路由交換操作系統(tǒng)備份與升級

基于安全的考慮，網(wǎng)絡管理員要對網(wǎng)絡設(shè)備的配置信息和IOS進行備份，如果需要將新的特性部署到網(wǎng)絡設(shè)備上，很多時候就需要對IOS的版本進行升級。
　　
　　不小心把IOS誤刪掉或者在升級IOS失敗，重啟后進入ROMMON（ROMMON狀態(tài)是ROM MONITOR的縮寫）狀態(tài)，是比較常見的事情。本文內(nèi)容將介紹IOS備份與恢復的兩種方法。
　　
問題：網(wǎng)絡設(shè)備操作系統(tǒng)的償試困難
　　
　　很多想考CISCO認證的朋友經(jīng)�？嘤趯崙�(zhàn)演練沒有設(shè)備，北京某培訓中心根據(jù)業(yè)務發(fā)展的情況，對部分VIP學員免費開放了實驗環(huán)境。并且在這些設(shè)備所組成的拓撲上，配置和實現(xiàn)很多復雜的功能，但學員經(jīng)常拔插Console線，這會對Console口造成極大的損傷。基于以上考慮，培訓中心在原有培訓實驗室的基礎(chǔ)上建立了一套遠程試驗室，大部分的實驗環(huán)境都實現(xiàn)了隔離，也就是說，練習學員很少能接觸到真實的設(shè)備。
　　
　　實驗室也進行了一些規(guī)定，例如一些危險性的命令（erase flash）是不允許操作的。但是還有一些學員并沒有很好的遵守這些規(guī)定，導致一些設(shè)備出現(xiàn)了IOS損壞的情況。一些設(shè)備已經(jīng)無法使用，只能進入ROMMON狀態(tài)，不能進行正常的路由轉(zhuǎn)發(fā)功能和軟件配置，在這種模式下，原IOS中的大部分命令都無法使用。
　　
　　網(wǎng)絡管理員在修復這些設(shè)備時，首先檢查了 config-register設(shè)置的情況（正常config- register應該是0x2102的），但發(fā)現(xiàn)沒有問題，已經(jīng)可以確認是IOS遭到了致命的傷害。另外，一些網(wǎng)絡設(shè)備的IOS版本特性已經(jīng)升級了，在獲取新的IOS后也需要對這些設(shè)備進行更新操作。培訓中心的網(wǎng)絡維護需求如下：
* 升級一些交換機的IOS版本，讓交換機支持更多的特性。
* 修復被破壞的路由器IOS。

提示：
　　在實驗環(huán)境中，升級IOS的情況也是比較常見的，例如，CISCO 2950 交換機頻繁發(fā)生吊死故障，發(fā)生吊死的交換機無任何警告信息，重啟后即恢復正常。通過將交換機IOS版本由12.11（EA1）升級到12.12(EA2) 之后的版本，故障現(xiàn)象就可以消失。

操作系統(tǒng)備份解決思路

在利用config-register檢查寄存器沒有問題的情況下，就需要檢查IOS大小和文件名是否出現(xiàn)了改動。用dir flash: 命令；注意命令中flash后面跟冒號“：”，執(zhí)行命令后會顯示flash現(xiàn)存的IOS大小和文件名，如下：
　　　　rommon 1 > dir flash:
　　　　File size Checksum File name
　　　　2179331 bytes (0x214103) 0x7b95 c1600-nsy-mz_112-15a_p
　　　　
　　如果File name和File size的兩項都和系統(tǒng)之前的快照不一致，那就需要操作系統(tǒng)恢復的步驟了。此時，管理員可以根據(jù)IOS的備份恢復系統(tǒng)，可以利用“TFTP”和“XMODEM”兩種方式。下面介紹一下升級與備份前的準備工作。
　　
　　1．選擇傳輸協(xié)議

