NXOS - De inhoud van de schijf veilig wissen

Inleiding

Dit document beschrijft hoe u de schijf veilig kunt wissen van een Cisco Nexus switch die gebruik maakt van standaard Linux-hulpprogramma’s.  Dit is noodzakelijk voor bepaalde militaire en overheidsklanten die apparatuur van een beveiligde zone naar een niet-beveiligde zone verplaatsen, of voor elke andere klant die aan de nalevingsvereisten voldoet om apparatuur uit hun locatie te verplaatsen.

Achtergrondinformatie

Afhankelijk van de vraag of de switch een SSD- of eUSB-station heeft, zijn er twee opties:

• Init-System wordt gebruikt op nieuwere switches met SSD's. Init-System gebruikt ATA Secure wissen om binaire 0s te schrijven naar alle sectoren van de drive.  
• Voor oudere model switches met eUSB-drives, kunt u ook 0s schrijven naar alle sectoren van de drive, met behulp van de Zero-Byte Wissen methode.

De standaardhulpprogramma’s die in de gedocumenteerde procedure worden gebruikt, maken gebruik van een reeks opdrachten die de gegevens op de opslagschijf veilig vernietigen en in de meeste gevallen het moeilijk of onmogelijk maken om de gegevens te herstellen.

Deze handleiding leidt u door beide processen met Cisco Nexus 3000 Series switches, Cisco Nexus 5000 Series switches, Cisco Nexus 9000 Series switches, Cisco Nexus 7000 Series switches en Cisco MDS Series switches in het achterhoofd, maar werkt voor de meeste andere Cisco Nexus switches, mits u init-systeem of Bash toegang hebt.  Als de switch of softwarerelease die u gebruikt geen ondersteuning heeft om feature bash toegang te geven tot de Bash shell, open een serviceaanvraag met Cisco TAC om hulp te krijgen bij het gebruik van een debug plugin voor deze procedure.

Hoe de geschikte procedure voor jezelf te bepalen?

als uw PID een waarde van 0 teruggeeft, gebruikt het systeem een SSD en kan de Init-System methode gebruiken om het station te wissen.

Als uw PID een waarde van 1 teruggeeft, gebruikt het systeem een eUSB-station en moet u de Zero-Byte Wissen methode gebruiken.

F340.23.13-C3064PQ-1# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
F340.23.13-C3064PQ-1(config)# feature bash-shell
F340.23.13-C3064PQ-1(config)#
F340.23.13-C3064PQ-1(config)# exit
F340.23.13-C3064PQ-1# run bash
bash-4.2$ cat /sys/block/sda/queue/rotational
1
bash-4.2$

Nadat de vorige procedure is uitgevoerd en als het nog steeds niet duidelijk is welk type station in uw systeem staat en welke procedure moet worden gebruikt om de inhoud van de schijf veilig te wissen, opent u een serviceaanvraag met Cisco TAC.

Voorbereiding

Voordat u uw station wast, moet u de volgende zaken hebben:

1. Console-toegang tot de switch .
2. Toegang tot een TFTP-server via de management0-interface - dat is nodig om een back-up te maken van de huidige configuratie en vervolgens het besturingssysteem te herstellen.
3. Een back-up van de lopende-configuratie en andere bestanden die u wilt opslaan van het systeem offline als ze worden vernietigd in dit proces!

Opmerking: Het is sterk aan te raden om deze procedure uit te voeren op onderdelen die niet meer in productie zijn of in productie-chassis zijn geïnstalleerd. De apparaten of onderdelen moeten worden verplaatst naar een niet-productie-omgeving voordat deze procedure wordt uitgevoerd om onbedoelde netwerkverstoringen te voorkomen.

Init-System procedure gebruiken op Switches met SSD

Opmerking: Wanneer u deze procedure op een Supervisor binnen een modulaire switch uitvoert, wordt aanbevolen om alleen de Supervisor te hebben die u van plan bent de procedure in het systeem te installeren.

