Inleiding
Dit document beschrijft hoe u back-ups kunt maken van .chassisidfile (chassis-ID) op StarOS releases 20 en hoger.
Achtergrondinformatie
De chassissleutel wordt gebruikt voor het versleutelen en ontsleutelen van versleutelde wachtwoorden in het configuratiebestand. Als twee of meer chassis met dezelfde chassistoetswaarde zijn geconfigureerd, kunnen de versleutelde wachtwoorden worden gedecodeerd door elk chassis met dezelfde chassistoetswaarde. Als gevolgtrekking hiervan, kan een bepaalde chassissleutelwaarde geen wachtwoorden ontcijferen die met een verschillende chassissleutelwaarde werden versleuteld.
De chassissleutel wordt gebruikt om de chassis-ID te genereren die in een bestand is opgeslagen en als de belangrijkste sleutel voor de bescherming van gevoelige gegevens (zoals wachtwoorden en geheimen) in configuratiebestanden wordt gebruikt
Voor release 15.0 en hoger is de chassis-ID een SHA256-hash van de chassissleutel. De chassistoets kan door gebruikers worden ingesteld via een CLI-opdracht of via de Quick Setup Wizard. Als de chassis-ID niet bestaat, wordt een lokaal MAC-adres gebruikt om de chassis-ID te genereren.
Voor release 19.2 en hoger moet de gebruiker de chassissleutel expliciet instellen met de Quick Setup Wizard of CLI-opdracht. Als deze niet is ingesteld, wordt er een standaard chassis-ID gegenereerd met het lokale MAC-adres. Bij gebrek aan een chassissleutel (en dus de chassis-ID) worden gevoelige gegevens niet weergegeven in een opgeslagen configuratiebestand.
De chassis-ID is de SHA256-hash (gecodeerd in base36-formaat) van de door de gebruiker ingevoerde chassissleutel plus een 32-byte beveiligd willekeurig nummer. Dit garandeert dat de chassissleutel en de chassis-ID een entropie van 32 bytes hebben voor sleutelbeveiliging.
Als een chassis-ID niet beschikbaar is, werken encryptie en decryptie voor gevoelige gegevens in configuratiebestanden niet.
Probleem: Onvoldoende voor back-up van de sleutelwaarde van het chassis om voor dezelfde configuratie op hetzelfde knooppunt te draaien.
Door de gedragsverandering die begint met release 19.2, is het niet meer voldoende om een back-up te maken van de chassissleutelwaarde om dezelfde configuratie op hetzelfde knooppunt te kunnen uitvoeren.
Bovendien zijn er, vanwege het willekeurige 32-byte nummer dat aan de geconfigureerde chassissleutel is gekoppeld, altijd verschillende chassis-ID's gegenereerd op basis van dezelfde chassistoetsen.
Dat is de reden waarom cli commando chassis keycheck nu wordt verborgen omdat het altijd negatief teruggeeft zelfs als dezelfde oude sleutel is ingevoerd.
Om een StarOS-machine te kunnen herstellen van een opgeslagen configuratie (toen bijvoorbeeld alle inhoud van de /flash-drive verloren ging) is het nodig om een back-up te maken van de .chassisid (waar de StarOS de chassis-ID opslaat)
De chassis-ID wordt opgeslagen in /flash/.chassisid-bestand op de harde schijf van StarOS. De gemakkelijkste manier om een back-up van dit bestand te maken, is om het via een protocol voor bestandsoverdracht naar een back-upserver over te dragen:
Zoals u ziet is het .chassisid-bestand een verborgen en met nieuwere releases is het niet mogelijk om bestandsbeheerbewerkingen uit te voeren met verborgen bestanden. Deze fout wordt bijvoorbeeld weergegeven in release 20.0.1:
[local]sim-lte# copy /flash/.chassisid /flash/backup
Failure: source is not valid.
[local]sim-lte#
OF:
[local]sim-lte# show file url /flash/.chassisid
Failure: file is not valid.
Oplossing
U kunt dit bestand nog steeds openen via deze procedure:
Stap 1. Zorg ervoor dat het .chassisid bestand aanwezig is in /flash/.chassisid.
[local]sim-lte# dir /flash/.chassisid
-rw-rw-r-- 1 root root 53 Jun 23 10:59 /flash/.chassisid
8 /flash/.chassisid
Filesystem 1k-blocks Used Available Use% Mounted on
/var/run/storage/flash/part1 523992 192112 331880 37% /mnt/user/.auto/onboard/flash
Stap 2. Meld u aan in de verborgen modus.
[local]sim-lte# cli test-commands
Password:
Warning: Test commands enables internal testing and debugging commands
USE OF THIS MODE MAY CAUSE SIGNIFICANT SERVICE INTERRUPTION
[local]sim-lte#
Opmerking: Als er geen wachtwoord voor de verborgen modus is ingesteld, configureer dan dit met het volgende:
[local]sim-lte(config)# tech-support test-commands password <password>
Stap 3. Start een debug shell.
