NXOS - مسح محتويات القرص بأمان

المقدمة

يصف هذا وثيقة كيف أن يمسح بأمان القرص من cisco Nexus مفتاح، أي يستخدم أدوات Linux مساعدة قياسية.  يعتبر ذلك ضروريا لبعض العملاء العسكريين والحكوميين الذين ينقلون المعدات من منطقة آمنة إلى منطقة غير آمنة، أو لأي عميل آخر لديه متطلبات التوافق لتحويل المعدات إلى خارج منطقتهم.

معلومات أساسية

هناك خياران يعتمدان على ما إذا كان المحول يحتوي على محرك أقراص SSD أو eUSB:

• يتم إستخدام Init-System على محولات الطراز الأحدث المزودة بمحركات أقراص مزودة بذاكرة مصنوعة من مكونات صلبة. يستخدم Init-System ATA Secure Erase لكتابة قيم ثنائية إلى جميع قطاعات محرك الأقراص.  
• بالنسبة لمحولات الطرز الأقدم المزودة بمحركات أقراص eUSB، يمكنك أيضا كتابة 0s إلى جميع قطاعات محرك الأقراص، باستخدام طريقة المسح التي لا تتضمن أية بايت.

والأدوات المساعدة القياسية المستخدمة في الإجراء الموثق تستخدم سلسلة من الأوامر التي تدمر البيانات الموجودة على قرص التخزين بشكل آمن، وفي معظم الحالات تجعل من الصعب أو المستحيل إسترداد البيانات.

يساعدك هذا الدليل في كلتا العمليتين مع وضع محولات Cisco Nexus 3000 Series Switches، و Cisco Nexus 5000 Series Switches، و Cisco Nexus 9000 Series Switches، و Cisco Nexus 7000 Series Switches، و Cisco MDS Series في الاعتبار، ولكنه يعمل بالنسبة لمعظم محولات Cisco Nexus الأخرى، شريطة أن يكون لديك حق الوصول في نظام أو نظام BaseH.  إن المفتاح أنت تتلقى أو برمجية إطلاق أنت يكون لا يتلقى دعم أن يمكن سمة أساسي أن يحصل منفذ إلى ال bash طبقة، افتح خدمة طلب مع cisco TAC أن يحصل مساعدة مع يستعمل debug إضافي ل هذا إجراء.

كيف تحددون الاجراء الملائم لنفسكم؟

إذا قام معرف العملية (PID) بإرجاع قيمة 0، فسيقوم النظام باستخدام محرك أقراص مزود بذاكرة مصنوعة من مكونات صلبة (SSD) ويمكنه إستخدام طريقة Init-System لمسح محرك الأقراص.

إذا كانت معرف العملية (PID) الخاص بك يرجع بقيمة 1، فإن النظام يستخدم محرك أقراص eUSB، ويجب عليك إستخدام طريقة "مسح" من صفر بايت.

F340.23.13-C3064PQ-1# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
F340.23.13-C3064PQ-1(config)# feature bash-shell
F340.23.13-C3064PQ-1(config)#
F340.23.13-C3064PQ-1(config)# exit
F340.23.13-C3064PQ-1# run bash
bash-4.2$ cat /sys/block/sda/queue/rotational
1
bash-4.2$

بعد تنفيذ الإجراء السابق، إذا لم يكن من الواضح بعد نوع محرك الأقراص في نظامك وما الإجراء الذي يجب إستخدامه لمسح محتويات القرص بشكل آمن، افتح طلب خدمة مع Cisco TAC.

تحضير

قبل مسح محرك الأقراص، يجب أن تتوفر لديك العناصر التالية:

1. وصول وحدة التحكم إلى المحول.
2. الوصول إلى خادم TFTP من خلال واجهة Management0 - وهو أمر ضروري لإجراء نسخ إحتياطي للتكوين الحالي ثم لاستعادة نظام التشغيل.
3. نسخة إحتياطية من running-config وأي ملفات أخرى تريد حفظها من النظام دون اتصال حيث يتم إتلافها في هذه العملية!

