Logovanie použitie konfiguračných príkazov
Je mnoho dôvodov, kedy sa hodí mať detailný prehľad o všetkých konfiguračných zmenách na switchi. Či už z bezpečnostného hľadiska, pri súčinnosti viacerých adminov alebo pre vlastné kontrolu. Jednou z novších funkcií v IOSu (takže ak ho na switchi nenájdete, je potrebné upgrade IOSu, tiež je problém u C6500) je príkaz archive.
Pomocou príkazu archive, môžeme zariadiť logovanie každého príkazu , ktorý mení konfiguráciu. Zároveň sa ukladá, ktorý používateľ zmenu uskutočnil. Takže sa hodí, keď každý admin má svoj účet (môžeme použiť autentifikáciu cez RADIUS).
Záznamy sa ukladajú do pamäte switche. Log je kruhový, takže pri zaplnení sa postupne mažú najstaršie záznamy. Môžeme tiež nastaviť, aby sa záznamy posielali na syslog server .
SWITCH (config) # archive // prepnutie do archívneho konfiguračného módu
SWITCH (config-archive) # log config // prepnutie do konfigurácie logovanie
SWITCH (config-archive-log-cfg) # logging enable // zapne logovanie
SWITCH (config-archive -log-cfg) # logging size 200 // počet uchovávaných záznamov 1 - 1000, default 100
SWITCH (config-archive-log-cfg) # hidekeys // heslá v logu nahradí hviezdičkami
SWITCH (config-archive-log-cfg) # notify syslog // pri použití tohto príkazu sa budú záznamy posielať tiež na syslog (môžeme určiť, či sú správy v čistom texte alebo XML)
Následne si môžeme prezerať zalogovanie príkazy. Buď zobrazíme všetky, alebo môžeme filtrovať podľa používateľa a session.
SWITCH # show archive log config all
idx sess user @ line Logged command
1 1 Bouska @ vty5 | logging enable
2 1 Bouska @ vty5 | logging size 500
3 1 Bouska @ vty5 | hidekeys
Pozn .: Pre vymazanie logu môžeme vypnúť a spätne zapnúť logovanie alebo nastaviť maximum záznamov na 1 a potom späť. Prípadne jednoduchšie pomocouSWITCH#clear archive log config force.
Zálohovanie konfigurácie
Konfiguračný archívy ponúka mechanizmus na ukladanie, organizáciu a správe archívu konfiguračných súborov Cisco IOSu. Poskytujú automatizáciu a možnosť rollback (configure replace) – návratu k staršej konfiguráciu.
Pre vytváranie konfiguračných archívov (záloh konfigurácia), môžeme využiť funkciu archive. V základe táto funkcia pracuje rovnako, ako použitie príkazu copy, treba copy running-config tftp:. Ale poskytuje mechanizmy pre automatizáciu.
Musíme iba určiť miesto (url), kam chceme zálohy ukladať, a prefix názvu . Následne sa použije zadaný prefix, ktorý sa doplní o pomlčku a číslo konfigurácie. Pri zaplnení daného počtu konfigurácií sa prepisujú od najstaršej (to funguje iba na niektorých úložiskách).
SWITCH (config) # archive // prepnutie do archívneho konfiguračného módu
SWITCH (config-archive) # path tftp: //10.0.0.10/switch01 // v prvom kroku musíme nastaviť cestu a prefix súboru
SWITCH (config-archive) # maximum 14 // (voliteľne) počet uchovávaných konfigurácií
Tým sme už sprevádzkovali konfiguračné archívy. Vytvorenie archívu môžeme vyvolať ručne alebo určitým spôsobom zautomatizovať.
SWITCH # archive config // vykoná ručnú archiváciu konfigurácie (do zadanej cesty)
Pozn .: Ako miesto uloženia (url) môžeme použiť rad protokolov (podľa typu IOSu), jednoduché TFTP , bezpečné SCP (secure copy), bežné FTP či ďalšie. Pre FTP zadávame cestu v tvareftp://username:heslo@adresa. Alebo môžeme využiť príkazovip ftp usernameaip ftp password, ktoré definujú globálne údaje.
Zobrazenie informácií, o vykonaných archiváciou, vykonáme nasledovne.
SWITCH # show archive
The next archive file will be named tftp: //10.0.0.10/switch01-4
Archive # Name
0
1 tftp: //10.0.0.10/switch01-1
2 tftp: //10.0.0.10/switch01-2
3 tftp: //10.0.0.10/switch01-3 <- Most Recent
4
Pozn .: V názve (prefixu) súboru môžeme použiť parametre$hpre hostname (meno switche) a$tpre čas .
Automatické zálohovanie
Automatizáciu vykonávanie archivácia môžeme nadviazať na ukladanie konfigurácie (keď sa prepisuje bežiaci konfigurácie, teda napríklad po príkaze write) alebo nastaviť pravidelné zálohovanie po časovom intervale.
