جلوگیری از تغییرات همزمان در تجهیزات Cisco با Configuration Lock

تاریخ انتشار: آخرین بروزرسانی:
جلوگیری از تغییرات همزمان در تجهیزات Cisco با Configuration Lock
تصویر شاخص آموزش شبکه

در تجهیزات سیسکو معمولاً چند نفر می‌توانند همزمان SSH بزنند و وارد دستگاه شوند. این موضوع برای تیم عملیات شبکه لازم است، اما وقتی چند نفر همزمان وارد configuration mode شوند، ریسک خراب شدن تغییرات بالا می‌رود. یکی یک ACL را تغییر می‌دهد، نفر بعدی route را عوض می‌کند، و آخر کار مشخص نیست دقیقاً کدام تغییر باعث مشکل شده است.

برای کم کردن این ریسک، Cisco IOS امکان configuration mode exclusive را دارد. با این قابلیت می‌شود کاری کرد که وقتی یک نفر در حال تغییر تنظیمات است، نفر دیگر نتواند همزمان وارد همان فضای تغییرات شود یا حداقل مجبور شود صبر کند.

مشکل تغییر همزمان چیست؟

در شبکه‌های کوچک شاید تغییر همزمان کم پیش بیاید، اما در محیط‌های عملیاتی، مخصوصاً زمان incident، چند نفر ممکن است روی یک روتر یا سوییچ کار کنند. اگر کنترل و هماهنگی نباشد، تغییرات همدیگر را overwrite می‌کنند، troubleshooting سخت‌تر می‌شود و rollback هم مبهم می‌ماند.

حتی اگر همه افراد باتجربه باشند، همزمانی تغییرات روی یک تجهیز حساس می‌تواند باعث خطای انسانی شود. برای همین بهتر است علاوه بر change process، خود دستگاه هم تا حدی جلوی تغییر همزمان را بگیرد.

فعال کردن Configuration Lock

برای فعال کردن حالت exclusive می‌توان از دستور زیر استفاده کرد:

configure terminal
configuration mode exclusive auto

در حالت auto وقتی یک کاربر وارد configuration mode می‌شود، lock به صورت خودکار اعمال می‌شود و کاربر دیگر نمی‌تواند همزمان تغییر تنظیمات انجام دهد. این حالت برای بیشتر محیط‌ها ساده‌تر و امن‌تر است.

اگر بخواهید lock دستی باشد، می‌توانید از حالت manual استفاده کنید:

configure terminal
configuration mode exclusive manual

در این روش، ادمین بعد از ورود به configuration mode باید خودش lock را فعال کند:

configure terminal lock

بررسی وضعیت Lock

برای دیدن اینکه چه کسی lock را گرفته و وضعیت فعلی چیست، از این دستور استفاده می‌شود:

show configuration lock

در خروجی، اطلاعاتی مثل owner، نوع lock، مدت فعال بودن و درخواست‌های pending دیده می‌شود. این خروجی هنگام troubleshooting مفید است، مخصوصاً وقتی یکی از اعضای تیم می‌گوید نمی‌تواند وارد configuration mode شود.

نکات عملیاتی

اگر این قابلیت را فعال می‌کنید، تیم عملیات باید بداند چرا فعال شده و در چه شرایطی ممکن است منتظر lock بماند. بهتر است قبل از تغییرات مهم، owner تغییر مشخص باشد و بعد از پایان کار هم session باز و رها شده باقی نماند.

این قابلیت جایگزین AAA، accounting و change management نیست. هنوز باید بدانیم چه کسی وارد دستگاه شده، چه دستوری زده و چرا. Configuration lock فقط جلوی یک بخش از خطای انسانی را می‌گیرد: همزمانی تغییرات روی یک تجهیز.

مطالب مرتبط

برچسبها
,,
مطالب مرتبط
کاهش False Positive در FortiWeb WAF؛ تنظیم امن بدون کور کردن دفاعکاهش False Positive در FortiWeb WAF؛ تنظیم امن بدون کور کردن دفاع
32 views
عیب‌یابی Deploy نشدن Policy در Cisco FMC/FTDعیب‌یابی Deploy نشدن Policy در Cisco FMC/FTD
39 views
راهنمای خواندن دیتاشیت فایروال؛ چرا اعداد کارایی همیشه واقعی نیستند؟راهنمای خواندن دیتاشیت فایروال؛ چرا اعداد کارایی همیشه واقعی نیستند؟
624 views
چرا مهندس شبکه و امنیت باید پایتون یاد بگیرد؟چرا مهندس شبکه و امنیت باید پایتون یاد بگیرد؟
395 views
پیکربندی امن تجهیزات شبکه؛ کنترل تغییرات، دسترسی و سخت‌سازیپیکربندی امن تجهیزات شبکه؛ کنترل تغییرات، دسترسی و سخت‌سازی
2,790 views
نگهداری، پایش و تحلیل لاگ؛ حافظه قابل اعتماد برای امنیت شبکهنگهداری، پایش و تحلیل لاگ؛ حافظه قابل اعتماد برای امنیت شبکه
3,892 views

دیدگاهی بنویسید.

بهتر است دیدگاه شما در ارتباط با همین مطلب باشد.