升級或恢復IOS的方法可以有3種：TFTP、XMODEM和FTP，但前面兩種比較常用。
　　在實驗室升級網(wǎng)絡設(shè)備的操作系統(tǒng)還是比較簡單的，風險只存在實驗網(wǎng)絡，但在生產(chǎn)網(wǎng)絡中升級IOS的風險是無處不在的。在高端設(shè)備的升級中，很有可能會發(fā)生一些意想不到的事，比如，用TFTP傳輸Cisco 6509 交換機IOS就會出現(xiàn)問題，這是因為TFTP（Trivial File Transfer Protocol）普通文件傳輸協(xié)議最大就支持傳輸32MB的文件，而新的IOS要超過這個限制，所以需要使用FTP進行升級。
　　
　　1）TFTP

TFTP（Trivial File Transfer Protocol，簡單文件傳輸協(xié)議）是TCP/IP協(xié)議集中的一個用來在客戶機與服務器之間進行簡單文件傳輸?shù)膮f(xié)議，提供不復雜、開銷不大的文件傳輸服務。TFTP承載在UDP上，提供不可靠的數(shù)據(jù)流傳輸服務，不提供存取授權(quán)與認證機制，使用超時重傳方式來保證數(shù)據(jù)的到達。

可以從它的名稱上看出，它適合傳送“簡單”的文件。與FTP不同的是：它使用的是UDP的69接口，因此它可以穿越許多防火墻。不過它也有缺點，比如傳送不可靠、沒有密碼驗證等。雖然如此，它還是非常適合傳送小型文件的，就比如網(wǎng)絡設(shè)備的IOS文件。
　　
　　2）XMODEM

XMODEM協(xié)議是最早出現(xiàn)的兩臺計算機間通過RS232異步串口進行文件傳輸?shù)耐ㄐ艆f(xié)議標準，相對于YMODEM、ZMODEM等其他文件傳送協(xié)議來說，XMODEM協(xié)議實現(xiàn)簡單，適合于那些存儲器有限的場合。

XMODEM文件發(fā)送方將文件分解成128字節(jié)的定長數(shù)據(jù)塊，每發(fā)送一個數(shù)據(jù)塊，等待對方應答后才發(fā)送下一個數(shù)據(jù)塊，數(shù)據(jù)校驗采用垂直累加和校驗，也可以采用16位的CRC校驗。屬于簡單ARQ（自動請求重發(fā)）協(xié)議，所以也適合于2線制的半雙工的RS485網(wǎng)絡中使用。
　　
　　2．升級準備與注意事項
　　
　　操作系統(tǒng)作為一個復雜系統(tǒng)，不論在發(fā)布之前多么仔細地進行測試，總會有缺陷產(chǎn)生的。出現(xiàn)缺陷后的唯一辦法就是盡快給系統(tǒng)打上補丁；如果是網(wǎng)絡設(shè)備的操作系統(tǒng)，它與其他通用操作系統(tǒng)（Windows和Linux）的區(qū)別在于IOS需要將整個系統(tǒng)更換為打過補丁的系統(tǒng)。IOS的恢復也不存在恢復部分文件的情況，因為IOS本身就是一個鏡像文件。
　　
　　1）獲取最新的IOS版本

新版本的IOS可以從供應商、思科網(wǎng)站及一些第三方工具等渠道獲得。例如IOSHunter，IOSHunter是一款可以在網(wǎng)上自動查找對于路由器或交換機合適的IOS Image的工具，操作方法非常簡單，圖6-5為IOSHunter的操作界面。

在選擇新的IOS軟件時要考慮下面兩個因素：
　　
　�。�1）降低成本

現(xiàn)有網(wǎng)絡設(shè)備中的FLASH/DRAM一旦不滿足大尺寸IOS的要求，不得不采購新的FLASH/ DRAM，這會帶來成本開銷和一定的采購周期。

圖IOSHunter IOS搜索工具

（2）運行穩(wěn)定

新的IOS如果剛剛問世不久，也許會有新的安全漏洞和不穩(wěn)定因素。對于企業(yè)生產(chǎn)網(wǎng)絡來說，穩(wěn)定、連續(xù)運行才是我們追求的目標，而不是功能齊全但暫時超出我們所需的軟件，更不必說這些太新的軟件會帶給生產(chǎn)網(wǎng)的潛在風險。所以，最新的軟件不一定穩(wěn)定可靠，我們需要的是被廣泛使用了一段時間并且被證明能夠穩(wěn)定運行、消除了大量BUG的軟件，而且盡量選擇與現(xiàn)有軟件主版本號一致的軟件。
　　
　　2）確認升級范圍與順序

