简介
本文档介绍使用IOS® XR的思科安全数据擦除和出厂重置操作,包括使用“factory-reset”、“zapdisk”和“commit replace commands”、已知问题和推荐的替代方案。
要求
Cisco 建议您了解以下主题:
- 思科IOS XR软件架构和操作。
- IOS XR环境中“factory-reset”和“zapdisk”命令的特定于平台的行为。
- 思科路由平台上的设备重新映像和配置管理程序。
- 了解IOS XR中的核心转储分析和故障排除。
使用的组件
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解任何命令的潜在影响,本文档中的信息基于以下软件和硬件版本:
Hardware:
- 思科NCS 5500/5700系列路由器
- 思科NCS 540/560
- 思科ASR9000/9900
- Cisco 路由器 8000
软件
- 最近的更改:执行
- "factory-reset shutdown location all"
- “zapdisk start location all”命令
- “commit replace”是最常见的命令。
- "Hderase"(ROMMON模式)
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息:
运行IOS XR的思科平台通常用于需要安全删除配置和敏感数据的环境,例如设备停用或实验室清理期间。
三种主要命令可用于此类操作:
- 提交替换:用于用新配置替换整个运行配置,有效清除现有配置。这是一个功能强大的命令,必须谨慎使用,因为它可能会影响服务。实质上,它就像一个“写擦除”,然后加载新的配置。
- factory-reset shutdown location all:旨在通过清除所有位置的配置和用户数据,将设备重置为出厂状态。
- zapdisk start location all: 用于安全地清除所有位置存储设备的用户数据。
- 高级:此擦除磁盘内存功能会永久删除RSP和线卡的磁盘内存中的数据。已擦除的数据不可恢复。
问题.
在跨不同形式的XR执行配置清理的正确方式方面可能存在一些差距。 目前,有几种命令可帮助我们执行配置清理。
本文档中涉及的主要挑战是从运行IOS XR 7.8.1或7.8.2的思科NCS 5500系列路由器中安全删除机密信息。场景概述了观察到的问题和症状:
1:正在尝试在所有位置重置工厂
device# factory-reset shutdown location all
示例输出:
LC/0/1/CPU0:May 27 23:55:49.699 UTC: ssd_enc_server[255]: %OS-SSD_ENC-1-FACTORY_RESET : Factory reset CLI is not supported on this platform. Please use 'zapdisk' instead.
device#
说明:此平台不支持“factory-reset shutdown location all”命令。系统指示用户使用“zapdisk”命令作为备用选项。
2:执行数据擦除的Zapdisk
device# zapdisk start location all
观察到的症状:在执行期间,系统检测到并记录了进程崩溃。系统日志消息已生成:
Sep 15 19:29:14.345 UTC: logger[69445]: %OS-SYSLOG-4-LOG_WARNING : PAM detected crash for zapdisk_client on 0_RP0_CPU0. All necessary files for debug have been collected and saved at 0/RP0/CPU0 : harddisk:/cisco_support/PAM-crash-xr_0_RP0_CPU0-zapdisk_client-2024Sep15-192913.tgz (Please copy tgz file out of the router and send to Cisco support. This tgz file will be removed after 14 days.)
说明:“zapdisk”操作触发“zapdisk_client”进程崩溃,导致生成核心转储。路由器仍然可通过SSH访问,并且没有立即报告硬件不可用。
步骤 3:核心转储详细信息
Core location: 0/RP0/CPU0:/misc/disk1
Core for pid = 61085 (zapdisk_client)
Core for process: zapdisk_client_61085.by.11.20240915-192911.xr-vm_node0_RP0_CPU0.dd2cd.core.gz
Core dump time: 2024-09-15 19:29:11.109818050 +0000
Process:
Core was generated by `zapdisk_client -a'.
说明:路由器创建了一个核心转储文件用于诊断目的。该文件存储在本地,如有需要,可用于分析或上传到思科支持部门。
解决方案
显示通常在所有XR平台中最常用的选项。
1:提交替换
所有思科IOS XR平台都支持此命令,目前使用最广泛、最流行。出于这些原因,这是推荐的步骤。此命令用于用新配置替换或删除整个运行配置。此操作被视为影响服务,因为它可能会根据新配置替换现有配置,显着改变设备的运行状态。
示例:
RP/0/RP0/CPU0:NCS-540-D#conf t
Thu Aug 7 23:30:45.335 UTC
RP/0/RP0/CPU0:NCS-540-D(config)#commit replace
Thu Aug 7 23:30:50.118 UTC
This commit will replace or remove the entire running configuration. This
operation can be service affecting.