1. Opnieuw laden of stroomkringloop van de switch terwijl deze via de console is aangesloten.
   
   
2. Tijdens het opstarten van de switch kunt u CTRL-C gebruiken om de switch te breken in de melding loader>.
   
   
3. Voer in de prompt loader> cmdline recovery mode=1 in.  Dit voorkomt dat de switch opstart via de switch(boot)# prompt:
   
   

   loader > cmdline recoverymode=1 

4. Start de opstartprocedure met boot bootflash:<nxos_filename.bin>.
   
   

   loader > boot bootflash:nxos.7.0.3.I7.8.bin

5. De switch start op vanuit de switch(boot)# prompt.  Bij deze prompt schrijven, 0's naar alle blokken in nvram, behalve de licentielijsten, met behulp van duidelijke nvram CLI en in het systeem CLI.

   Opmerking: deze test is uitgevoerd op een N9K-C9372TX-E met een Intel Core i3-CPU bij 2,50 GHz en een 110G SSD.  De totale tijd voor het init systeem nam ~8 seconden:

   switch(boot)# clear nvram
   switch(boot)# init system 
   This command is going to erase your startup-config, licenses as well as the contents of your bootflash:.
   Do you want to continue? (y/n)  [n] y

6. Zodra stap 5 is voltooid, laadt u de switch opnieuw:
   
   

   switch(boot)# reload
   This command will reboot this supervisor module. (y/n) ? y

Gebruik de Add Procedure op Switches/Supervisors/Systeemcontrollers met eUSB

1. Log in op de beheerdersaccount van de switch via de consolepoort.

Opmerking: Wanneer u deze procedure op een Supervisor binnen een modulaire switch uitvoert, wordt aanbevolen om alleen de Supervisor te hebben die u van plan bent uit te voeren de procedure die in het systeem is geïnstalleerd.

2. Schakel functie bash-shell van de configuratiemodus in en voer de Bash-prompt in met alleen run bash (N3K/9K).  Andere Cisco Nexus switches hebben een debug plugin nodig om toegang te krijgen tot Bash).

F340.23.13-C3064PQ-1# config terminal
F340.23.13-C3064PQ-1(config)# feature bash-shell
F340.23.13-C3064PQ-1(config)# exit
F340.23.13-C3064PQ-1# run bash
bash-4.2$

N7K-1# load n7000-s2-debug-sh.7.2.1.D1.1.gbin
Loading plugin version 7.2(1)D1(1)
###############################################################
  Warning: debug-plugin is for engineering internal use only!
  For security reason, plugin image has been deleted.
###############################################################
Successfully loaded debug-plugin!!!
Linux(debug)# 

3. Verkrijg toegang tot de wortel met sudo su -

Opmerking: Deze stap kan worden overgeslagen voor Cisco Nexus 7000 Series switches die voor deze procedure een debug-plug-in gebruiken.

bash-4.2$ sudo su -
root@F340# 

4. Als u deze procedure uitvoert op een Systeemcontroller die is geïnstalleerd in een Nexus 9000 Series Switch, moet u zich op afstand aanmelden bij het sleufnummer waarop u deze procedure wilt uitvoeren.  Bijvoorbeeld, hier wordt het gedaan voor de Systeemcontroller in sleuf 29:

N9K-EOR# run bash
bash-4.2$ sudo su -
root@N9K-EOR#rlogin lc29
root@sc29:~# 

5. Controleer de blokgrootte van elke schijf met fdisk -l.  Op een N3K-C3064PQ-10X heeft het alleen /dev/sda @ 512 bytes blokgrootte, zie hier:

Opmerking: Op sommige Cisco Nexus-switches kan er meer dan één schijf zijn. Hiermee moet rekening worden gehouden bij het uitvoeren van de handeling. Bijvoorbeeld N7K-SUP2 is er /dev/sda, /dev/sdb, /dev/sdc/, /dev/md2, /dev/md3, /dev/md4, /dev/md5, en /dev/md6. U moet de dd-handeling op elk van deze uitvoeren om de beveiligde wisprocedure correct te voltooien.