[local]sim-lte# debug shell
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Cisco Systems QvPC-SI Intelligent Mobile Gateway
[No authentication; running a login shell]
Stap 4. Verplaats in de map /flitser. Controleer of het bestand aanwezig is.
sim-lte:ssi#
sim-lte:ssi# ls
bin cdrom1 hd-raid param rmm1 tmp usr
boot dev include pcmcia1 sbin usb1 var
boot1 etc lib proc sftp usb2 vr
boot2 flash mnt records sys usb3
sim-lte:ssi#
sim-lte:ssi# cd flash
sim-lte:ssi# ls -a
. ldlinux.sys restart_file_cntr.txt
.. module.sys sftp
.chassisid patch staros.bin
crashlog2 persistdump syslinux.ban
crsh2 rc.local syslinux.cfg
Stap 5. Kopieert het verborgen bestand naar een niet-verborgen bestand.
sim-lte:ssi# cp .chassisid chassisid.backup
sim-lte:ssi#
sim-lte:ssi#
sim-lte:ssi# ls
chassisid.backup patch staros.bin
crashlog2 persistdump syslinux.ban
crsh2 rc.local syslinux.cfg
ldlinux.sys restart_file_cntr.txt
module.sys sftp
Stap 6. Sluit de debug shell. U moet het back-upbestand dat gemaakt is zonder problemen kunnen overdragen.
sim-lte:ssi# exit
Connection closed by foreign host.
[local]sim-lte#
[local]sim-lte# copy /flash/chassisid.backup /flash/chasisid.backup2
********************************************************************************
Transferred 53 bytes in 0.003 seconds (17.3 KB/sec)
[local]sim-lte#
[local]sim-lte#
[local]sim-lte# show file url /flash/chassisid.backup
1ke03dqfdb9dw3kds7vdslvuls3jnop8yj41qyh29w7urhno4ya6
UPDATE voor Ultra-M upgrade-procedure
Door N5.1 te upgraden naar N5.5 worden de vpc-instantie en OSP vernietigd. Voordat we de upgradeprocedure starten, moeten we een back-up maken van het vPC-configuratiebestand en de chassis-ID als we deze opnieuw moeten gebruiken.
Stap 1. back-up van de chassisid en het laatste configuratiebestand:
bash-2.05b# ls -alrt
-rwxrwxr-x 1 root root 53 Jul 11 14:43 .chassisid
-rwxrwxr-x 1 root root 381973 Jul 11 14:41 GGN-2017-07-28.cfg
from copied file :
cpedrode@CPEDRODE-xxxxx:~/Desktop$ more 2017-07-28.chassis-id
1swbwpd8fd8ca3kf33kn6qxb2h33ihfkqu1tu7x1ndf82znag1b5^@
Opmerking: het configuratiebestand heeft een afgeleide sleutel van .chassisid:
[local]GGN# show configuration url /flash/GGN-2017-07-28.cfg | more
Monday July 11 14:59:34 CEST 2016
#!$$ StarOS V21.1 Chassis c95bf13f030f6f68cae4e370b2d2482e
config
Stap 2. Verwerk met Ultra-M upgrade
Stap 3. Zodra het systeem is geüpgraded en StarOS vpc CF bootup, kopieer chassisid (het normale bestand) en configuratie bestand (zorg ervoor dat het juiste O&M ip-adres ook wordt gewijzigd) naar /flash/sftp (StarOS >R20)
Stap 4. Back-up van het verborgen standaard .chassisid bestand van /flash in "test-commando" modus en verwijder het.
Stap 5. Kopieer het chassisid bestand van /flash/sftp naar /flash in verborgen modus als ".chassisid". Kopieert ook het configuratiebestand.
Opmerking: u kunt de afgeleide key issuing cli controleren - toon configuratie url /flash/xxxxxx.cfg | meer informatie en vergelijk dit met het back-up-configuratiebestand
Stap 6. Voeg de opstartprioriteit toe aan het nieuwe configuratiebestand
Opmerking: Op dit punt geeft StarOS een fout:
[local]GGN(config)# boot system priority 6 image /flash/staros.bin config /flash/GGN-2017-07-28.cfg
Monday July 28 08:45:28 EDT 2017
Warning: Configuration was generated using a different chassis key, some encrypted information may not
be valid
Als u de juiste stappen hebt gevolgd, hebt u een configuratiebestand met een van Chassis afgeleide sleutel die gelijk is aan het back-upconfiguratiebestand en een chassisid die gelijk is aan de back-upchassisid.
Merk op dat wanneer u het chassisid bestand bekijkt het de PS1 prompt zal toevoegen :
bash-2.05b# cat .chassisid
1swbwpd8fd8ca3kf33kn6qxb2h33ihfkqu1tu7x1ndf82znag1b5bash-2.05b#
Stap 7. Reboot vPC
Op dit punt dient het systeem opnieuw te worden opgestart en kunt u de inlogreferenties van het back-upconfiguratiebestand gebruiken.
Feedback