Cisco IOS y el bloqueo de configuración

( redes / cisco_ios )

El siguiente artículo es una traducción (libre por supuesto) de un artículo de David Davis que podéis leer aquí.

Si hay varios administradores de red que se conectan a un router y modifican la configuración, al mismo tiempo, los cambios podrían perderse o sólo implementados parcialmente, resultando caídas de red. David Davis introduce una nueva característica denominada Cisco IOS bloqueo de configuración que ayuda a prevenir ese tipo de enfrentamientos.


¿Cómo puede el bloqueo de configuración ayudar?

Como se sabe, cualquier persona que tenga acceso de administrador de red puede realizar cambios en la gestión de configuración en cualquier momento. Da igual el tipo de servicio que se esté dando, esta nueva función le permitirá el control de los cambios en su configuración activa. Acceso exclusivo a cambios en configuración  o el bloqueo de configuración, como se la denomina a veces, incluye la característica del bloqueo de acceso a la sesión. La sintaxis completa de este comando:

Router(config)# configuration mode exclusive {auto | manual} [expire seconds] [lock-show] [interleave] [terminate] [config_wait seconds] [retry_wait seconds]
  auto    Lock configuration mode automatically
  manual  Lock configuration mode on-demand

Si bien puede configurar el bloqueo de configuración para ser automático o manual, yo creo que la mayoría de los administradores lo configuran en modo automático.

Establecer la configuración de bloqueo en modo automático

Veamos lo fácil que es activar esta función.

Router(config)# configuration mode exclusive auto

Si se utiliza auto, bloquea la sesión de configuración cada vez que configure terminal se utiliza. Si utiliza manual, permite elegir el bloqueo cuando se utiliza configure terminal lock. Vamos algunos ejemplos de esta gran función.

Si se utiliza manual, se debe habilitar el bloqueo de configuración cada vez que entrar en el modo de configuración global. Así, en lugar de utilizar configuration terminal o conf t, se debe añadir lock, de esta forma:

Router# configure terminal lock

Enter configuration commands, one per line.  End with CNTL/Z

Router(config)#

El programa de configuración de bloqueo de mando

¿Cómo sabe el estado del bloqueo de configuración? ¿Cómo saber si alguien más está editando la configuración? Se puede utiliza el comando show configuration lock. Fijarse cómo la salida del comando se ve muy diferente de cuando alguien ha bloqueado la configuración de cuando no hay bloqueo.

Salida cuando no hay nadie más editando la configuración:

Router(config)# show configuration lock

Parser Configure Lock
——————————————————
Owner PID        :  10
User             :  User3
TTY              :  3
Type             :  EXCLUSIVE
State            :  LOCKED
Class            :  Exposed
Count            :  0
Pending Requests :  0
User debug info  :  0

Salida cuando otro usuario ha bloqueado la configuración:

Router# show configuration lock

Parser Configure Lock
——————————————————
Owner PID                         : 3
User                              : unknown
TTY                               : 0
Type                              : EXCLUSIVE
State                             : LOCKED
Class                             : EXPOSED
Count                             : 1
Pending Requests                  : 0
User debug info                   : configure terminal
Session idle state                : TRUE
No of exec cmds getting executed  : 0
No of exec cmds blocked           : 0
Config wait for show completion   : FALSE
Remote ip address                 : Unknown
Lock active time (in Sec)         : 6
Lock Expiration timer (in Sec)    : 593

Router(config)#

Hay que tener en cuenta que el uso de configure terminal lock es temporal y deshabilitado tan pronto como el administrador sale del modo de configuración. Cuando otro administrador de red trata de acceder vía telnet en un router que tiene un bloqueo exclusivo, obtendrá un error de bloqueo con el ID de usuario que tiene el bloqueo exclusivo. Esto puede ser muy útil cuando te das cuenta de cómo muchos administradores de red pueden hacer cambios y volver a ejecutar la configuración. Tal vez este sería un buen momento para volver a evaluar por qué esto está sucediendo. Tal vez haya necesidad de crear algunos procedimientos nuevos para ayudar a los administradores de red.

Este es un buen momento para hablar brevemente acerca de la característica de rollback que viene con la exclusiva función de bloqueo. Podría ser que los administradores podrían estar intentando poner la configuración a una copia guardada anteriormente. La característica replace and configure rollback hace exactamente eso. Se sustituye con configuración activa actual en funcionamiento con cualquier configuración IOS guardada en un archivo. Aunque hay algunas restricciones. Bloqueo de Acceso a la Sesión viene con esta función. Previene los procesos como el show, mientras que los cambios de configuración se están realizando. Es interesante echar un vistazo a la documentación de Cisco "www.cisco.com/en/US/docs/ios/12_3t/12_3t7/feature/guide/gtrollbk.html" para obtener más información.

El bloqueo de configuración de Cisco IOS es una parte esencial de la administración de la red. Se puede utilizar esta función para bloquear a otros usuarios de ejecutar configuraciones o incluso acceder a mostrar los comandos show. También puede limitar los segundos con el campo expire seconds, el número de segundos en que la configuración de bloqueo se libera después de que el usuario deja de hacer cambios en la configuración. Y es inestimable para ver qué procesos están siendo utilizados y que está haciendo, lo que maximizará la competencia y la eficiencia de su red. Para obtener más información, consulte la documentación de Cisco, "www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gt_exclu.html".

Modificado el 8 Agosto, 2015
   

Compartiendo conocimiento desde 1995 - I.M.D. I.M.D.