ملاحظة: يوصى بشدة بتنفيذ هذا الإجراء على الأجزاء التي لم تعد قيد الإنتاج أو التي تم تثبيتها في هيكل الإنتاج. يجب نقل الأجهزة أو الأجزاء إلى بيئة غير منتجة قبل إجراء هذا الإجراء لتجنب أي أعطال غير مقصودة في الشبكة.

إستخدام إجراء Init-System على المحولات المزودة بمحرك أقراص ثابتة صلب

ملاحظة: عند تنفيذ هذا الإجراء على مشرف داخل محول قائم على الوحدات النمطية، يوصى بأن يكون المشرف الذي تخطط لتنفيذه مثبتا فقط في النظام.

1. أعد تحميل المحول أو قم بتشغيله أثناء إتصاله عبر وحدة التحكم.
   
   
2. أثناء تمهيد المحول، أستخدم CTRL-C لكسر المحول في موجه الأمر Load>.
   
   
3. من موجه الأمر Loader>، أدخل cmdline recoveryMode=1.  هذا يوقف المفتاح يمهد في المفتاح(boot)# رسالة:
   
   

   loader > cmdline recoverymode=1 

4. ابدأ إجراء التمهيد باستخدام ذاكرة التمهيد المؤقتة (bootflash):<nxos_filename.bin>.
   
   

   loader > boot bootflash:nxos.7.0.3.I7.8.bin

5. يجري تمهيد المحول إلى موجه الأمر switch(boot)#.  عند كتابة هذه المطالبة، يتم إرسال صفر إلى جميع الكتل في ذاكرة NVRAM، باستثناء كتل الترخيص، باستخدام واجهة سطر الأوامر (CLI) واضحة لذاكرة NVRAM بالإضافة إلى واجهة سطر الأوامر (CLI) الخاصة بنظام الإدخال.

   ملاحظة: تم إجراء هذا الاختبار على معالج N9K-C9372TX-E مع وحدة معالجة مركزية (CPU) من Intel Core i3 بسرعة 2. 50 جيجاهرتز ومحرك أقراص مزود بذاكرة مصنوعة من مكونات صلبة (SSD) من الجيل الحادي عشر.  استغرق إجمالي وقت نظام الإدخال ما يقارب 8 ثوان:

   switch(boot)# clear nvram
   switch(boot)# init system 
   This command is going to erase your startup-config, licenses as well as the contents of your bootflash:.
   Do you want to continue? (y/n)  [n] y

6. ما إن يكتمل خطوة 5، أعدت المفتاح:
   
   

   switch(boot)# reload
   This command will reboot this supervisor module. (y/n) ? y

إستخدام إجراء DD على المحولات/المدراء/وحدات التحكم في النظام باستخدام منفذ eUSB

1. login إلى الإدارة حساب من المفتاح عن طريق الوحدة طرفية للتحكم ميناء.

ملاحظة: عند تنفيذ هذا الإجراء على مشرف داخل محول قائم على الوحدات النمطية، يوصى بأن يكون المشرف هو الوحيد الذي تخطط له عند تنفيذ الإجراء المثبت في النظام.

2. قم بتمكين ميزة bash-shell من وضع التكوين وأدخل نافذة مطالبة BaseH مع تشغيل baseH (N3K/9K فقط.  تحتاج محولات Cisco Nexus الأخرى إلى الوظيفة الإضافية لتصحيح الأخطاء للوصول إلى BASH).