SWITCH (config-archive) # write-memory // zapne automatické vykonanie archivácie pri zápise do pamäti SWITCH (config-archive) # time-period 1440 // zadanie času, po ktorom sa bude vykonávať automatická archivácia, v minútach
Pozn .: Ak zmeníme názov (cestu), kam sa ukladá konfigurácie, tak sa začne ukladať znovu od 1.
Návrat k predchádzajúcej konfigurácii (rollback) a prepísanie konfigurácie (replacement)
Ak použijeme príkaz copy startup-config running-config(všeobecne akékoľvek kopírovanie do bežiaci konfigurácie), tak sa bežiaci konfigurácie neprepíše, ale vykoná sa spojenie (merge) konfiguráciou (takže neodstráni žiadne príkazy). Čo často nie je to, čo chceme, pokiaľ sa treba vraciame späť k staršej konfigurácii po nejakom probléme. Na druhú stranu sa to hodí, ak iba pridávame nejakú časť konfigurácie (uloženú v súbore) do bežiaci.
Preto máme k dispozícii príkaz configure replace, ktorý bežiaci konfiguráciu prepíše nejakú uloženú (musí ísť o kompletnú konfiguráciu). Aby celý proces pôsobil čo najmenej problémov, tak sa vykonáva nákupný bežiaci konfigurácie so súborom a následne sa zapisujú (vykonáva) iba zmeny. Navyše sa celá aplikácia vykonáva v niekoľkých cykloch, aby sa správne ošetrili závislosti príkazov.
Keď spojíme konfiguračné archívy (Configuration Archive) s nahradením konfigurácie (Configuration Replacement), tak dosiahneme niečo, čomu Cisco hovorí navrátenie konfigurácie (Configuration Rollback). Ide o to, že v archíve máme uložené konfigurácie v určitom stave / bode (checkpoint) a k týmto stavom sa môžeme vrátiť pomocou nahradenie konfigurácie.
nahradenie konfigurácia
Pri použití príkazu musíme špecifikovať URL k súboru s konfiguráciou, ktorá sa použije. Tu zadávame celé meno a nie iba prefix, ako u archivácie. Môžeme si napríklad zobraziť zoznam archívov az nich si vybrať. Základné použitie vyzerá nasledovne.
SWITCH # configure replace tftp: //10.0.0.10/SWITCH-1
This will apply all necessary Additions and deletions
to replace the current running configuration with the
contents of the specified configuration file, which is
assumed to be a complete configuration, not a partial
configuration. Enter Y if you are sure you want to proceed. ? [no]: y
Loading SWITCH-1 from 10.0.0.10 (via Vlan10):!
[OK - 11484 bytes]
Total number of passes: 1
rollback Done
Za príkazom configure replacemôžeme použiť rad kľúčových slov , napríklad:
force– nepýta sa na potvrdenie pri zapisovaní konfigurácielist– vypíše aplikované príkazy v jednotlivých priechodochtime– čaká na potvrdenie, inak sa vracia späť
Použitie týchto kľúčových slov môže vyzerať napríklad takto. Nechcem sa zdržiavať s potvrdzovaním a chcem zobraziť zoznam aplikovaných zmien.
SWITCH # configure replace tftp: //10.0.0.10/SWITCH-1 list force
Loading SWITCH-1 from 10.0.0.10 (via Vlan10):!
[OK - 11526 bytes]
! Pass 1
Total number of passes: 1
rollback Done
Podľa celkového počtu priechodov vidíme, že sa aplikovali nejaké zmeny (inak by bola 0) a to v jednom priechodu. Pod !Pass 1by mal byť vypísaný zoznam príkazov, ktorý tu ale chýba. Asi sa jedná o chybu v mojej verzii IOSu (neriešil som tento problém).
Praktickým príkladom môže byť tiež prepísanie bežiaci konfigurácie konfigurácií štartovej.
SWITCH # configure replace NVRAM: startup-config
Porovnanie konfigurácií
Porovnanie dvoch konfigurácií , rovnaké ako pri prepise konfigurácie, môžeme vyvolať ručne. Tu ukážka nákupný uložené konfigurácie na TFTP s bežiaci konfiguráciou.
SWITCH # show archive config differences tftp: //10.0.0.10/SWITCH-2 system: running-config
Loading SWITCH-2 from 10.0.0.10 (via Vlan10):!
[OK - 11484 bytes]
!
! Contextual Config Diffs:
interface GigabitEthernet1 / 0/1
+ Switchport access vlan 100
+ Switchport mode access
+ Ntp clock-period 36028833
interface GigabitEthernet1 / 0/1
-shutdown
-ntp clock-period 36028834
Časový rollback
Ďalšou možnosťou je použitie časovaného rollback pomocou kľúčového slova time. Ten funguje tak, že sa najprv vytvorí aktuálna záloha (musí byť nakonfigurované archívy), potom sa vykoná načítanie zadanej konfigurácie. Ak sa do zadaného časového intervalu (10 až 120s) nezadá príkaz pre potvrdenie, tak sa automaticky vráti konfigurácie späť do uloženého stavu. Môže sa to hodiť, keď sme pripojení vzdialene a chceme skúsiť nejakú konfiguráciu, ktorá by mohla zrušiť naše pripojenie.
