简介
本文档介绍如何在StarOS 20及更高版本上备份.chassisidfile(机箱ID)。
背景信息
机箱密钥用于加密和解密配置文件中的加密密码。如果两个或多个机箱配置了相同的机箱密钥值,则任何共享相同机箱密钥值的机箱都可以解密加密密码。因此,给定机箱密钥值无法解密使用不同机箱密钥值加密的密码。
机箱密钥用于生成存储在文件中的机箱ID,并用作保护配置文件中敏感数据(如密码和机密)的主键
对于版本15.0及更高版本,机箱ID是机箱密钥的SHA256哈希。机箱密钥可由用户通过CLI命令或快速设置向导进行设置。如果机箱ID不存在,则使用本地MAC地址生成机箱ID。
对于版本19.2及更高版本,用户必须通过快速设置向导或CLI命令显式设置机箱密钥。如果未设置,则生成使用本地MAC地址的默认机箱ID。如果没有机箱密钥(因此也没有机箱ID),敏感数据不会显示在保存的配置文件中。
机箱ID是用户输入的机箱密钥加上一个32字节安全随机数的SHA256散列(以base36格式编码)。这确保机箱密钥和机箱ID具有32字节熵,以确保密钥安全。
如果机箱ID不可用,则配置文件中敏感数据的加密和解密不起作用。
问题:不足以备份机箱密钥值,以便在同一节点上为相同配置运行。
由于从版本19.2开始的行为发生变化,备份机箱密钥值在同一节点上运行相同配置已不足够。
此外,由于随机32字节数附加到已配置的机箱密钥,因此始终会根据相同的机箱密钥生成不同的机箱ID。
这就是cli命令机箱密钥检查现在隐藏的原因,因为即使输入了相同的旧密钥,它也始终返回负值。
要能够从保存的配置(例如,当/闪存驱动器的所有内容丢失时)恢复StarOS计算机,需要备份.chassisid(其中StarOS存储机箱ID)
机箱ID存储在StarOS硬盘驱动器上的/flash/.chassisid文件中。备份此文件最简单的方法是通过某种文件传输协议将其传输到备份服务器:
您看到.chassisid文件是隐藏的文件,而对于较新的版本,无法对隐藏文件执行文件管理操作。例如,版本20.0.1显示此错误:
[local]sim-lte# copy /flash/.chassisid /flash/backup
Failure: source is not valid.
[local]sim-lte#
或者:
[local]sim-lte# show file url /flash/.chassisid
Failure: file is not valid.
解决方案
通过以下过程访问此文件的方法仍然有:
步骤1.确保。chassisid文件在/flash/.chassisid中存在。
[local]sim-lte# dir /flash/.chassisid
-rw-rw-r-- 1 root root 53 Jun 23 10:59 /flash/.chassisid
8 /flash/.chassisid
Filesystem 1k-blocks Used Available Use% Mounted on
/var/run/storage/flash/part1 523992 192112 331880 37% /mnt/user/.auto/onboard/flash
步骤2.登录到隐藏模式。
[local]sim-lte# cli test-commands
Password:
Warning: Test commands enables internal testing and debugging commands
USE OF THIS MODE MAY CAUSE SIGNIFICANT SERVICE INTERRUPTION
[local]sim-lte#
注意:如果未配置隐藏模式密码,请使用以下配置:
[local]sim-lte(config)# tech-support test-commands password <password>
步骤3.启动调试外壳。
[local]sim-lte# debug shell
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Cisco Systems QvPC-SI Intelligent Mobile Gateway
[No authentication; running a login shell]
步骤4.在/flash目录中移动。验证文件是否在。
sim-lte:ssi#
sim-lte:ssi# ls
bin cdrom1 hd-raid param rmm1 tmp usr
boot dev include pcmcia1 sbin usb1 var
boot1 etc lib proc sftp usb2 vr
boot2 flash mnt records sys usb3
sim-lte:ssi#
sim-lte:ssi# cd flash
sim-lte:ssi# ls -a
. ldlinux.sys restart_file_cntr.txt
.. module.sys sftp
.chassisid patch staros.bin
crashlog2 persistdump syslinux.ban
crsh2 rc.local syslinux.cfg
步骤5.将隐藏文件复制到非隐藏文件。
sim-lte:ssi# cp .chassisid chassisid.backup
sim-lte:ssi#
sim-lte:ssi#
sim-lte:ssi# ls
chassisid.backup patch staros.bin
crashlog2 persistdump syslinux.ban
crsh2 rc.local syslinux.cfg
ldlinux.sys restart_file_cntr.txt
module.sys sftp
步骤6.退出调试外壳。您应该能够传输创建的备份文件,而不会出现任何问题。
sim-lte:ssi# exit
Connection closed by foreign host.
[local]sim-lte#
[local]sim-lte# copy /flash/chassisid.backup /flash/chasisid.backup2
********************************************************************************
Transferred 53 bytes in 0.003 seconds (17.3 KB/sec)
[local]sim-lte#
[local]sim-lte#
[local]sim-lte# show file url /flash/chassisid.backup
1ke03dqfdb9dw3kds7vdslvuls3jnop8yj41qyh29w7urhno4ya6
Ultra-M升级过程的UPDATE
将N5.1升级到N5.5将破坏vpc实例和OSP。在启动升级过程之前,如果要重新使用vPC配置文件和机箱ID,我们应该备份它们。
步骤1.备份chassid和最后一个配置文件:
bash-2.05b# ls -alrt
-rwxrwxr-x 1 root root 53 Jul 11 14:43 .chassisid
-rwxrwxr-x 1 root root 381973 Jul 11 14:41 GGN-2017-07-28.cfg
from copied file :
cpedrode@CPEDRODE-xxxxx:~/Desktop$ more 2017-07-28.chassis-id
1swbwpd8fd8ca3kf33kn6qxb2h33ihfkqu1tu7x1ndf82znag1b5^@
注意: 配置文件将具有.chasssisid派生的密钥:
[local]GGN# show configuration url /flash/GGN-2017-07-28.cfg | more
Monday July 11 14:59:34 CEST 2016
#!$$ StarOS V21.1 Chassis c95bf13f030f6f68cae4e370b2d2482e
config
步骤2.升级Ultra-M的过程
步骤3.升级系统并启动StarOS vpc CF后,将chassisid(常规文件)和配置文件(确保也更改了正确的O&M IP地址)复制到/flash/sftp(StarOS >R20)
步骤4.在“test-command”模式下从/flash备份隐藏的默认.chassisid文件并将其删除。
步骤5.将chassid文件从/flash/sftp复制到隐藏模式下的/flash中,作为"。chassisid"。 同时复制配置文件
注意:您可以检查派生的密钥发布cli - show configuration url /flash/xxxxxx.cfg |更多,并将其与备份配置文件进行比较
步骤6.添加指向新配置文件的引导优先级
注意:此时StarOS将显示错误:
[local]GGN(config)# boot system priority 6 image /flash/staros.bin config /flash/GGN-2017-07-28.cfg
Monday July 28 08:45:28 EDT 2017
Warning: Configuration was generated using a different chassis key, some encrypted information may not
be valid
如果您执行了正确的步骤,您将拥有一个配置文件,其中机箱派生的密钥等于备份配置文件,机箱sid等于备份机箱sid。
请注意,当您查看chassid文件时,它将附加PS1提示:
bash-2.05b# cat .chassisid
1swbwpd8fd8ca3kf33kn6qxb2h33ihfkqu1tu7x1ndf82znag1b5bash-2.05b#
步骤7.重新启动vPC
此时,系统应会重新启动,您可以使用备份配置文件的登录凭证。