Opmerking: Op Cisco Nexus 9000 Series switches heeft de systeemcontroller /dev/mtdblock0, /dev/mtdblock1, /dev/mtdbloc2, /dev/mtdblock3, /dev/mtdblock4, /dev/mtdblock5, en /dev/mtdblock6.  U moet de bewerking Add op elk van deze apparaten uitvoeren om de beveiligde wisprocedure goed te kunnen voltooien.

root@F340# fdisk -l

Disk /dev/sda: 2055 MB, 2055208960 bytes
64 heads, 62 sectors/track, 1011 cylinders
Units = cylinders of 3968 * 512 = 2031616 bytes
Disk identifier: 0x8491e758

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1               1           5        9889   83  Linux
/dev/sda2               6          45       79360    5  Extended
/dev/sda3              67        1011     1874880   83  Linux
/dev/sda4              46          66       41664   83  Linux
/dev/sda5               6          26       41633   83  Linux
/dev/sda6              27          45       37665   83  Linux

6. Schrijf een nul-byte aan elke sector op de schijf.

Opmerking: Deze test werd uitgevoerd op een N3K-C3064PQ-10X met een Intel Celeron CPU P4505 @1.87 GHz en 13G eUSB het Zero-Byte proces duurde ~ 501 seconden.

root@F340# dd if=/dev/zero of=/dev/sda bs=512

Opmerking: Verwacht wordt dat in deze stap op sommige onderdelen Kernel-berichten worden gegenereerd.

7. Zodra stap vijf is voltooid, laadt u de switch, supervisor of systeemcontroller opnieuw:

Opmerking: Als u de systeemcontroller in een modulaire switch van Cisco Nexus 9000 Series wilt laden, voert u de herlaadmodule <slot_number> CLI in.

bash-4.2$ exit
F340.23.13-C3064PQ-1# exit
F340.23.13-C3064PQ-1# reload
WARNING: There is unsaved configuration!!!
WARNING: This command will reboot the system
Do you want to continue? (y/n) [n] y

Gebruik dd om Nul-byte naar relevante partities op I/O-module te schrijven

1. Log in op de beheerdersaccount van de switch via de consolepoort.

2. Schakel functie bash-shell van de configuratiemodus in en voer de Bash-prompt in met run bash (alleen N3K/N9K).  Andere Cisco Nexus switches hebben een debug plugin nodig om toegang te krijgen tot Bash). Als u een debug-plugin nodig hebt, neem dan contact op met Cisco TAC en volg stap 3 in plaats van stap 2.

Opmerking: Om toegang te krijgen tot de LC/FM via Bash-prompt, voer rlogin lc# CLI in zodra je toegang hebt verkregen tot de root. Vervang nu de #in de CLI door het sleufnummer waarop u de bewerking wilt uitvoeren.

N7K-1# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
N7K-1(config)# feature bash-shell 
N7K-1(config)# exit
N7K-1# run bash 
bash-4.3$ 

N9K-EOR# run bash
bash-4.2$ sudo su -
root@N9K-EOR#rlogin lc22
root@fm22:~#

3. Zorg er voor dat de debug-plug-in voor Cisco Nexus-Switches die de debug-plug-in gebruiken voor de softwareversie die wordt uitgevoerd, wordt gekopieerd naar bootflash en laad de debug-plug-in op de module waarvoor u de beveiligde wisprocedure wilt uitvoeren voor:

Opmerking: Er is een aparte debug plugin-afbeelding te gebruiken voor Nexus 7000 Series Switches I/O-modules in tegenstelling tot de debug plugin-afbeelding beschikbaar gesteld voor Supervisor-modules. Gebruik LC-afbeelding voor de softwarerelease die op de switch wordt uitgevoerd.

switch# attach module 3
Attaching to module 3 ...
To exit type 'exit', to abort type '$.' 
module-3# load bootflash:dplug-lc_p476-bin.7.2.1.D1.1.bin
Name of debug-plugin from SUP: '/bootflash/dplug-lc_p476-bin.7.2.1.D1.1.bin'
Downloaded debug-plugin to LC: '/tmp/dplug-lc_p476-bin.7.2.1.D1.1.bin'
Loading plugin version 7.2(1)D1(1)
###############################################################
  Warning: debug-plugin is for engineering internal use only!
###############################################################
Warning: /debug-plugin/.autorun is using deprecated /bin/bash.  Please change to /bin/sh
Successfully loaded debug-plugin!!!
Linux(debug)# 

4. Bepaal vervolgens voor Cisco Nexus 7000 Series lijnkaarten waar /logflash/ en//min/pss op het bestandssysteem is gekoppeld.  Om dit te doen, gebruik de mount commando om te vinden waar /mnt/plog (logflash) en /mnt/pss verblijven.

