Inleiding

Dit document beschrijft veilige gegevenswissing en fabrieksresetbewerkingen op Cisco met IOS® XR, inclusief het gebruik van "factory-reset", "zapdisk" en "commit replace commands", bekende problemen en aanbevolen alternatieven.

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco IOS XR-softwarearchitectuur en -functionaliteit.
• Platformspecifiek gedrag van "factory-reset"- en "zapdisk"-opdrachten in IOS XR-omgevingen.
• Procedures voor het aanpassen van de beeldweergave van apparaten en configuratiebeheer op Cisco-routeringsplatforms.
• Inzicht in de analyse van kerndump en probleemoplossing in IOS XR.

Gebruikte componenten

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, zorg er dan voor dat u de potentiële impact van een opdracht begrijpt, informatie in dit document is gebaseerd op deze software- en hardwareversies:

Hardware:

• Cisco NCS 5500/5700-reeks routers
• Cisco NCS 540/560
• Cisco ASR9000/9900
• Cisco Router 8000

in Cisco IOS®-software

• IOS XR-softwareversies:
• 32-bits
• 64-bits
• XR7

• Lab-omgeving met standaardconfiguratie

• Recente wijzigingen: Uitvoering van
• "Locatie voor afsluiten fabrieksresetten"            
• "Zapdisk start location all"-opdrachten
• "Commit" vervangt het meest voorkomende commando.
• "Hderase" (modus Rommon)

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie:

De Cisco-platforms waarop IOS XR wordt uitgevoerd, worden vaak gebruikt in omgevingen waar een veilige verwijdering van configuratie en gevoelige gegevens vereist is, zoals tijdens het uit bedrijf nemen van het apparaat of het opschonen van het laboratorium.

Voor dergelijke bewerkingen zijn drie primaire opdrachten beschikbaar:

• Vervangen vastleggen: wordt gebruikt om de volledige actieve configuratie te vervangen door een nieuwe configuratie, waarbij de bestaande configuratie effectief wordt gewist. Het is een krachtig commando dat met voorzichtigheid moet worden gebruikt, omdat het service-beïnvloedend kan zijn. In wezen werkt het als een "schrijfwissing" gevolgd door het laden van een nieuwe configuratie.

• afsluitlocatie fabrieksinstellingen herstellen: allemaal bedoeld om het apparaat terug te zetten naar de fabrieksinstellingen door configuratie- en gebruikersgegevens op alle locaties te wissen.

• zapdisk start location all: Gebruikt om gebruikersgegevens veilig te wissen van opslagapparaten op alle locaties.

• Thderase: Met deze functie voor het wissen van schijfgeheugen worden de gegevens permanent verwijderd uit het schijfgeheugen van RSP's en lijnkaarten. De verwijderde gegevens kunnen niet worden hersteld.

Probleem. 

Er kunnen een paar hiaten zijn met betrekking tot de juiste manier om een configuratie-opruiming uit te voeren in verschillende smaken van XR. Momenteel zijn er verschillende opdrachten die ons helpen bij het opschonen van de configuratie. 

De primaire uitdaging in dit document is het veilig verwijderen van vertrouwelijke informatie van een Cisco NCS 5500 Series router met IOS XR 7.8.1 of 7.8.2. Het scenario schetst de waargenomen problemen en symptomen:

1: Fabrieksreset op alle locaties proberen

device# factory-reset shutdown location all

Voorbeeld uitvoer:

LC/0/1/CPU0:May 27 23:55:49.699 UTC: ssd_enc_server[255]: %OS-SSD_ENC-1-FACTORY_RESET : Factory reset CLI is not supported on this platform. Please use 'zapdisk' instead.
device#

Uitleg: De opdracht "factory-reset shutdown location all" wordt niet ondersteund op dit platform. Het systeem geeft de gebruiker de opdracht "zapdisk" als alternatief te gebruiken.

2: Zapdisk uitvoeren voor gegevenswissing

device# zapdisk start location all

Waargenomen symptoom: Tijdens de uitvoering werd een procescrash gedetecteerd en geregistreerd door het systeem. Het syslog-bericht is gegenereerd:

Sep 15 19:29:14.345 UTC: logger[69445]: %OS-SYSLOG-4-LOG_WARNING : PAM detected crash for zapdisk_client on 0_RP0_CPU0. All necessary files for debug have been collected and saved at 0/RP0/CPU0  : harddisk:/cisco_support/PAM-crash-xr_0_RP0_CPU0-zapdisk_client-2024Sep15-192913.tgz (Please copy tgz file out of the router and send to Cisco support. This tgz file will be removed after 14 days.)

