إعادة ضبط المصنع لدورة حياة التطوير الآمن لسلسلة CISCO ASR 920
الجدول 1: ميزة التاريخ
| اسم الميزة | معلومات الإصدار | وصف |
| دورة حياة تطوير Cisco Secure - إعادة ضبط المصنع | Cisco IOS XE Bengaluru 17.6.1 (تحديث) | هذه الميزة تزيل كل
البيانات التي تم تكوينها بواسطة المستخدم والتي يتم تخزينها على الجهاز منذ وقت شحنه. تتضمن البيانات التي تم مسحها التكوينات، السجل fileس، متغيرات التمهيد، النواة files، وبيانات الاعتماد مثل المفاتيح المرتبطة بـ FIPS. Cisco Secure Development Lifecycle (CSDL) هي عملية قابلة للتكرار والقياس مصممة لزيادة مرونة منتجات Cisco وموثوقيتها. تم تقديم الأوامر الجديدة التالية: • إعادة ضبط المصنع للجميع • اعدادات المصنع الاحتفاظ بمعلومات الترخيص • إعادة ضبط المصنع لجميع الطرق الآمنة الثلاثة |
بدءًا من إصدار Cisco IOS XE 17.6.1، تعمل ميزة Cisco Secure Development Lifecycle (CSDL) — Factory Reset على إزالة البيانات التالية الخاصة بالعميل والتي يتم تخزينها على الجهاز منذ وقت شحنه:
- التكوينات
- سجل files
- متغيرات التمهيد
- جوهر files
- بيانات اعتماد مثل المفاتيح المرتبطة بـ FIPS
يوفر الجدول التالي تفاصيل حول البيانات التي يتم مسحها والاحتفاظ بها أثناء عملية إعادة ضبط المصنع:
الجدول 2: البيانات التي تم مسحها والاحتفاظ بها أثناء إعادة ضبط المصنع
| تم مسح البيانات | تم الاحتفاظ بالبيانات |
| جميع صور Cisco IOS
ملحوظة تأخذ عملية إعادة ضبط المصنع نسخة احتياطية من صورة التمهيد إذا تم تشغيل النظام من صورة مخزنة محليًا (bootflash). |
البيانات من وحدات الاستبدال الميدانية البعيدة (FRUs) |
| معلومات الأعطال والسجلات | قيمة سجل التكوين |
| بيانات المستخدم وتكوين بدء التشغيل والتشغيل | محتويات USB |
| بيانات اعتماد مثل المفاتيح المرتبطة بـ FIPS | بيانات اعتماد مثل شهادات معرف الجهاز الفريد الآمن (SUDI) ومفاتيح البنية التحتية للمفتاح العام (PKI) |
| سجلات تسجيل الأعطال على متن الطائرة (OBFL) | — |
| متغيرات ROMMON التي أضافها المستخدم | — |
| التراخيص | — |
ملحوظة بعد إعادة ضبط المصنع، يعود الجهاز إلى ترخيصه الافتراضي.
تعمل إعادة ضبط المصنع على مسح كل مساحة التخزين المادية بشكل آمن للدخول في حالة نظيفة وحماية البيانات الحساسة. يتم حذف البيانات التالية كجزء من إعادة ضبط المصنع:
- كل ما هو قابل للكتابة file الأنظمة والبيانات الشخصية
- سجلات OBFL
- بيانات المستخدم وتكوين بدء التشغيل
- متغيرات ROMMON
- أوراق اعتماد المستخدم
- معلومات الترخيص
يتم استخدام عملية إعادة ضبط المصنع في السيناريوهين التاليين:
- ترخيص إرجاع المواد (RMA) لجهاز ما—إذا كان عليك إرجاع جهاز إلى Cisco للحصول على ترخيص RMA، فقم بإزالة جميع البيانات الخاصة بالعميل قبل الحصول على شهادة RMA للجهاز.
- استرداد الجهاز المخترق—إذا تعرضت المادة الأساسية أو بيانات الاعتماد المخزنة على الجهاز للاختراق، فأعد تعيين الجهاز إلى تكوين المصنع، ثم أعد تكوين الجهاز.