Do you wish to proceed? [no]: y
2:出厂重置关闭位置all
这仅适用于Cisco 8000系列路由器。
factory reset命令会永久清除路由器上的所有敏感数据。这是将设备返回RMA、停用或转让所有权之前需要执行的重要安全步骤。数据从以下目录中删除:
- /misc/disk1
- /misc/scratch
- /ar/log
- /misc/config
除了删除文件外,还可以用随机数据覆盖存储设备,使恢复变得困难或几乎不可能。
示例:
RP/0/RP1/CPU0:8808-A#factory-reset ?
reload Reload the location after performing factory-reset
shutdown Shutdown the location after performing factory-reset
RP/0/RP1/CPU0:8808-A#factory-reset reload ?
location Specify location
RP/0/RP1/CPU0:8808-A#factory-reset reload location ?
0/1/CPU0 Fully qualified location specification
0/2/CPU0 Fully qualified location specification
0/RP1/CPU0 Fully qualified location specification
WORD Fully qualified location specification
all Show all locations
RP/0/RP1/CPU0:8808-A#factory-reset reload location
3:Zapdisk start location all
eXR 6.3.1版映像提供zapdisk功能。zapdisk功能通过清除磁盘逻辑卷和重置路由器上所有CPU主板上的rommon参数来实现路由器出厂重置。当您发现卡(RSP/LC)有故障并且需要为RMA发送该功能时,需要主要使用此功能,这需要清理卡的磁盘/分区。运行eXR的ASR9K系统需要此命令。
zapdisk操作
- 启用后的行为:在CPU主板上启用zapdisk后,如果路由器/主板重新映像,可以将主板上的rommon变量重置为出厂设置以及主板上要清理的磁盘逻辑卷(包括保存在
/harddisk:下的文件)。
- 重新加载行为:在CPU主板上启用zapdisk后,通过执行物理OIR或使用CLI命令重新加载主板无法触发zapdisk功能。
- 重要说明:请勿重新加载卡(执行zapdisk的位置)或整个机箱,直到将卡从插槽中取出。重新加载可能导致卡重新引导,并且磁盘重新填充刚刚擦除的数据。
- CLI命令:
管理zapdisk集:在路由器上启用zapdisk。admin zapdisk unset:在路由器上禁用zapdisk。
- 验证:
- 在CPU主板上执行Calvados shell命令以验证zapdisk的状态:
/opt/cisco/calvados/bin/nvram_dump -a
- 输出显示:
ZAPDISK_CARD=1 — 设置zapdisk(在设置admin zapdisk之后)ZAPDISK_CARD=0 — 未设置zapdisk(在取消设置admin zapdisk之后)
- 或者,您可以使用
/opt/cisco/calvados/bin/nvram_dump -r ZAPDISK_CARD,如果设置输出数据为1,则此项可用。
- 增强型操作(从iOS XR 7.0.1开始):
- 显示可以执行Zapdisk的所有位置:
show zapdisk locations
- EXEC CLI在指定位置启动操作:
zapdisk start location <location>(例如,zapdisk start location 0/1、zapdisk start location all)
- 如果指定的位置不正确,系统将以“INCORRECT LOCATION, zapdisk cannot be initiated on this node”进行响应。
- 当执行
zapdisk start location all时,操作完成后会显示系统日志消息。
4:Hderase
现在轮到执行高级命令了。以下是在Cisco ASR 9000路由器中iOS XR 64位7.0.x的硬件过程:
1.如果是2个RP路由器,请删除1个RP。如果存在单个RP,则无需任何操作。将控制台电缆连接到RP。完成此操作后,重新加载RP/路由器:
sysadmin-vm:0_RSP0# hw-module location all reload
Tue Jun 16 04:27:50.284 UTC
Reload hardware module ? [no,yes] yes
result Card graceful reload request on all acknowledged.
sysadmin-vm:0_RSP0#
2.启动时,按CTRL-C:
##########################################################
System Bootstrap, Version 22.24 [ASR9K x86 ROMMON],
Copyright (c) 1994-2019 by Cisco Systems, Inc.
