Under arbete . . . . . . . . .

Cisco IOS Resilient Configuration Feature
Cisco IOS elastiska konfigurationsfunktion möjliggör snabbare återställning om någon med uppsåt eller oavsiktligt formaterar om flashminnet eller raderar startkonfigurationsfilen i NVRAM (nonvolatile random-access memory). Funktionen upprätthåller en säker arbetskopia av routerns IOS-bildfil och en kopia av den körande konfigurationsfilen. Dessa säkra filer kan inte tas bort av användaren och kallas den primära startuppsättningen.
Figuren beskriver några fakta om Cisco IOS-fjädrande konfiguration.
• Konfigurationsfilen i den primära bootsen är en kopia av den körande konfigurationen som fanns i routern när funktionen först aktiverades.
• Funktionen säkrar den minsta fungerande uppsättningen filer för att bevara beständigt lagringsutrymme. Inget extra utrymme krävs för att säkra den primära Cisco IOS-bildfilen.
• Funktionen upptäcker automatiskt bild- eller konfigurationsversionsfel.
• Endast lokal lagring används för att säkra filer, vilket eliminerar skalbarhetsunderhållsutmaningar från lagring av flera bilder och konfigurationer av TFTP-servrar.
• Funktionen kan endast inaktiveras genom en konsolsession.
• Funktionen är endast tillgänglig för system som stöder ett PCMCIA Advanced Technology Attachment (ATA) flash-gränssnitt.
Aktiverar IOS Image Resilience Feature
Kommandon för att säkra IOS-bilden och den körande konfigurationsfilen visas i figuren. För att säkra IOS-avbildningen och aktivera Cisco IOS-bildmotståndskraft, använd kommandot säker boot-image globalt konfigurationsläge. När den är aktiverad för första gången är den körande Cisco IOS-bilden säker och en loggpost genereras. Cisco IOS-bildresiliensfunktionen kan endast inaktiveras genom en konsolsession med kommandot no-form. Detta kommando fungerar endast korrekt när systemet är konfigurerat att köra en bild från en flashenhet med ett ATA-gränssnitt. Dessutom måste den körande bilden laddas från beständig lagring för att vara säkrad som primär. Bilder som laddas från en fjärrplats, till exempel en TFTP-server, kan inte säkras.
För att ta en ögonblicksbild av routerns konfiguration och säkert arkivera den i beständig lagring, använd kommandot säker boot-config globalt konfigurationsläge, som visas i bilden. Ett loggmeddelande visas på konsolen som meddelar användaren att konfigurationsförmågan är aktiverad. Konfigurationsarkivet är dolt och kan inte visas eller tas bort direkt från CLI-prompten. Du kan använda kommandot secure boot-config upprepade gånger för att uppgradera konfigurationsarkivet till en nyare version efter att nya konfigurationskommandon har utfärdats.
Säkra filer visas inte i utdata från ett dir-kommando som utfärdas från CLI. Detta beror på att Cisco IOS-filsystemet förhindrar att säkra filer listas. Arkiven för den körande bilden och den körande konfigurationen är inte synliga i dir-kommandoutgången. Använd kommandot show secure bootset för att verifiera existensen av arkivet, som visas i bilden.
Den primära bootset-bilden
Återställ en primär bootset från ett säkert arkiv efter att routern har manipulerats, som visas i bilden:
Steg 1. Ladda om routern med kommandot reload. Om det behövs, utfärda brytsekvensen för att gå in i ROMmon-läge.
Steg 2. Från ROMmon-läge, ange dir-kommandot för att lista innehållet på enheten som innehåller den säkra bootset-filen.
Steg 3. Starta routern med den säkra bootset-avbildningen med hjälp av boot-kommandot följt av flashminnesplatsen (t.ex. flash0), ett kolon och filnamnet i steg 2.
Steg 4. Gå in i globalt konfigurationsläge och återställ den säkra konfigurationen till ett valfritt filnamn med hjälp av kommandot secure boot-config restore följt av flashminnesplatsen (t.ex. flash0), ett kolon och ett valfritt filnamn. I figuren används filnamnet rescue-cfg.
Steg 5. Avsluta globalt konfigurationsläge och utfärda kopieringskommandot för att kopiera den räddade konfigurationsfilen till den pågående konfigurationen.
Konfigurera säker kopiering
Cisco IOS Resilient-funktionen tillhandahåller en metod för att säkra IOS-bilden och konfigurationsfilerna lokalt på enheten. Använd SCP-funktionen (Secure Copy Protocol) för att fjärrkopiera dessa filer. SCP tillhandahåller en säker och autentiserad metod för att kopiera routerkonfiguration eller routerbildfiler till en avlägsen plats. SCP förlitar sig på SSH och kräver att AAA-autentisering och auktorisering konfigureras så att routern kan avgöra om användaren har rätt behörighetsnivå.
Obs: AAA-konfiguration kommer att behandlas mer i detalj i ett senare kapitel.
Konfigurera routern för SCP på serversidan med lokal AAA:
Steg 1. Konfigurera SSH, om det inte redan är konfigurerat.
Steg 2. För lokal autentisering, konfigurera minst en användare med behörighetsnivå 15.
Steg 3. Aktivera AAA med kommandot aaa new-model global configuration mode.
Steg 4. Använd det lokala standardkommandot för aaa authentication login för att ange att den lokala databasen ska användas för autentisering.
Steg 5. Använd det lokala standardkommandot aaa authorization exec för att konfigurera kommandoauktorisering. I det här exemplet kommer alla lokala användare att ha tillgång till EXEC-kommandon.
Steg 6. Aktivera SCP-serversidans funktionalitet med kommandot ip scp server enable.
R1 är nu en SCP-server och kommer att använda SSH-anslutningar för att acceptera säkra kopieringsöverföringar från autentiserade och auktoriserade användare. Överföringar kan komma från vilken SCP-klient som helst oavsett om den klienten är en annan router, switch eller arbetsstation.
Figur 2 visar en SCP-överföring från router till router. På R2 använder du kommandot kopiera. Ange först källfilens plats (flash0:R2backup.cfg) och sedan destinationen (scp:). Svara på serien av uppmaningar för att upprätta en anslutning till SCP-servern på R1. På R1 kan du ange kommandot debug ip scp för att se överföringen fortsätta. Det vanligaste autentiseringsproblemet är en felaktig kombination av användarnamn/lösenord. Det finns också ett autentiseringsfel om kombinationen av användarnamn/lösenord inte konfigurerades med nyckelordet privilegium 15 på SCP-servern.
R2 SCP Överför till R1