Opmerking: Voor Cisco Nexus 9000 Series lijnkaarten voert u de handeling dd uit op /dev/mcblk0.

Opmerking: Voor Cisco Nexus 9000 Series fabric-modules voert u de bewerking dd uit op /tmpfs, /dev/root, /dev/zram0, /dev/loop0, /dev/loop1 en /unionfs.

Linux(debug)# mount | grep plog
/dev/mtdblock2 on /mnt/plog type jffs2 (rw,noatime)
Linux(debug)# 
Linux(debug)# mount | grep pss
tmpfs on /mnt/pss type tmpfs (rw,size=409600k,mode=777)
Linux(debug)# 

5. Nu bekend is dat /mnt/plog verblijft op /dev/mtdblock2 en /mnt/pss op /tmpfs, schrijft u Zero-Byte naar beide met behulp van dd commando, afsluiten van de debug plug-in en herladen van de module:

Linux(debug)# dd if=/dev/zero of=/dev/mtdblock2 bs=1024
dd: writing '/dev/mtdblock2': No space left on device
15361+0 records in
15360+0 records out
Linux(debug)# 
Linux(debug)# dd if=dev/zero of=/tmpfs bs=1024
dd: writing '/tmpfs': No space left on device
23781+0 records in
23780+0 records out
Linux(debug)# 
Linux(debug)# exit
####################################################################
  Warning: for security reason, please delete plugin image on sup.
####################################################################
module-3# exit
rlogin: connection closed.
switch# 
switch# reload module 3
This command will reload module 3. Proceed[y/n]?  [n] y
reloading module 3 ...
switch# 

De Switch herstellen en het besturingssysteem opnieuw installeren

Na het inschakelen van de switch wordt deze opgestart in de loader-prompt. 

Om van de loader>-prompt te kunnen herstellen, moet de switch volgens de volgende stappen worden opgestart met TFTP:

1. Stel een IP-adres in (of wijs dit toe) op de switch met behulp van de mgmt0-interface:
   
   

   loader > set ip <IP_address> <Subnet_Mask> 

2. Als de TFTP-server van waaruit u opstart in een andere subnetverbinding is, wijst u een standaardgateway toe aan de switch:

loader > set gw <GW_IP_Address> 

3. Voer het opstartproces uit.  De switch start op om de switch(boot) prompt te openen.

Opmerking: Voor switches die afzonderlijke systeem/kickstart-afbeeldingen gebruiken, zoals Cisco Nexus 5000 Series switches, Cisco Nexus 6000 Series switches en Cisco Nexus 7000 Series switches, moet u bij deze stap het kickstart-beeld opstarten.  Voor switches die één NXOS-afbeelding gebruiken, zoals Cisco Nexus 9000 Series switches en Cisco Nexus 3000 Series switches, moet u bij deze stap het ene beeld opstarten:

loader > boot tftp:/// 

4. Voer duidelijke nvram, Init-systeem en format bootflash uit:

Opmerking: Voor Cisco Nexus 5000 Series switches en Cisco Nexus 6000 Series switches is geen duidelijke netwerkmodule beschikbaar via switch(boot)# prompt.

switch(boot)# clear nvram
switch(boot)# init system 
This command is going to erase your startup-config, licenses as well as the contents of your bootflash:.
Do you want to continue? (y/n) [n] y
Initializing the system ...