يتم إعادة تحميل الجهاز لإجراء إعادة ضبط المصنع مما يؤدي إلى دخول جهاز التوجيه في وضع ROMMON. بعد إعادة ضبط المصنع، يقوم الجهاز بمسح جميع متغيرات البيئة الخاصة به بما في ذلك MAC_ADDRESS وIP_ADDRESS، والتي تعد مطلوبة لتحديد موقع البرنامج وتحميله. قم بإجراء إعادة ضبط في وضع ROMMON لتعيين متغيرات البيئة تلقائيًا. بعد اكتمال إعادة ضبط النظام في وضع ROMMON، يمكنك إضافة صورة Cisco IOS إما عبر USB أو TFTP.
- المتطلبات الأساسية لإجراء إعادة ضبط المصنع، على الصفحة 3
- القيود المفروضة على إجراء إعادة ضبط المصنع، على الصفحة 3
- خيارات أمر إعادة ضبط المصنع، على الصفحة 3
- مسح المستخدم Files من Bootflash عند إعادة ضبط المصنع،
المتطلبات الأساسية لإجراء إعادة ضبط المصنع
- تأكد من إجراء نسخة احتياطية لجميع صور البرامج والتكوينات والبيانات الشخصية قبل إجراء عملية إعادة ضبط المصنع.
- تأكد من عدم وجود الجهاز في وضع التكديس حيث يتم دعم إعادة ضبط المصنع في الوضع المستقل فقط. بالنسبة للهيكل المعياري في وضع التوفر العالي، يتم تطبيق إعادة ضبط المصنع لكل مشرف.
- تأكد من وجود مصدر طاقة غير منقطع أثناء تقدم العملية.
- تأكد من إجراء نسخة احتياطية للصورة الحالية قبل البدء في عملية إعادة ضبط المصنع.
- تأكد من عدم إجراء ترقية البرنامج أثناء الخدمة (ISSU) أو تخفيض مستوى البرنامج أثناء الخدمة (ISSD) قبل بدء عملية إعادة ضبط المصنع.
حذر: قد يؤدي إزالة سجلات OBFL إلىampتحليل فشل er بعد RMA. اتخذ الاحتياطات اللازمة قبل حذف السجل files.
القيود المفروضة على إجراء إعادة ضبط المصنع
- لن يتم استعادة تصحيحات البرامج، إذا تم تثبيتها على الجهاز، بعد عملية إعادة ضبط المصنع.
- إذا تم إصدار أمر إعادة ضبط المصنع من خلال جلسة واحدة، فلن يتم استعادة الجلسة بعد اكتمال عملية إعادة ضبط المصنع.
خيارات أمر إعادة ضبط المصنع
- مسح كافة البيانات:
- لمسح جميع البيانات:
- جهاز التوجيه>تمكين
- جهاز التوجيه#إعادة ضبط المصنع لجميع
- يؤدي أمر إعادة ضبط المصنع بالكامل إلى مسح البيانات التالية:
- كل ما هو قابل للكتابة file الأنظمة والبيانات الشخصية
- سجلات OBFL
- بيانات المستخدم وتكوين بدء التشغيل
- متغيرات ROMMON
- أوراق اعتماد المستخدم
- معلومات الترخيص
مسح جميع البيانات باستثناء معلومات الترخيص
- لمسح جميع البيانات باستثناء معلومات الترخيص:
- جهاز التوجيه>تمكين
- #إعادة ضبط المصنع لجهاز التوجيه keep-licensing-info
- يؤدي أمر إعادة تعيين المصنع keep-licensing-info إلى مسح البيانات التالية:
- كل ما هو قابل للكتابة file الأنظمة والبيانات الشخصية
- سجلات OBFL
- بيانات المستخدم وتكوين بدء التشغيل
- متغيرات ROMMON
- أوراق اعتماد المستخدم
مسح جميع البيانات باستخدام معيار المسح DoD 5220.22-M:
- لمسح جميع البيانات باستخدام دليل تشغيل برنامج الأمن الصناعي الوطني (DoD 5220.22-M)
- معيار المسح:
- جهاز التوجيه>تمكين
- #جهاز التوجيه إعادة ضبط المصنع بالكامل آمن بثلاثة تمريرات
- وزارة الدفاع 5220.22-م
استخدم الخيارات التالية لأجهزة التوجيه HA والمستقلة
- يوجد أي خيار إعادة ضبط المصنع مع image.bin في المجلد الفرعي لملف boot flash.