Uitleg: De "zapdisk" operatie veroorzaakte een crash van het "zapdisk_client" proces, resulterend in een core dump wordt gegenereerd. De router bleef toegankelijk via SSH en er werd geen onmiddellijke onbeschikbaarheid van de hardware gemeld.

Stap 3: Core Dump Details

Core location: 0/RP0/CPU0:/misc/disk1
Core for pid = 61085 (zapdisk_client)
Core for process: zapdisk_client_61085.by.11.20240915-192911.xr-vm_node0_RP0_CPU0.dd2cd.core.gz
Core dump time: 2024-09-15 19:29:11.109818050 +0000

Process:
Core was generated by `zapdisk_client -a'.

Uitleg: De router heeft een kerndumpbestand gemaakt voor diagnostische doeleinden. Het bestand wordt lokaal opgeslagen en kan indien nodig worden geanalyseerd of geüpload naar Cisco-ondersteuning.

Oplossing

De optie weergeven die meestal het meest wordt gebruikt binnen alle XR-platforms.

1: Vervangen vastleggen

Deze opdracht wordt ondersteund op alle Cisco IOS XR-platforms en is momenteel de meest gebruikte en populaire. Om deze redenen is dit de aanbevolen procedure. Deze opdracht wordt gebruikt om de volledige actieve configuratie te vervangen of te verwijderen door een nieuwe configuratie. Deze bewerking wordt als service-beïnvloedend beschouwd omdat deze de operationele status van het apparaat aanzienlijk kan wijzigen, afhankelijk van de nieuwe configuratie die de bestaande vervangt.

Voorbeeld:

RP/0/RP0/CPU0:NCS-540-D#conf t
Thu Aug  7 23:30:45.335 UTC
RP/0/RP0/CPU0:NCS-540-D(config)#commit replace
Thu Aug  7 23:30:50.118 UTC

This commit will replace or remove the entire running configuration. This
operation can be service affecting.
Do you wish to proceed? [no]: y

2: Afsluitlocatie fabrieksreset alle

Dit geldt alleen voor Cisco 8000-routers.

De fabrieksreset-opdracht wist permanent alle gevoelige gegevens van de router. Dit is een kritieke beveiligingsstap die moet worden uitgevoerd voordat het apparaat wordt geretourneerd voor een RMA, wordt ontmanteld of eigendom wordt overgedragen. Gegevens worden uit deze mappen verwijderd:

• /misc/disk1
• /misc/scratch
• /ar/log
• /misc/config

Naast het verwijderen van de bestanden, kan het opslagapparaat worden overschreven met willekeurige gegevens om herstel moeilijk of vrijwel onmogelijk te maken.

Voorbeeld:

RP/0/RP1/CPU0:8808-A#factory-reset ?
  reload    Reload the location after performing factory-reset
  shutdown  Shutdown the location after performing factory-reset
RP/0/RP1/CPU0:8808-A#factory-reset reload ?
  location  Specify location
RP/0/RP1/CPU0:8808-A#factory-reset reload location ?
  0/1/CPU0    Fully qualified location specification
  0/2/CPU0    Fully qualified location specification
  0/RP1/CPU0  Fully qualified location specification
  WORD        Fully qualified location specification
  all         Show all locations
RP/0/RP1/CPU0:8808-A#factory-reset reload location

3: Zapdisk start locatie allemaal

De zapdisk-functie is beschikbaar vanaf versie 6.3.1 van eXR. De zapdisk-functie wordt geïmplementeerd voor fabrieksreset van de router door logische schijfvolumes op te schonen en gemeenschappelijke parameters op alle CPU-boards op de router opnieuw in te stellen. Deze functie is voornamelijk nodig wanneer u een defecte kaart (RSP's / LC's) vindt en deze moet worden verzonden voor RMA, waarbij de schijf / partities van de kaart moeten worden schoongemaakt. Het is vereist voor ASR9K-systemen met eXR.

