簡介
本檔案介紹使用IOS® XR的Cisco上的安全資料擦除和出廠重設操作,包括使用「factory-reset」、「zapdisk」和「commit replace commands」命令、已知問題和建議的替代方法。
需求
思科建議您瞭解以下主題:
- Cisco IOS XR軟體架構和操作。
- IOS XR環境中「factory-reset」和「zapdisk」命令的特定於平台的行為。
- 思科路由平台上的裝置重新映像和配置管理程式。
- 瞭解IOS XR中的核心轉儲分析和故障排除。
採用元件
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您已瞭解任何指令可能造成的影響,本檔案中的資訊是根據以下軟體和硬體版本:
硬體:
- Cisco NCS 5500/5700系列路由器
- Cisco NCS 540/560
- Cisco ASR9000/9900
- 思科路由器8000
軟體
- 最近的更改:執行
- "factory-reset shutdown location all"
- "zapdisk start location all"命令
- 「commit replace」是最常用的命令。
- "Hderase"(ROMMON模式)
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊:
運行IOS XR的思科平台通常用於需要安全刪除配置和敏感資料的環境,例如裝置停用或實驗室清理期間。
三個主要命令可用於此類操作:
- 提交替換:用於用新配置替換整個運行配置,從而有效地清除現有配置。這是一個強有力的命令,必須謹慎使用,因為它可能會影響服務。實質上,它就像一個「寫擦除」,然後載入新的配置。
- factory-reset shutdown location all:旨在通過清除所有位置的配置和使用者資料,將裝置重置為出廠狀態。
- zapdisk啟動位置全部: 用於安全地清除所有位置儲存裝置的使用者資料。
- 高級:此擦除磁碟記憶體功能會永久刪除RSP和線卡的磁碟記憶體中的資料。擦除的資料不可恢復。
問題.
關於跨不同型別的XR執行配置清理的正確方法,可能存在一些差距。 目前,有幾個命令可幫助我們執行配置清理。
本文檔中涉及的主要難題是從運行IOS XR 7.8.1或7.8.2的Cisco NCS 5500系列路由器上安全刪除機密資訊。該方案概述了觀察到的問題和症狀:
1:正在嘗試在所有位置重置工廠
device# factory-reset shutdown location all
輸出範例:
LC/0/1/CPU0:May 27 23:55:49.699 UTC: ssd_enc_server[255]: %OS-SSD_ENC-1-FACTORY_RESET : Factory reset CLI is not supported on this platform. Please use 'zapdisk' instead.
device#
說明:此平台不支援「factory-reset shutdown location all」命令。系統指示使用者使用「zapdisk」命令作為替代方法。
2:執行資料擦除的Zapdisk
device# zapdisk start location all
觀察到的症狀:在執行期間,系統檢測到並記錄了進程崩潰。系統日誌消息已生成:
Sep 15 19:29:14.345 UTC: logger[69445]: %OS-SYSLOG-4-LOG_WARNING : PAM detected crash for zapdisk_client on 0_RP0_CPU0. All necessary files for debug have been collected and saved at 0/RP0/CPU0 : harddisk:/cisco_support/PAM-crash-xr_0_RP0_CPU0-zapdisk_client-2024Sep15-192913.tgz (Please copy tgz file out of the router and send to Cisco support. This tgz file will be removed after 14 days.)
說明:「zapdisk」操作觸發「zapdisk_client」進程的崩潰,導致生成核心轉儲。通過SSH仍可訪問路由器,並且沒有立即報告硬體不可用。
步驟 3:核心轉儲詳細資訊
Core location: 0/RP0/CPU0:/misc/disk1
Core for pid = 61085 (zapdisk_client)
Core for process: zapdisk_client_61085.by.11.20240915-192911.xr-vm_node0_RP0_CPU0.dd2cd.core.gz
Core dump time: 2024-09-15 19:29:11.109818050 +0000
Process:
Core was generated by `zapdisk_client -a'.
說明:路由器為診斷目的建立了一個核心轉儲檔案。檔案儲存在本地,並可在需要時進行分析,或上傳至思科支援部門。
解決方案
顯示通常在所有XR平台中最常用的選項。
1:提交替換
所有Cisco IOS XR平台都支援此命令,目前使用最廣泛、最受歡迎。出於這些原因,這是推薦過程。此命令用於用新配置替換或刪除整個運行配置。此操作被視為影響服務,因為它可能會根據新配置替換現有配置,顯著改變裝置運行狀態。
範例:
RP/0/RP0/CPU0:NCS-540-D#conf t
Thu Aug 7 23:30:45.335 UTC
RP/0/RP0/CPU0:NCS-540-D(config)#commit replace
Thu Aug 7 23:30:50.118 UTC
This commit will replace or remove the entire running configuration. This
operation can be service affecting.