- بالنسبة لأي خيار إعادة ضبط المصنع مع التمهيد المستند إلى packages.conf، إذا كان packages.conf موجودًا في أي مسار مجلد فرعي ضمن bootflash، فسيتم نسخ packages.conf والحزم مرة أخرى إلى مسار جذر bootflash بعد إعادة ضبط المصنع.
- تحقق من حالات الإلغاء الفوري من خلال "مراقبة مطالبة التأكيد". لا ينبغي أن يستمر أمر إعادة ضبط المصنع عند الإلغاء قبل التأكيد النهائي. عندما لا يمكن الوصول إلى جهاز التوجيه الاحتياطي، يجب أن تظهر رسالة تفيد بأنه سيتم إجراء إعادة ضبط المصنع على جهاز التوجيه النشط فقط.
ملحوظة
- إذا قمت بتشغيل الصورة من التخزين المحلي، فسيتم الاحتفاظ بالصورة (.bin أو packages.conf/packages) بعد إعادة ضبط المصنع.
- إذا قمت بتمهيد الصورة من خادم TFTP، فلن يتم نسخ الصورة التي تم تمهيدها إلى bootflash.
- يتم الاحتفاظ بقيمة سجل التكوين فقط. يتم مسح جميع متغيرات ROMMON الأخرى.
مسح المستخدم Files من Bootflash عند إعادة ضبط المصنع
الجدول 3: ميزة التاريخ
| اسم الميزة | معلومات الإصدار | وصف |
| مسح المستخدم Files من Bootflash عند إعادة ضبط المصنع مع تمكين تكوين "No Service Password Recovery" | سيسكو IOS XE كوبرتينو 17.9.1 | توفر هذه الميزة أمانًا إضافيًا عن طريق إزالة جميع بيانات المستخدم files من bootflash أثناء إعادة ضبط المصنع. فهو يمنع المستخدمين الضارين من الوصول إلى التكوين files التي يتم تخزينها في ذاكرة التمهيد على أجهزة التوجيه من سلسلة ASR 920. |
| هذه الميزة مدعومة فقط على Cisco ASR 920-10SZ-PD، Cisco ASR-920-12CZ-A/D، Cisco ASR-920-4SZ-A/D، Cisco
ASR-920-12SZ-IM، ASR-920U-12SZ-IM، سيسكو ASR-920-24SZ-IM، سيسكو موجهات ASR-920-24SZ-M، وCisco ASR-920-24TZ-M. |
بدءًا من Cisco IOS XE Cupertino 17.9.1، تعمل هذه الميزة على إزالة جميع بيانات المستخدم files من bootflash أثناء إعادة ضبط المصنع المرتبطة بـ "no service password recovery" على أجهزة التوجيه من سلسلة ASR 920. هذه الميزة مدعومة في إصدار ROMMON 15.6(53r)S وما بعده. تأكد من الترقية إلى إصدار Cisco IOS XE 17.9.1 Cupertino للحصول على ترقية تلقائية إلى إصدار ROMMON المحدد هذا. أثناء آلية الاسترداد من تكوين استعادة كلمة المرور بدون خدمة، عندما تحاول التمهيد باستخدام التكوينات الافتراضية (اضغط على CTRL+C و"نعم")، تساعد هذه الميزة في إزالة كلمة مرور المستخدم files من bootflash مع تكوين بدء التشغيل. فهو يمنع المستخدمين الضارين من الوصول إلى التكوين fileالملفات المخزنة في ملف bootflash. كل ما يلزم للنظام fileيتم الاحتفاظ بالصور والبرامج في ذاكرة التمهيد أثناء عملية المسح.
المستندات / الموارد
 |
إعادة ضبط المصنع لدورة حياة التطوير الآمن لسلسلة CISCO ASR 920 [بي دي اف] دليل المستخدم إعادة ضبط المصنع لدورة حياة التطوير الآمنة لسلسلة ASR 920، سلسلة ASR 920، إعادة ضبط المصنع لدورة حياة التطوير الآمنة، إعادة ضبط المصنع لدورة حياة التطوير، إعادة ضبط المصنع لدورة حياة التطوير، إعادة ضبط المصنع لدورة حياة التطوير، إعادة ضبط المصنع، إعادة الضبط |