Начиная с версии ПО 10.4.2, в коммутаторах MES14xx, MES24xx, MES3400-xx и MES37хх изменилась схема наименования интерфейсов — они получили номер юнита в стеке. Например:
- В старых версиях: GigabitEthernet 0/1
- В новых версиях: GigabitEthernet 1/0/1
Такие имена интерфейсов не распознаются в версиях ПО ниже 10.4.х и могут привести к тому, что конфигурация не загрузится в случае downgrade ПО.
Чтобы избежать потери конфигурации, необходимо заранее подготовить конфигурационный файл, заменив несовместимые имена интерфейсов.
Шаги по безопасному downgrade:
1. Скопируйте текущую конфигурацию на TFTP-сервер. Для этого необходимо подключиться к коммутатору при помощи терминальной программы по протоколу Telnet или SSH, либо через последовательный порт и выполнить команду:copy startup-config tftp://<IP-сервера>/startup.conf
2. Отредактируйте конфигурацию. Откройте файл startup.conf в любом текстовом редакторе (например, Notepad++, VS Code). Найдите и замените все интерфейсы вида 1/0/X на 0/X
3. Загрузите модифицированную конфигурацию обратно на коммутатор при помощи команды:
copy tftp://<IP-сервера>/startup.conf startup-config
4. Выполните downgrade версии ПО. Для этого необходимо скопировать ПО нужной версии (например, 10.3.6.13) на коммутатор при помощи команд:
copy tftp://<IP-сервера>/mes2424-1036-R4.iss image
copy tftp://<IP-сервера>/mes2424-1036-R4.boot boot
5. Перезагрузите коммутатор следующей командой:reload
Изменения в логике отображения команды no shutdown в конфигурации при переходе с 10.2.7 (и выше) на версии ниже 10.2.7 :
По причине смены формата конфигурации между версиями 10.2.6.2 (и ниже) и 10.2.7 (и выше) , которые затронули логику отображения команды no shutdown на портах, при откате версии ПО все порты перейдут в состояние shutdown. При downgrade версии в startup-config должна лежать конфигурация предыдущей версии ПО с явно прописанной командой no shutdown на всех портах.
- Изменение в синтаксисе команд ААА при переходе с 10.2.6 (и выше) на версии ниже 10.2.6:
Изменен синтаксис команд login authenthication, enable authenthication, которые приведены к виду aaa authenthication {login | enable}. Для того,чтобы при downgrade на версию 10.2.6 (и ниже) команды аутентификации отработали корректно, в startup-config требуется записать настройки в старом формате:
- Изменения в синтаксисе команды logging-file и logging-server в конфигурации при переходе с 10.2.7.2 (и выше) на версии ниже 10.2.7.2:
Синтаксис команд logging-file | logging-server <priority> приведен к виду logging-file | logging-server <facility> <severity>. Для того, чтобы при откате на версию ниже 10.2.7.2 команды логирования работали корректно, необходимо в startup-config записать команды в старом формате:
В версии ПО 10.2.8 был доработан механизм ААА
Список изменений:
1. Добавлен алгоритм действий chain при отказе аутентификации на сервере.
2. Добавлена возможность настроить пользовательский список серверов, с помощью user-defined
3. Добавлена возможность применить созданный список аутентификации к line [console | telnet | ssh ]
4. Настройка механизма повышения привилегий пользователей осуществляется в контексте line
Пример конфигурации для версии 10.2.8 (и выше):
!
aaa authentication mode chain #включаем метод chain(по умолчанию break)
aaa authentication default radius local #по умолчанию дефолтный список работает для всех line
aaa authentication user-defined named_list_test tacacs local #создаем пользовательский список, а затем добавляем к line
!
line ssh
aaa authentication login named_list_test #задаем список с методами аутентификации при входе
aaa authentication enable named_list_test #задаем список для повешения уровня привилегий
!
!!!Важно: Так как вышеуказанные доработки затронули синтаксис команд, при обновлении с ранних версии ПО на 10.2.8 и позднее, конфигурация блока ААА конвертируется в соответствии с новым форматом.
Примеры преобразования конфигурации при обновлении:
1. Если в конфигурации имеем одинаковый список аутентификации для login и enable, то конфигурация преобразуется в дефолтный список: aaa authentication default <method_list>:
old_conf:aaa authentication login radius local
aaa authentication enable radius local
new_conf:aaa authentication default radius local
2. Если список аутентификации для login и enable отличается, настройка которая отличается от дефолтного параметра, преобразуется в aaa authentication user-defined <list_№> <method_list> а затем привязывается для всех line:
old_conf:aaa authentication login radius local
new_conf:!
aaa authentication user-defined list_1 radius local
!
line console
aaa authentication login list_1
!
line telnet
aaa authentication login list_1
!
line ssh
aaa authentication login list_1
!
3. Если были пользовательские настройки для line, то создается список <list_№> и привязывается к необходимым line
old_conf:aaa authentication login radius
!
line console
aaa authentication login local
!
line telnet
aaa authentication enable tacacs
new_conf:!
aaa authentication user-defined list_2 local
aaa authentication user-defined list_3 tacacs
aaa authentication user-defined list_1_glob radius
!
line console
aaa authentication login list_2
!
line telnet
aaa authentication login list_1_glob
aaa authentication enable list_3
!!!Важно: При downgrade c версии 10.2.8 (и выше) в startup-config должна лежать конфигурация предыдущей версии ПО
Комментарии (11)