在此步驟中，以Cisco的網(wǎng)絡設(shè)備為例，主要是要確認有安全漏洞的IOS軟件版本和受影響的設(shè)備范圍。首先從Cisco網(wǎng)站上查出有安全漏洞的IOS軟件版本及替代版本。其次，根據(jù)IT資產(chǎn)數(shù)據(jù)庫，確定受影響的硬件設(shè)備范圍。
　　
　　根據(jù)企業(yè)網(wǎng)絡環(huán)境、數(shù)據(jù)流向及業(yè)務特點分析，需要確定升級原則，即首先升級次要節(jié)點中的次要設(shè)備，再升級主要節(jié)點中的次要設(shè)備，然后升級次要節(jié)點中的主要設(shè)備，依此類推。
　　
　　之所以先升級次要節(jié)點的次要設(shè)備，是因為無法預測在實際升級后的生產(chǎn)網(wǎng)運行期間還會出現(xiàn)什么未知問題。而首先升級最次要的設(shè)備，即使真的出現(xiàn)問題，相對其他主要節(jié)點的影響而言，它對用戶業(yè)務的影響也會小些。換句話說，次要節(jié)點可以作為整體升級的“試驗田”，一旦出現(xiàn)問題，使我們有機會回退并降低風險和項目壓力，后續(xù)的升級也可以及時中止。
　　
　　3）評估FLASH/DRAM容量

對于新的替代IOS軟件，其文件尺寸往往大于舊的軟件，此時需要在升級前檢查網(wǎng)絡設(shè)備的Flash/DRAM的有效容量是否滿足新IOS軟件的運行要求。Flash/DRAM的有效容量有以下兩種情況：

（1）容量大

當Flash/DRAM的有效容量可同時容納兩個IOS軟件時，可以在不刪除舊IOS軟件的情況下將新IOS軟件上傳到即將升級設(shè)備的Flash卡中，這是最理想的情形。其好處是：當升級失敗時，可以立即回退啟用原來的IOS軟件，降低升級過程中的風險。

（2）容量小

有效容量只能容納一個IOS軟件時，上傳新的IOS軟件前需要刪除舊的IOS軟件，然后重新啟動網(wǎng)絡設(shè)備，這可能帶來一定的風險，一旦重啟動失敗，需要現(xiàn)場人工干預重新啟用舊的IOS軟件。

4）物理準備

在升級操作過程中，切記不可斷電，所以需要配置UPS（不間斷電源）供電。另外，使用的物理線路也需要提前測試，保證其傳輸性能穩(wěn)定。

5）操作準備

絕大部分的升級工作都需要管理員直接接觸到網(wǎng)絡設(shè)備，準備操作的平臺（臺式機、筆記本均可），用于對交換機進行配置操作及作為TFTP服務器存儲IOS文件，以及連接設(shè)備的直通線和Console線。

操作系統(tǒng)升級與恢復方案
　　
　　如果是通過網(wǎng)絡升級IOS，運行TFTP Server主機連接交換機的接口沒有限制，TFTP Server的地址可以隨意定義，但必須與網(wǎng)絡設(shè)備定義的地址在同一網(wǎng)段上。連接至路由器時，必須使用路由器的第一個以太網(wǎng)口，即Ethernt0（對Cisco 2500系列等）和Ethernet0/0（對Cisco 2600系列等），其他系列略有差別，可根據(jù)使用手冊進行確定。下面將詳細介紹IOS文件修復的步驟。
　　
　　1．部署TFTP

首先需要安裝TFTP Server軟件，這里使用Cisco TFTP Server的TFTP服務器軟件，可以從Cisco網(wǎng)站上下載。Cisco TFTP Server的配置十分簡單，幾乎不用更改它的配置，如需要可以更改其根目錄，在圖6-6中的位置中選擇。
　　
　　將IOS文件放在TFTP Server所在目錄的根目錄下，如果TFTP Server軟件在機器裝的是Cisco TFTP Server目錄，那么就把新的IOS文件放在Cisco TFTP Server目錄下就可以了。也可以自行指定IOS文件的存放位置。