Do you wish to proceed? [no]: y
2:出廠重置關閉位置全部
這隻適用於Cisco 8000系列路由器。
factory reset命令會永久清除路由器上的所有敏感資料。在退回裝置以執行RMA、停用裝置或轉讓所有權之前,這是一個關鍵的安全步驟。資料從以下目錄中刪除:
- /misc/disk1
- /misc/scratch
- /ar/log
- /misc/config
除了刪除檔案外,還可以用隨機資料覆蓋儲存裝置,使恢復變得困難或幾乎不可能。
範例:
RP/0/RP1/CPU0:8808-A#factory-reset ?
reload Reload the location after performing factory-reset
shutdown Shutdown the location after performing factory-reset
RP/0/RP1/CPU0:8808-A#factory-reset reload ?
location Specify location
RP/0/RP1/CPU0:8808-A#factory-reset reload location ?
0/1/CPU0 Fully qualified location specification
0/2/CPU0 Fully qualified location specification
0/RP1/CPU0 Fully qualified location specification
WORD Fully qualified location specification
all Show all locations
RP/0/RP1/CPU0:8808-A#factory-reset reload location
3:Zapdisk開始位置全部
eXR 6.3.1版映像提供了zapdisk功能。zapdisk功能通過清除磁碟邏輯卷和重置路由器上所有CPU主機板上的rommon引數來實現路由器出廠重置。當您發現卡(RSP/LC)有故障並且需要為RMA傳送該功能時,需要首先使用此功能,這需要清理卡的磁碟/分割槽。運行eXR的ASR9K系統需要此命令。
zapdisk操作
- 啟用後的行為:在CPU主機板上啟用zapdisk後,如果路由器/主機板重新映像,可以將主機板上的rommon變數重置為出廠設定以及主機板上要清理的磁碟邏輯卷(包括
/harddisk:下儲存的檔案)。
- 重新載入行為:在CPU主機板上啟用zapdisk後,通過執行物理OIR或使用CLI命令重新載入主機板無法觸發zapdisk功能。
- 重要附註:請勿重新載入卡(執行Zapdisk的位置)或整個機箱,直到將卡從插槽中移除。重新載入可能導致卡再次啟動,並且磁碟上重新填充剛剛擦除的資料。
- CLI命令:
管理zapdisk集:在路由器上啟用zapdisk。admin zapdisk unset:在路由器上禁用zapdisk。
- 驗證:
- 在CPU主機板上執行Calvados shell命令以驗證zapdisk的狀態:
/opt/cisco/calvados/bin/nvram_dump -a
- 輸出顯示:
ZAPDISK_CARD=1 — 設置zapdisk(在設定admin zapdisk之後)ZAPDISK_CARD=0 — 未設定zapdisk(在取消設定admin zapdisk之後)
- 或者,可以使用
/opt/cisco/calvados/bin/nvram_dump -r ZAPDISK_CARD,如果設定輸出數據,則輸出數據為1。
- 增強型操作(從iOS XR 7.0.1開始):
- 顯示可以執行Zapdisk的所有位置:
顯示zapdisk位置
- EXEC CLI,用於在指定位置啟動操作:
zapdisk start location <location>(例如zapdisk start location 0/1, zapdisk start location all)
- 如果指定的位置不正確,系統將使用「INCORRECT LOCATION, zapdisk cannot be initiated on this node」進行響應。
- 執行
zapdisk start location all時,操作完成後會顯示系統日誌消息。
4:Hderase
現在輪到使用高級命令了。以下是在Cisco ASR 9000路由器中iOS XR 64位7.0.x的硬體過程:
1.如果是2 RP路由器,請刪除1 RP。如果存在單個RP,則不需要執行任何操作。將控制檯電纜連線到RP。完成此操作後,重新載入RP/路由器:
sysadmin-vm:0_RSP0# hw-module location all reload
Tue Jun 16 04:27:50.284 UTC
Reload hardware module ? [no,yes] yes
result Card graceful reload request on all acknowledged.
sysadmin-vm:0_RSP0#
2.啟動時,按CTRL-C:
##########################################################
System Bootstrap, Version 22.24 [ASR9K x86 ROMMON],
Copyright (c) 1994-2019 by Cisco Systems, Inc.
