자격 증명을 사용할 수 있습니다.