Zapdisk-bewerkingen

• Gedrag na inschakelen: Nadat zapdisk is ingeschakeld op een CPU-kaart, kunnen de algemene variabelen op het bord worden gereset naar fabrieksinstellingen en kunnen logische schijfvolumes op het bord worden opgeruimd (inclusief bestanden die zijn opgeslagen onder / harddisk:) als de router / het bord opnieuw wordt geïmiteerd.
• Herlaadgedrag: Nadat zapdisk is ingeschakeld op CPU-boards, kan het herladen van de boards door fysieke OIR uit te voeren of CLI-opdrachten te gebruiken geen zapdisk-functies activeren.
• Belangrijke opmerking: laad de kaart (waar zapdisk wordt uitgevoerd) of het hele chassis niet opnieuw totdat de kaart uit de sleuf is verwijderd. Het opnieuw laden kan ertoe leiden dat de kaart opnieuw wordt opgestart en dat de schijf opnieuw wordt gevuld met gegevens die zojuist zijn gewist.
• CLI-opdrachten:
  • zapdisk-beheerset: zapdisk inschakelen op de router.
  • admin zapdisk unset: Schakel zapdisk uit op de router.

• Verificatie:
  • Voer de opdracht Calvados shell uit op een CPU-bord om de status van zapdisk te controleren: /opt/cisco/calvados/bin/nvram_dump –a
  • De uitvoer toont:
    • ZAPDISK_CARD=1 --- zapdisk is ingesteld (na instellen van zapdisk door beheerder)
    • ZAPDISK_CARD=0 --- zapdisk is uitgeschakeld (na verwijdering van zapdisk door beheerder)
  • Als alternatief kunt u /opt/cisco/calvados/bin/nvram_dump -r ZAPDISK_CARD gebruiken die aangeeft dat de uitvoergegevens 1 zijn indien ingesteld.

• Verbeterde bewerkingen (vanaf iOS XR 7.0.1):
  • Om alle locaties te tonen waar zapdisk uitgevoerd kan worden: laat zapdisk locaties zien
  • Een EXEC CLI om de actie op een aangewezen locatie te starten: zapdisk startlocatie <location> (bijvoorbeeld zapdisk startlocatie 0/1, zapdisk startlocatie allemaal)
    • Als een onjuiste locatie is opgegeven, reageert het systeem met "INCORRECT LOCATION, zapdisk kan niet worden gestart op deze node".
    • Wanneer zapdisk start location all wordt uitgevoerd, wordt een syslog bericht weergegeven zodra de actie is voltooid.

4: Vermindering

Nu is het de beurt voor de hderase-opdracht. Dit is hoe de hderase-procedure werkt op een iOS XR 64-bits 7.0.x in een Cisco ASR 9000-router:

1. Als het een 2 RP-router is, verwijdert u 1 RP. Als er één RP aanwezig is, is er geen actie vereist. Consolekabel aansluiten op de RP. Zodra dit is gebeurd, laadt u de RP / router opnieuw:

sysadmin-vm:0_RSP0# hw-module location all reload 
Tue Jun 16 04:27:50.284 UTC
Reload hardware module ? [no,yes] yes
result Card graceful reload request on all acknowledged.
sysadmin-vm:0_RSP0#

2. Druk tijdens het opstarten op CTRL-C:

##########################################################
System Bootstrap, Version 22.24 [ASR9K x86 ROMMON],
Copyright (c) 1994-2019 by Cisco Systems, Inc.
Compiled on Tue 07/16/2019 15:41:43.70
BOARD_TYPE : 0x101014 
Rommon : 22.24 (Primary) 
Board Revision : 5
PCH EEPROM : 0.0
IPU FPGA(PL) : 0.20.1 (Primary)
IPU INIT(HW_FPD) : 2.5.1
IPU FSBL(BOOT.BIN) : 1.104.0
IPU LINUX(IMAGE.FPD) : 1.104.0
DRAX FPGA : 0.35.1
CBC0 : Part 1=54.10, Part 2=54.8, Act Part=1 
Product Number : ASR-9901-RP
Chassis : ASR-9901
Chassis Serial Number : FOC2216NU0J
Slot Number : 0
Pxe Mac Address LAN 0 : b0:26:80:ac:81:a0
Pxe Mac Address LAN 1 : b0:26:80:ac:81:a1
==========================================================
Got EMT Mode as Disk Boot
Got Boot Mode as Disk Boot
Booting IOS-XR 64 bit Boot previously installed image - Press Ctrl-c to stop >>>>>>>>>>>>>>>>>>>>>>>> At this point, press CTRL-C