Compiled on Tue 07/16/2019 15:41:43.70
BOARD_TYPE : 0x101014
Rommon : 22.24 (Primary)
Board Revision : 5
PCH EEPROM : 0.0
IPU FPGA(PL) : 0.20.1 (Primary)
IPU INIT(HW_FPD) : 2.5.1
IPU FSBL(BOOT.BIN) : 1.104.0
IPU LINUX(IMAGE.FPD) : 1.104.0
DRAX FPGA : 0.35.1
CBC0 : Part 1=54.10, Part 2=54.8, Act Part=1
Product Number : ASR-9901-RP
Chassis : ASR-9901
Chassis Serial Number : FOC2216NU0J
Slot Number : 0
Pxe Mac Address LAN 0 : b0:26:80:ac:81:a0
Pxe Mac Address LAN 1 : b0:26:80:ac:81:a1
==========================================================
Got EMT Mode as Disk Boot
Got Boot Mode as Disk Boot
Booting IOS-XR 64 bit Boot previously installed image - Press Ctrl-c to stop >>>>>>>>>>>>>>>>>>>>>>>> At this point, press CTRL-C
3.看到此bios選單後,選擇選項1:
Please select the operating system and the boot device:
1) Boot to ROMMON
2) IOS-XR 64 bit Boot previously installed image
3) IOS-XR 64 bit Mgmt Network boot using DHCP server
4) IOS-XR 64 bit Mgmt Network boot using local settings (iPXE)
(Press 'p' for more option)
Selection [1/2/3/4]: 1
Selected Boot to ROMMON, Continue ? Y/N: Y
Set CBC OS type IOS-XR 32 bit, EMT IOS-XR Boot to CBC
<SNIP>
##########################################################
System Bootstrap, Version 22.24 [ASR9K x86 ROMMON],
Copyright (c) 1994-2019 by Cisco Systems, Inc.
Compiled on Tue 07/16/2019 15:41:43.70
BOARD_TYPE : 0x101014
Rommon : 22.24 (Primary)
Board Revision : 5
PCH EEPROM : 0.0
IPU FPGA(PL) : 0.20.1 (Primary)
IPU INIT(HW_FPD) : 2.5.1
IPU FSBL(BOOT.BIN) : 1.104.0
IPU LINUX(IMAGE.FPD) : 1.104.0
DRAX FPGA : 0.35.1
CBC0 : Part 1=54.10, Part 2=54.8, Act Part=1
==========================================================
DRAM Frequency: 2133 MHz
DRAM Frequency: 2133 MHz
Memory Size: 32768 MB
Valid Flash Device returned -
Device Type 3
Id 1620512, ExtId 0, Size 8, VendorName Micron DeviceName N25Q128A
Memory Size: 32768 MB
MAC Address from cookie: b0:26:80:ac:81:a0
Board Type: 0x00101014
Chassis Type: 0x00ef1015
Slot Number: 00
Chassis Serial: FOC2216NU0J
Cbc uart base address = 3e8
rommon 1 >
rommon 1 >
4.在此處,您可以在rommon下看到「hderase」選項(在XR 6.6.3版之前不存在此選項):
rommon 1 > priv
You now have access to the full set of monitor commands.
Warning: some commands will allow you to destroy your
configuration and/or system images and could render
the machine unbootable.
rommon 2 > ?
alias set and display aliases command
dumpcounters Dump RX/Tx marvell switch counters
bpcookie display contents of upper backplane cookie
call call a subroutine at address with converted hex args
cbc0_select Select CBC0 for CPU-CBC communication
<SNIP>
aldrin_init aldrin initialization
aldrin_cmd aldrin command execution
bios_usb_en bios usb stack en/dis
mvinit_strld Initialize Marvell 88E6122 Switch for LC use
hderase Erase all hard drive contents permanently >>>>>>>>>>>>>>>>>>>>>>>>>>>>
rommon 3 >
rommon 4 > hderase
SATA HD(0x4,0x0,0x0):
Model : SMART iSATA SHSLM32GEBCITHD02
Serial No : STP190505VU
Secure Erase Supported
Security State : Disable/Not Locked/Not Frozen
All the contents on this Drive will be Erased
Do you wish to continue?(Y/N)y
Erasing SATA HD(0x4,0x0,0x0)...
Erasing SATA HD(0x4,0x0,0x0) Completed
rommon 5 > reset -h
Starting ASR9k initialization ...
<SNIP>
Booting IOS-XR (32 bit Classic XR) - Press Ctrl-c to stop
摘要
本文檔概述了流程和運行IOS XR軟體的Cisco路由器上的安全資料擦除和出廠重置操作的最佳實踐。其中介紹了可用於配置清理和資料清理的主要命令的目的、用途和限制,具體包括commit replace、factory-reset、zapdisk和hderase。
本文檔重點介紹了commit replace在清除所有IOS XR平台上的配置時受到廣泛支援並受到推薦,而factory-reset和zapdisk命令具有平台和版本特定的行為。特別要注意的是,在某些平台上(例如,使用IOS XR 7.8.x的NCS 5500系列),factory-reset不受支援,並且zapdisk可能會發生進程崩潰 — 儘管這些不會影響裝置可用性,並在以後的軟體版本中解決。
所有命令和步驟均在實驗室環境中經過驗證,思科建議在將其應用於生產環境之前對其進行仔細檢查。本文檔提供有關命令使用、故障排除的指導,並提供參考以進一步獲取技術支援和文檔。
意見