F340.23.13-C3064PQ-1# config terminal
F340.23.13-C3064PQ-1(config)# feature bash-shell
F340.23.13-C3064PQ-1(config)# exit
F340.23.13-C3064PQ-1# run bash
bash-4.2$

N7K-1# load n7000-s2-debug-sh.7.2.1.D1.1.gbin
Loading plugin version 7.2(1)D1(1)
###############################################################
  Warning: debug-plugin is for engineering internal use only!
  For security reason, plugin image has been deleted.
###############################################################
Successfully loaded debug-plugin!!!
Linux(debug)# 

3. اكتساب الوصول الجذري باستخدام Sudo SU -

ملاحظة: يمكن تخطي هذه الخطوة للمحولات من السلسلة Cisco Nexus 7000 التي تستخدم مكون تصحيح أخطاء لهذا الإجراء.

bash-4.2$ sudo su -
root@F340# 

4. إذا كنت تقوم بتنفيذ هذا الإجراء على وحدة تحكم في النظام مثبتة في محول من السلسلة Nexus 9000، فيجب عليك تسجيل الدخول عن بعد إلى رقم الفتحة الذي تريد إجراء هذا الإجراء عليه.  على سبيل المثال، يتم تنفيذ هذا الإجراء فيما يتعلق بوحدة التحكم في النظام في الفتحة 29:

N9K-EOR# run bash
bash-4.2$ sudo su -
root@N9K-EOR#rlogin lc29
root@sc29:~# 

5. تحقق من حجم الكتلة لكل قرص باستخدام fdisk -l.  على N3K-C3064PQ-10X، يوجد فقط /dev/sda @ 512 بايت حجم الكتلة، انظر هنا:

ملاحظة: في بعض محولات Cisco Nexus، قد يكون هناك أكثر من قرص واحد. يجب وضعه في الاعتبار عند تنفيذ عملية dd. على سبيل المثال، N7K-SUP2 هناك /dev/sda، /dev/sdb، /dev/sdc/، /dev/md2، /dev/md3، /dev/md4، /dev/md5، و dev/md6. يجب تنفيذ العملية dd على كل من هذه لاستكمال إجراء المسح الآمن بشكل صحيح.

ملاحظة: في محولات Cisco Nexus 9000 Series Switches، يوجد بوحدة التحكم في النظام /dev/mtdblock0 و/dev/mtdblock1 و/dev/mtdbloc2 و/dev/mtdblock3 و/dev/mtdblock4 و/dev/mtdblock5 و/dev/mtdblock6.  يجب تنفيذ العملية dd على كل من هذه لاستكمال إجراء المسح الآمن بشكل صحيح.

root@F340# fdisk -l

Disk /dev/sda: 2055 MB, 2055208960 bytes
64 heads, 62 sectors/track, 1011 cylinders
Units = cylinders of 3968 * 512 = 2031616 bytes
Disk identifier: 0x8491e758

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1               1           5        9889   83  Linux
/dev/sda2               6          45       79360    5  Extended
/dev/sda3              67        1011     1874880   83  Linux
/dev/sda4              46          66       41664   83  Linux
/dev/sda5               6          26       41633   83  Linux
/dev/sda6              27          45       37665   83  Linux

6. اكتب صفر بايت لكل قطاع على القرص.

ملاحظة: تم إجراء هذا الاختبار على محول N3K-C3064PQ-10X مع وحدة معالجة مركزية (CPU) طراز P4505 من Intel Celeron بسرعة 1.87 جيجاهرتز و 13G eUSB استغرق إجراء العملية ذات البايت الصفري ما يقرب من 501 ثانية.

root@F340# dd if=/dev/zero of=/dev/sda bs=512

ملاحظة: من المتوقع أن تظهر رسائل Kernel التي تم إنشاؤها في هذه الخطوة على بعض الأجزاء.

7. بمجرد اكتمال الخطوة الخامسة، قم بإعادة تحميل المحول أو المشرف أو وحدة التحكم في النظام:

ملاحظة: لإعادة تحميل وحدة التحكم في النظام في محول معياري من السلسلة Cisco Nexus 9000، أدخل واجهة سطر الأوامر (CLI) للوحدة النمطية <slot_number> لإعادة التحميل.

bash-4.2$ exit
F340.23.13-C3064PQ-1# exit
F340.23.13-C3064PQ-1# reload
WARNING: There is unsaved configuration!!!
WARNING: This command will reboot the system
Do you want to continue? (y/n) [n] y

أستخدم dd لكتابة صفر بايت إلى الأقسام ذات الصلة على وحدة الإدخال/الإخراج

1. سجل الدخول إلى حساب المسؤول للمحول عبر منفذ وحدة التحكم.