3. Selecteer optie 1 zodra u dit bios-menu ziet:

Please select the operating system and the boot device:
1) Boot to ROMMON
2) IOS-XR 64 bit Boot previously installed image
3) IOS-XR 64 bit Mgmt Network boot using DHCP server
4) IOS-XR 64 bit Mgmt Network boot using local settings (iPXE)
(Press 'p' for more option)
Selection [1/2/3/4]: 1
Selected Boot to ROMMON, Continue ? Y/N: Y
Set CBC OS type IOS-XR 32 bit, EMT IOS-XR Boot to CBC
<SNIP>
##########################################################
System Bootstrap, Version 22.24 [ASR9K x86 ROMMON],
Copyright (c) 1994-2019 by Cisco Systems, Inc.
Compiled on Tue 07/16/2019 15:41:43.70
BOARD_TYPE : 0x101014 
Rommon : 22.24 (Primary) 
Board Revision : 5
PCH EEPROM : 0.0
IPU FPGA(PL) : 0.20.1 (Primary)
IPU INIT(HW_FPD) : 2.5.1
IPU FSBL(BOOT.BIN) : 1.104.0
IPU LINUX(IMAGE.FPD) : 1.104.0
DRAX FPGA : 0.35.1
CBC0 : Part 1=54.10, Part 2=54.8, Act Part=1 
==========================================================
DRAM Frequency: 2133 MHz
DRAM Frequency: 2133 MHz
Memory Size: 32768 MB
Valid Flash Device returned - 
Device Type 3
Id 1620512, ExtId 0, Size 8, VendorName Micron DeviceName N25Q128A
Memory Size: 32768 MB 
MAC Address from cookie: b0:26:80:ac:81:a0
Board Type: 0x00101014
Chassis Type: 0x00ef1015
Slot Number: 00
Chassis Serial: FOC2216NU0J
Cbc uart base address = 3e8
rommon 1 >
rommon 1 >

4. Vanaf hier kunt u de optie "hderase" zien onder de rommon (dit was niet aanwezig vóór de XR versie 6.6.3):

rommon 1 > priv

You now have access to the full set of monitor commands.
Warning: some commands will allow you to destroy your
configuration and/or system images and could render
the machine unbootable.

rommon 2 > ?
alias set and display aliases command
dumpcounters Dump RX/Tx marvell switch counters
bpcookie display contents of upper backplane cookie
call call a subroutine at address with converted hex args
cbc0_select Select CBC0 for CPU-CBC communication
<SNIP>
aldrin_init aldrin initialization
aldrin_cmd aldrin command execution
bios_usb_en bios usb stack en/dis
mvinit_strld Initialize Marvell 88E6122 Switch for LC use
hderase Erase all hard drive contents permanently >>>>>>>>>>>>>>>>>>>>>>>>>>>>
rommon 3 >
rommon 4 > hderase
SATA HD(0x4,0x0,0x0):
Model : SMART iSATA SHSLM32GEBCITHD02
Serial No : STP190505VU
Secure Erase Supported
Security State : Disable/Not Locked/Not Frozen
All the contents on this Drive will be Erased
Do you wish to continue?(Y/N)y
Erasing SATA HD(0x4,0x0,0x0)...
Erasing SATA HD(0x4,0x0,0x0) Completed

rommon 5 > reset -h
Starting ASR9k initialization ...
<SNIP>
Booting IOS-XR (32 bit Classic XR) - Press Ctrl-c to stop

Samenvatting

In dit document worden de procedures enbest practices voor het veilig wissen van gegevens en fabrieksinstellingen op Cisco-routers met IOS XR-software. Het beoordeelt het doel, het gebruik en de beperkingen van de belangrijkste opdrachten die beschikbaar zijn voor het opschonen van de configuratie en het saneren van gegevens, met name commit replace, factory-reset, zapdisk en hderase.

Het document benadrukt dat hoewel commit replace breed wordt ondersteund en aanbevolen voor het wissen van de configuratie op alle IOS XR-platforms, de fabrieksreset en zapdisk-opdrachten platform- en versiespecifiek gedrag hebben. Met name op sommige platforms (bijvoorbeeld de NCS 5500-reeks met IOS XR 7.8.x) wordt fabrieksreset niet ondersteund en kan zapdisk procescrashes ervaren, hoewel deze geen invloed hebben op de beschikbaarheid van het apparaat en worden opgelost in latere softwarereleases.

Alle opdrachten en procedures zijn gevalideerd in een laboratoriumomgeving en Cisco raadt een zorgvuldige beoordeling aan voordat ze in productie worden toegepast. Het document bevat richtlijnen voor het gebruik van opdrachten, probleemoplossing en verwijzingen voor verdere technische ondersteuning en documentatie.