SWITCH # configure replace tftp: //10.0. 0.10 / SWITCH-1 time 120 // časový rollback sa 120s
SWITCH # configure confirm // potvrdenie zmien
Správa obrazov IOSu (IOS images)
Príkaz archive, môžeme tiež použiť pre rad operácií s imidžom IOSu na switchi.
Práca s TAR súbormi
Pomocou archive tar, môžeme pracovať so súbormi TAR , podporované je vytvorenie tar súboru (/ create), zobrazenie súborov vnútri taru (/ table), rozbalenie obsahu taru (/ Xtract).
Nahranie obrazu na server
Ďalšou funkciou je možnosť nahrať súbor s obrazom na server (upload) ako zálohu alebo pre následné stiahnutie na iný switch. Štandardne máme na switchi adresár s menom IOSu a verzií a v ňom sa nachádza BIN súbor s vlastným OS, prípadne potom webové rozhranie. Pomocou archivesa vykoná zabalenie aktívneho adresára s obrazom (zistíme pomocou show version) do TAR súboru a jeho nahranie na URL. Nasleduje ukážka vrátane časti výstupu.
SWITCH # archive upload-sw ftp: // user: password@10.0.0.10/c3750e-universalk9-mz.122-40.SE.tar
System softvér to be uploaded:
System Type: 0x00000002
Writing C3750E-universalk9-mz.122-40.SE.tar!
Archiving c3750e-universalk9-mz.122-40.SE (directory)
Archiving c3750e-universalk9-mz.122-40.SE/c3750e-universalk9-mz.122-40.SE.bin (11439675 bytes)!
Pozn .: Ak nahrávame na TFTP server, tak ten musí byť špeciálnym spôsobom nastavený. Na FTP sa mi zas nedarilo nahrať súbor s celým názvom, takže som ho musel skrátiť.
Stiahnutie obrazu zo servera
Opačnú funkcií k uploadu je download, teda stiahnutie obrazu zo servera na switch. Vlastne sa jedná o upgrade switcha , pretože sa stiahne tar súbor, ten sa rozbalí a môže nasledovať aj reštart switcha. Pri tom môžeme vybrať, či chceme prepísať súčasný obraz týmto novým alebo ho zachovať a nový prihrať. Pri upgrade sa kontroluje, či je dostatok voľného miesta a či imidž zodpovedá danému switchi alebo či sa jedná o rovnakú verziu, ktorá je už na switchi.
SWITCH # archive download-sw ftp: // user: password@10.0.0.10/c3750.tar
Loading c3750.tar !!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!
!!!!!!!!!!!!!!!!!!!!!!!
[OK - 25353216/4096 bytes]
Loading c3750.tar !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!
examining image ...
Extracting info (110 bytes)
Extracting c3750e-universalk9-mz.122-40.SE/info (397 bytes)
Extracting c3750e-universalk9-mz.122-40.SE/info (399 bytes)
Extracting info (110 bytes)
Stacking Version Number: 1.36
System Type: 0x00000002
Ios Image File Size: 0x00AEB200
Total Image File Size: 0x017F7800
Minimum Dram required: 0x08000000
Image Suffix: universalk9-122-40.SE
Image Directory: c3750e-universalk9-mz.122-40.SE
Image Name: C3750E-universalk9-mz.122-40.SE.bin
Image Feature: IP | LAYER_3 | PLUS | SSH | 3DES | MIN_DRAM_MEG = 128
Keď prebieha download , tak môžeme zistiť stav operácie, odpoveď je jedna z nižšie uvedených.
SWITCH # show archive status
IDLE: No upgrade in progress
LOADING: Upgrade in progress
EXTRACT: Extracting the image
VERIFY: Verifying softvér
RELOAD: Upgrade completed. reload pending
Pozn .: Na stacku môžeme príkazarchivepoužiť len na master switchi, obraz sa potom rozkopíruje na všetkých členov. Pre upgrade switche s nekompatibilným obrazom môžeme použiťarchive copy-swna kopírovanie z existujúceho člena stacku. Switch sa automaticky reštartuje a pripojí.
S príkazom archive download-swmôžeme použiť niektorý z radu prepínačov, napríklad:
/overwrite– prepíše pôvodný obraz vo flash pamäti/reload– po stiahnutí obrazu prevedie reštart switcha (ak neexistujú neuložené zmeny konfigurácie)/leave-old-sw– ponechá pôvodné obraz na switchi/allow-feature-upgrade– povolí inštaláciu obrazu s inými vlastnosťami (feature sets)
Pozn .: Ak máme plnú pamäť, tak môžeme ručne zmazať pôvodný obraz pomocoudelete /force /recursive url. Iba nesmieme reštartovať switch než nahráme nový obraz.
Celá operácia upgradu môže celkom dlho trvať. Priebeh je taký, že sa vytvorí adresár update , do neho sa rozbalí sťahovaný obraz, ak máme nastavené overwrite , tak sa následne zmaže pôvodný adresár, a update sa premenuje na správny názov.