<snip>

switch(boot)# format bootflash: 
This command is going to erase the contents of your bootflash:.
Do you want to continue? (y/n) [n] y
get_sup_active_slot failed with -1
Unknown card
Formatting bootflash:

<snip> 

5. Laad de switch opnieuw:

switch(boot)# reload 
This command will reboot this supervisor module. (y/n) ? y
ˇ
(c) Copyright 2011, Cisco Systems.
N3000 BIOS v.5.0.0, Tue 06/05/2018, 05:24 PM 

6. Stel een IP-adres in (of wijs dit toe) om de mgmt0-interface op de switch te activeren:

loader > set ip <IP_address> <Subnet_Mask> 

7. Als de TFTP-server van waaruit u opstart in een andere subnetverbinding is, wijst u een standaardgateway toe aan de switch:

loader > set gw <GW_IP_Address> 

8. Laad de switch opnieuw:

Opmerking: Deze stap (8) is NIET vereist wanneer deze procedure wordt uitgevoerd op Cisco Nexus 5000 Series switches, Cisco Nexus 6000 Series switches, Cisco Nexus 7000 Series switches Supervisor modules of Cisco Nexus 9000 Series switches Supervisor module.  Ga verder met stap 9 als u deze procedure uitvoert op een Cisco Nexus 5000 Series switches, Cisco Nexus 6000 Series switches, Cisco Nexus 7000 Series switch Supervisor module of Cisco Nexus 9000 Series switches Supervisor module.

loader> reboot 

9. Start het opstartproces.  De switch wordt opgestart om de melding switch(boot) te ontvangen.

Opmerking: Voor switches die afzonderlijke systeem/kickstart-afbeeldingen gebruiken, zoals Cisco Nexus 7000 Series switches, moet u bij deze stap het kickstart-beeld opstarten.  Voor switches die één NXOS-afbeelding gebruiken, zoals Cisco Nexus 9000 Series switches en Cisco Nexus 3000 Series switches, moet u bij deze stap het ene beeld opstarten:

loader > boot tftp://<server_IP>/<nxos_image_name>

10. Voor switches die afzonderlijke systeem/kickstart-afbeeldingen gebruiken, zoals de Cisco Nexus 5000 Series-switches, Cisco Nexus 6000 Series-switches en Cisco Nexus 7000 Series-switches, moet u bij deze stap enkele extra stappen ondernemen om de switch te starten.  U moet het IP-adres en subnetmasker voor beheer 0 configureren en de standaardgateway definiëren.  Zodra dit is voltooid, kunt u de kickstart en het systeembeeld naar de switch kopiëren en laden:

switch(boot)# config terminal
Enter configuration commands, one per line.  End with CNTL/Z.
switch(boot)(config)# interface mgmt 0
switch(boot)(config-if)# ip address 10.122.160.55 255.255.255.128
switch(boot)(config-if)# no shutdown
switch(boot)(config-if)# exit
switch(boot)(config)# 
switch(boot)(config)# ip default-gateway 10.122.160.1
switch(boot)(config)#
switch(boot)(config)# exit
switch(boot)#
switch(boot)#
switch(boot)# copy ftp: bootflash:
Enter source filename: 
Enter hostname for the ftp server: 
Enter username: 

Connected to x.x.x.x.
220 CALO Fileserver
331 Please specify the password.
Password: 
230 Login successful.



221 Goodbye.
Copy complete, now saving to disk (please wait)...
switch(boot)# 
switch(boot)# copy ftp: bootflash:
Enter source filename: 
Enter hostname for the ftp server: 
Enter username: 

Connected to x.x.x.x.
220 CALO Fileserver
331 Please specify the password.
Password: 
230 Login successful.



221 Goodbye.
switch(boot)#

11. Voer voor Cisco Nexus 5000 Series switches, Cisco Nexus 6000 Series switches en Cisco Nexus 7000 Series switch Supervisor modules vanuit de switch(boot)# prompt load bootflash:<system_image> in.  Hiermee is het opstartproces van de switch voltooid. 

switch(boot)# load bootflash:<system_image>

12. Nadat de systeemafbeelding is geladen, moet u de installatieprompt doorlopen om te beginnen met de configuratie van het apparaat volgens uw gewenste specificaties.