善用IOS配置鎖防止路由配置錯亂

字號:

如果多名網(wǎng)絡(luò)管理員同時連接到路由器上對配置進(jìn)行改動的話,可能會出現(xiàn)導(dǎo)致改動丟失或者只能執(zhí)行部分內(nèi)容的情況,從而導(dǎo)致整個網(wǎng)絡(luò)的運行出現(xiàn)問題。在本文中,戴維·戴維斯將會向大家介紹思科網(wǎng)絡(luò)操作系統(tǒng)提供的一項新功能:配置鎖,它可以用來防止這種情況的出現(xiàn)。
    配置鎖有什么用處?
    就象大家都知道的一樣,只要擁有了網(wǎng)絡(luò)管理員的權(quán)限,就可以在任何時間改動路由器的運行配置。如果你負(fù)責(zé)的是一家大型電腦商場或者管理著包括了數(shù)名技術(shù)人員團隊的話,思科網(wǎng)絡(luò)操作系統(tǒng)的這項新功能可以幫助你對運行配置的更改操作進(jìn)行控制。它可以儀對配置的改變進(jìn)行專門的控制,由于包含了訪問會話鎖定功能,所以被稱做配置鎖。下面顯示的就是這個命令的內(nèi)容:
    Router(config)# configuration mode exclusive {auto   manual} [expire seconds] [lock-show] [interleave] [terminate] [config_wait seconds] [retry_wait seconds]
    配置鎖功能支持自動或手動模式的設(shè)置,我個人認(rèn)為大部分網(wǎng)絡(luò)管理員會選擇設(shè)置在自動模式下工作。
    在自動模式下如何對配置鎖進(jìn)行設(shè)置
    在自動模式下,激活配置鎖功能非常簡單。
    Router(config)# configuration mode exclusive auto
    如果你選擇了使用自動關(guān)鍵字設(shè)置的話,它將在使用終端配置路由器的時間,自動鎖定相關(guān)的配置。如果選擇手動關(guān)鍵字設(shè)置的話,它將在該關(guān)鍵字被使用的時間,鎖定配置。下面我們就通過幾個例子,看看這項功能有多強大。
    如果你選擇使用手動關(guān)鍵字模式的話,就必須在每次進(jìn)入全局配置模式都啟用配置鎖功能。因此,使用終端配置路由器的時間,你必須象下面演示的那樣在最后加入關(guān)鍵字:
    Router# configure terminal lock
    Enter configuration commands, one per line. End with CNTL/Z
    Router(config)#
    顯示配置鎖的命令
    怎樣才能了解配置鎖的運行情況?如果有人在改動配置的config文件的話,怎么才能知道?使用顯示配置鎖命令就可以完成相應(yīng)的工作。請注意,在沒有鎖定和已經(jīng)鎖定的情況下,命令的輸出結(jié)果是完全不同的。
    · 沒有人進(jìn)行編輯的情況下的輸出結(jié)果:
    Router(config)# show configuration lock
    Parser Configure Lock
    Owner PID : 10
    User : User3
    TTY : 3
    Type : EXCLUSIVE
    State : LOCKED
    Class : Exposed
    Count : 0
    Pending Requests : 0
    User debug info : 0
    · 有人正在進(jìn)行編輯的情況下的輸出結(jié)果:
    Router# show configuration lock
    Parser Configure Lock
    ——————————————————
    Owner PID : 3
    User : unknown
    TTY : 0
    Type : EXCLUSIVE
    State : LOCKED
    Class : EXPOSED
    Count : 1
    Pending Requests : 0
    User debug info : configure terminal
    Session idle state : TRUE
    No of exec cmds getting executed : 0
    No of exec cmds blocked : 0
    Config wait for show completion : FALSE
    Remote ip address : Unknown
    Lock active time (in Sec) : 6
    Lock Expiration timer (in Sec) : 593
    Router(config)#
    請注意,配置鎖功能的效果只是暫時的,出現(xiàn)這種情況的時間,網(wǎng)絡(luò)管理員應(yīng)該盡快地退出思科網(wǎng)絡(luò)操作系統(tǒng)的配置模式。當(dāng)另一位網(wǎng)絡(luò)管理員嘗試遠(yuǎn)程登錄到路由器上的時間,他或者她將由于排它鎖功能導(dǎo)致用戶名出現(xiàn)錯誤。在它的幫助下,對運行配置進(jìn)行改動將變得更加方便。某種程度上,這是一個對現(xiàn)有的網(wǎng)絡(luò)管理規(guī)則進(jìn)行重新評估,以了解網(wǎng)絡(luò)實際運行情況的好機會。你也應(yīng)該根據(jù)出現(xiàn)的問題制定新的規(guī)則,讓網(wǎng)絡(luò)管理員的工作更有效。
    這是一個不錯的機會,我簡單介紹一下獨占鎖的回滾功能。它可以在你的管理員試圖將運行配置恢復(fù)到保存的配置副本的時間使用。這項功能和配置回滾功能并不是完全相同的。它將會取代思科網(wǎng)絡(luò)操作系統(tǒng)目前所有的運行配置。不過也有一些相關(guān)的限制。訪問會話鎖定模式配備了該功能。它可以支持象配置被改動的時間顯示相關(guān)命令的執(zhí)行情況之類的操作。想了解更詳細(xì)資料的話,可以登陸思科的官方網(wǎng)站文檔:Configuration Replace and Configuration Rollback(英文)。
    對于網(wǎng)絡(luò)管理來說,思科網(wǎng)絡(luò)操作系統(tǒng)提供的配置鎖功能是一個非常重要的組成部分。你可以利用這項功能來鎖定其它網(wǎng)絡(luò)管理員的運行配置,甚至查看相關(guān)的命令執(zhí)行情況。你還可以對配置鎖的時間進(jìn)行設(shè)定,保證配置更改的效果可以顯示出來。在配置鎖功能的幫助下,網(wǎng)絡(luò)的水平和效率將得到限度地提高。想了解更詳細(xì)資料的話,可以登陸思科的官方網(wǎng)站文檔:Exclusive Configuration Change Access (Config Lock)(英文)。