2. قم بتمكين ميزة base-shell من وضع التكوين وأدخل نافذة مطالبة BaseH مع تشغيل baseH (N3K/N9K فقط).  تحتاج محولات Cisco Nexus الأخرى إلى الوظيفة الإضافية لتصحيح الأخطاء للوصول إلى BASH). إن يتطلب أنت debug إضافي، اتصل ب cisco TAC واتبع خطوة 3 بدلا من خطوة 2.

ملاحظة: للوصول إلى LC/FM من موجه الأمر الأساسي، أدخل rlogin lc#CLI بمجرد حصولك على الوصول الجذري. استبدلت الآن # في ال CLI مع الشق رقم أنت تريد أن ينجز العملية على.

N7K-1# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
N7K-1(config)# feature bash-shell 
N7K-1(config)# exit
N7K-1# run bash 
bash-4.3$ 

N9K-EOR# run bash
bash-4.2$ sudo su -
root@N9K-EOR#rlogin lc22
root@fm22:~#

3. بالنسبة لمحولات Cisco Nexus التي تستخدم الوظيفة الإضافية تصحيح الأخطاء، تأكد من نسخ الوظيفة الإضافية تصحيح الأخطاء لإصدار البرنامج الجاري تشغيله إلى bootflash، وقم بتحميل الوظيفة الإضافية تصحيح الأخطاء على الوحدة النمطية التي تريد تشغيل إجراء المسح الآمن لها:

ملاحظة: هناك صورة منفصلة لمدخل تصحيح الأخطاء سيتم إستخدامها لوحدات الإدخال/الإخراج بالمحولات من السلسلة Nexus 7000 مقارنة بصورة مكون تصحيح الأخطاء الإضافي التي تم توفيرها للوحدات النمطية للمشرف. أستخدم صورة LC لإصدار البرنامج الذي يتم تشغيله على المحول.

switch# attach module 3
Attaching to module 3 ...
To exit type 'exit', to abort type '$.' 
module-3# load bootflash:dplug-lc_p476-bin.7.2.1.D1.1.bin
Name of debug-plugin from SUP: '/bootflash/dplug-lc_p476-bin.7.2.1.D1.1.bin'
Downloaded debug-plugin to LC: '/tmp/dplug-lc_p476-bin.7.2.1.D1.1.bin'
Loading plugin version 7.2(1)D1(1)
###############################################################
  Warning: debug-plugin is for engineering internal use only!
###############################################################
Warning: /debug-plugin/.autorun is using deprecated /bin/bash.  Please change to /bin/sh
Successfully loaded debug-plugin!!!
Linux(debug)# 

4. بعد ذلك، بالنسبة لبطاقات الخط Cisco Nexus 7000 Series Line Cards، حدد أين /logflash/و/mnt/pss يتم تركيبها على نظام الملفات.  للقيام بذلك، أستخدم الأمر mount للعثور على مكان /mnt/plog (logflash) و/mnt/pss.

ملاحظة: بالنسبة لبطاقات الخط Cisco Nexus 9000 Series Line Cards، قم بتنفيذ العملية dd على /dev/mcblk0.

ملاحظة: بالنسبة للوحدات النمطية الليفية Cisco Nexus 9000 Series، قم بتنفيذ العملية dd على /tmpfs، /dev/root، /dev/zram0، /dev/loop0، /dev/loop1، و/unionfs.

