جلوگیری از تغییرات همزمان در تجهیزات Cisco با Configuration Lock

در تجهیزات سیسکو معمولاً چند نفر می‌توانند همزمان SSH بزنند و وارد دستگاه شوند. این موضوع برای تیم عملیات شبکه لازم است، اما وقتی چند نفر همزمان وارد configuration mode شوند، ریسک خراب شدن تغییرات بالا می‌رود. یکی یک ACL را تغییر می‌دهد، نفر بعدی route را عوض می‌کند، و آخر کار مشخص نیست دقیقاً کدام تغییر باعث مشکل شده است.

برای کم کردن این ریسک، Cisco IOS امکان configuration mode exclusive را دارد. با این قابلیت می‌شود کاری کرد که وقتی یک نفر در حال تغییر تنظیمات است، نفر دیگر نتواند همزمان وارد همان فضای تغییرات شود یا حداقل مجبور شود صبر کند.

مشکل تغییر همزمان چیست؟

در شبکه‌های کوچک شاید تغییر همزمان کم پیش بیاید، اما در محیط‌های عملیاتی، مخصوصاً زمان incident، چند نفر ممکن است روی یک روتر یا سوییچ کار کنند. اگر کنترل و هماهنگی نباشد، تغییرات همدیگر را overwrite می‌کنند، troubleshooting سخت‌تر می‌شود و rollback هم مبهم می‌ماند.

حتی اگر همه افراد باتجربه باشند، همزمانی تغییرات روی یک تجهیز حساس می‌تواند باعث خطای انسانی شود. برای همین بهتر است علاوه بر change process، خود دستگاه هم تا حدی جلوی تغییر همزمان را بگیرد.

فعال کردن Configuration Lock

برای فعال کردن حالت exclusive می‌توان از دستور زیر استفاده کرد:

configure terminal
configuration mode exclusive auto

در حالت auto وقتی یک کاربر وارد configuration mode می‌شود، lock به صورت خودکار اعمال می‌شود و کاربر دیگر نمی‌تواند همزمان تغییر تنظیمات انجام دهد. این حالت برای بیشتر محیط‌ها ساده‌تر و امن‌تر است.

اگر بخواهید lock دستی باشد، می‌توانید از حالت manual استفاده کنید:

configure terminal
configuration mode exclusive manual

در این روش، ادمین بعد از ورود به configuration mode باید خودش lock را فعال کند:

configure terminal lock

بررسی وضعیت Lock

برای دیدن اینکه چه کسی lock را گرفته و وضعیت فعلی چیست، از این دستور استفاده می‌شود:

show configuration lock

در خروجی، اطلاعاتی مثل owner، نوع lock، مدت فعال بودن و درخواست‌های pending دیده می‌شود. این خروجی هنگام troubleshooting مفید است، مخصوصاً وقتی یکی از اعضای تیم می‌گوید نمی‌تواند وارد configuration mode شود.

نکات عملیاتی

اگر این قابلیت را فعال می‌کنید، تیم عملیات باید بداند چرا فعال شده و در چه شرایطی ممکن است منتظر lock بماند. بهتر است قبل از تغییرات مهم، owner تغییر مشخص باشد و بعد از پایان کار هم session باز و رها شده باقی نماند.

این قابلیت جایگزین AAA، accounting و change management نیست. هنوز باید بدانیم چه کسی وارد دستگاه شده، چه دستوری زده و چرا. Configuration lock فقط جلوی یک بخش از خطای انسانی را می‌گیرد: همزمانی تغییرات روی یک تجهیز.

مطالب مرتبط

• هاردنینگ Cisco و کنترل IP Options
• هاردنینگ Cisco و کنترل IP Fragments
• راهنمای عملی هاردنینگ