Compiled on Tue 07/16/2019 15:41:43.70
BOARD_TYPE : 0x101014
Rommon : 22.24 (Primary)
Board Revision : 5
PCH EEPROM : 0.0
IPU FPGA(PL) : 0.20.1 (Primary)
IPU INIT(HW_FPD) : 2.5.1
IPU FSBL(BOOT.BIN) : 1.104.0
IPU LINUX(IMAGE.FPD) : 1.104.0
DRAX FPGA : 0.35.1
CBC0 : Part 1=54.10, Part 2=54.8, Act Part=1
Product Number : ASR-9901-RP
Chassis : ASR-9901
Chassis Serial Number : FOC2216NU0J
Slot Number : 0
Pxe Mac Address LAN 0 : b0:26:80:ac:81:a0
Pxe Mac Address LAN 1 : b0:26:80:ac:81:a1
==========================================================
Got EMT Mode as Disk Boot
Got Boot Mode as Disk Boot
Booting IOS-XR 64 bit Boot previously installed image - Press Ctrl-c to stop >>>>>>>>>>>>>>>>>>>>>>>> At this point, press CTRL-C
3.看到此bios菜单后,选择选项1:
Please select the operating system and the boot device:
1) Boot to ROMMON
2) IOS-XR 64 bit Boot previously installed image
3) IOS-XR 64 bit Mgmt Network boot using DHCP server
4) IOS-XR 64 bit Mgmt Network boot using local settings (iPXE)
(Press 'p' for more option)
Selection [1/2/3/4]: 1
Selected Boot to ROMMON, Continue ? Y/N: Y
Set CBC OS type IOS-XR 32 bit, EMT IOS-XR Boot to CBC
<SNIP>
##########################################################
System Bootstrap, Version 22.24 [ASR9K x86 ROMMON],
Copyright (c) 1994-2019 by Cisco Systems, Inc.
Compiled on Tue 07/16/2019 15:41:43.70
BOARD_TYPE : 0x101014
Rommon : 22.24 (Primary)
Board Revision : 5
PCH EEPROM : 0.0
IPU FPGA(PL) : 0.20.1 (Primary)
IPU INIT(HW_FPD) : 2.5.1
IPU FSBL(BOOT.BIN) : 1.104.0
IPU LINUX(IMAGE.FPD) : 1.104.0
DRAX FPGA : 0.35.1
CBC0 : Part 1=54.10, Part 2=54.8, Act Part=1
==========================================================
DRAM Frequency: 2133 MHz
DRAM Frequency: 2133 MHz
Memory Size: 32768 MB
Valid Flash Device returned -
Device Type 3
Id 1620512, ExtId 0, Size 8, VendorName Micron DeviceName N25Q128A
Memory Size: 32768 MB
MAC Address from cookie: b0:26:80:ac:81:a0
Board Type: 0x00101014
Chassis Type: 0x00ef1015
Slot Number: 00
Chassis Serial: FOC2216NU0J
Cbc uart base address = 3e8
rommon 1 >
rommon 1 >
4.在此处,您可以在rommon下看到“hderase”选项(在XR 6.6.3版之前不存在该选项):
rommon 1 > priv
You now have access to the full set of monitor commands.
Warning: some commands will allow you to destroy your
configuration and/or system images and could render
the machine unbootable.
rommon 2 > ?
alias set and display aliases command
dumpcounters Dump RX/Tx marvell switch counters
bpcookie display contents of upper backplane cookie
call call a subroutine at address with converted hex args
cbc0_select Select CBC0 for CPU-CBC communication
<SNIP>
aldrin_init aldrin initialization
aldrin_cmd aldrin command execution
bios_usb_en bios usb stack en/dis
mvinit_strld Initialize Marvell 88E6122 Switch for LC use
hderase Erase all hard drive contents permanently >>>>>>>>>>>>>>>>>>>>>>>>>>>>
rommon 3 >
rommon 4 > hderase
SATA HD(0x4,0x0,0x0):
Model : SMART iSATA SHSLM32GEBCITHD02
Serial No : STP190505VU
Secure Erase Supported
Security State : Disable/Not Locked/Not Frozen
All the contents on this Drive will be Erased
Do you wish to continue?(Y/N)y
Erasing SATA HD(0x4,0x0,0x0)...
Erasing SATA HD(0x4,0x0,0x0) Completed
rommon 5 > reset -h
Starting ASR9k initialization ...
<SNIP>
Booting IOS-XR (32 bit Classic XR) - Press Ctrl-c to stop
摘要
本文档概述了流程和在运行IOS XR软件的思科路由器上执行安全数据擦除和出厂重置操作的最佳实践。它检查可用于配置清理和数据清理的主要命令的用途、用途和限制,具体包括commit replace、factory-reset、zapdisk和hderase。
本文档重点介绍,虽然广泛支持并建议清除所有IOS XR平台上的配置,但建议使用commit replace命令,factory-reset和zapdisk命令具有平台和版本特定的行为。特别要注意的是,在某些平台(例如,带IOS XR 7.8.x的NCS 5500系列)上,factory-reset不受支持,并且zapdisk可能会发生进程崩溃,但这些不会影响设备可用性,在以后的软件版本中已解决。
所有命令和程序均在实验室环境中经过验证,思科建议在将其应用于生产之前对其进行仔细检查。本文档提供有关命令使用、故障排除的指导,并提供参考以进一步获取技术支持和文档。
反馈