Linux(debug)# mount | grep plog
/dev/mtdblock2 on /mnt/plog type jffs2 (rw,noatime)
Linux(debug)# 
Linux(debug)# mount | grep pss
tmpfs on /mnt/pss type tmpfs (rw,size=409600k,mode=777)
Linux(debug)# 

5. الآن بعد أن أصبح معروفا أن /mnt/plog موجود على /dev/mtdblock2 و/mnt/pssموجود على /tmpfs، يمكنك كتابة صفر-بايت إلى كلا باستخدام الأمر dd، والخروج من الوظيفة الإضافية تصحيح الأخطاء، وإعادة تحميل الوحدة النمطية:

Linux(debug)# dd if=/dev/zero of=/dev/mtdblock2 bs=1024
dd: writing '/dev/mtdblock2': No space left on device
15361+0 records in
15360+0 records out
Linux(debug)# 
Linux(debug)# dd if=dev/zero of=/tmpfs bs=1024
dd: writing '/tmpfs': No space left on device
23781+0 records in
23780+0 records out
Linux(debug)# 
Linux(debug)# exit
####################################################################
  Warning: for security reason, please delete plugin image on sup.
####################################################################
module-3# exit
rlogin: connection closed.
switch# 
switch# reload module 3
This command will reload module 3. Proceed[y/n]?  [n] y
reloading module 3 ...
switch# 

قم باسترداد المحول وإعادة تثبيت نظام التشغيل

بعد ركوب الدراجة الكهربائية، يتم تمهيد المفتاح في نافذة مطالبة أداة التحميل. 

in order to إستردت من البائع> رسالة حث، المفتاح ينبغي كنت TFTP مهدت وفقا للخطوات التالية:

1. ثبتت (أو يعين) عنوان إلى mgmt0 قارن على المفتاح:
   
   

   loader > set ip <IP_address> <Subnet_Mask> 

2. إذا كان خادم TFTP الذي يتم التمهيد منه في شبكة فرعية مختلفة، فعليك تعيين بوابة افتراضية للمحول:

loader > set gw <GW_IP_Address> 

3. قم بإجراء عملية التمهيد.  يجري تمهيد المحول إلى موجه الأمر switch(boot).

ملاحظة: بالنسبة للمحولات التي تستخدم صور نظام/kickstart منفصلة، مثل محولات Cisco Nexus 5000 Series Switches ومحولات Cisco Nexus 6000 Series ومحولات Cisco Nexus 7000 Series، تحتاج في هذه الخطوة إلى تمهيد صورة Kickstart.  بالنسبة للمحولات التي تستخدم صورة NXOS واحدة، مثل المحولات من السلسلة Cisco Nexus 9000 Series Switches ومحولات Cisco Nexus 3000 Series Switches، يلزمك في هذه الخطوة لتمهيد الصورة الفردية:

loader > boot tftp://
     
     
       / 
       
       
     

4. قم بتنفيذ ذاكرة NVRAM واضحة ونظام Init وتنسيق bootflash:

ملاحظة: بالنسبة للمحولات من السلسلة Cisco Nexus 5000 Series و Cisco Nexus 6000 Series Switches، لا تتوفر ذاكرة NVRAM واضحة في موجه الأمر switch(boot)#.

switch(boot)# clear nvram
switch(boot)# init system 
This command is going to erase your startup-config, licenses as well as the contents of your bootflash:.
Do you want to continue? (y/n) [n] y
Initializing the system ...

<snip>

switch(boot)# format bootflash: 
This command is going to erase the contents of your bootflash:.
Do you want to continue? (y/n) [n] y
get_sup_active_slot failed with -1
Unknown card
Formatting bootflash:

<snip> 

5. إعادة تحميل المحول:

switch(boot)# reload 
This command will reboot this supervisor module. (y/n) ? y
ˇ
(c) Copyright 2011, Cisco Systems.
N3000 BIOS v.5.0.0, Tue 06/05/2018, 05:24 PM 


     
     

6. تعيين (أو تعيين) عنوان IP إلى واجهة mgmt0 على المحول:

loader > set ip <IP_address> <Subnet_Mask> 

7. إذا كان خادم TFTP الذي يتم التمهيد منه في شبكة فرعية مختلفة، فعليك تعيين عبارة افتراضية للمحول:

loader > set gw <GW_IP_Address> 

8. إعادة تحميل المحول:

ملاحظة: لا تكون هذه الخطوة (8) مطلوبة عند تنفيذ هذا الإجراء على المحولات من السلسلة Cisco Nexus 5000 Series Switches أو محولات Cisco Nexus 6000 Series Switches أو وحدات المشرف على المحولات من السلسلة Cisco Nexus 7000 Series أو وحدة المشرف على المحولات من السلسلة Cisco Nexus 9000 Series Switches Module.  قم بالتخطي إلى الخطوة 9 إذا قمت بإجراء هذا الإجراء على محولات Cisco Nexus 5000 Series Switches، أو Cisco Nexus 6000 Series Switches، أو وحدة المشرف على المحول Cisco Nexus 7000 Series، أو وحدة المشرف على المحولات من Cisco Nexus 9000 Series.

loader> reboot 

9. قم بإجراء عملية التمهيد.  يجري تمهيد المحول إلى موجه الأمر switch(boot).

ملاحظة: بالنسبة للمحولات التي تستخدم صور نظام/kickstart منفصلة، مثل محولات Cisco Nexus 7000 Series Switches، يلزمك في هذه الخطوة تمهيد صورة kickstart.  بالنسبة للمحولات التي تستخدم صورة NXOS واحدة، مثل المحولات من السلسلة Cisco Nexus 9000 Series Switches ومحولات Cisco Nexus 3000 Series Switches، يلزمك في هذه الخطوة لتمهيد الصورة الفردية:

loader > boot tftp://<server_IP>/<nxos_image_name>

10. بالنسبة للمحولات التي تستخدم صور نظام/kickstart منفصلة، مثل المحولات من السلسلة Cisco Nexus 5000 Series Switches و Cisco Nexus 6000 Series Switches ومحولات Cisco Nexus 7000 Series، يلزمك في هذه الخطوة إتخاذ بعض الخطوات الإضافية لتمهيد المحول.  تحتاج إلى تكوين عنوان IP الخاص بالإدارة 0 وقناع الشبكة الفرعية بالإضافة إلى تحديد البوابة الافتراضية.  ما إن يتم هذا، أنت يستطيع نسخت ال kickstart و نظام صورة إلى المفتاح وزدت هو:

switch(boot)# config terminal
Enter configuration commands, one per line.  End with CNTL/Z.
switch(boot)(config)# interface mgmt 0
switch(boot)(config-if)# ip address 10.122.160.55 255.255.255.128
switch(boot)(config-if)# no shutdown
switch(boot)(config-if)# exit
switch(boot)(config)# 
switch(boot)(config)# ip default-gateway 10.122.160.1
switch(boot)(config)#
switch(boot)(config)# exit
switch(boot)#
switch(boot)#
switch(boot)# copy ftp: bootflash:
Enter source filename: 
     
     
       Enter hostname for the ftp server: 
      
        Enter username: 
       
         Connected to x.x.x.x. 220 CALO Fileserver 331 Please specify the password. Password: 
        
          230 Login successful. 
         
           221 Goodbye. Copy complete, now saving to disk (please wait)... switch(boot)# switch(boot)# copy ftp: bootflash: Enter source filename: 
          
            Enter hostname for the ftp server: 
           
             Enter username: 
            
              Connected to x.x.x.x. 220 CALO Fileserver 331 Please specify the password. Password: 
             
               230 Login successful. 
              
                221 Goodbye. switch(boot)# 
               
              
             
            
           
          
         
        
       
     

11. بالنسبة للمحولات من السلسلة Cisco Nexus 5000 Series Switches، ومحولات Cisco Nexus 6000 Series Switches، ووحدات مشرف المحول Cisco Nexus 7000 Series Switch Supervisor Modules، من موجه (boot)#، أدخل تحميل bootflash:<system_image>.  هذا ينهي التمهيد عملية من المفتاح. 

switch(boot)# load bootflash:<system_image>

12. بمجرد تحميل صورة النظام بنجاح، تحتاج إلى الانتقال من خلال موجه أمر الإعداد لبدء تكوين الجهاز إلى المواصفات المطلوبة.