Офис: Москва
Опыт работы с Eltex: 3 года
Выполненные проекты:
- Поставка партии MES5332 для системы хранения данных в ВУЗ г. Воронеж
- Поставка маршрутизаторов для компании по производству спецодежды, настройка сети в центральном офисе в Москве и филиалах (Санкт-Петербург, Казань, Иркутск, Ярославль, Владивосток)
- Проект импортозамещения для крупного ювелирного завода, в связи с переходом на российское оборудование: замена оборудования доступа в Москве и филиалах в Ярославле, Костроме
- Модернизация ЛВС в Средней общеобразовательной школе имени А.С.Попова городского округа Власиха
- Поставка оборудования для построения СКУД и системы видеонаблюдения для российского химического предприятия
Особенности downgrade ПО коммутаторов MES14xx/24xx/3400-xx/37xx
Время прочтения 7 минут
Начиная с версии прошивки 10.4.2, в коммутаторах MES14xx, MES24xx, MES3400-xx и MES37хх изменилась схема наименования интерфейсов — они получили стековый номер. Например:
- В старых версиях: GigabitEthernet 0/1
- В новых версиях: GigabitEthernet 1/0/1
Такие имена интерфейсов не распознаются в прошивках ниже 10.4.х, и могут привести к тому, что конфигурация не загрузится после даунгрейда.
Чтобы избежать потери настроек, необходимо заранее подготовить конфигурационный файл, заменив несовместимые имена интерфейсов.
Шаги по безопасному даунгрейду
1. Скопируйте текущую конфигурацию на сервер
Подключитесь к коммутатору по SSH или через консоль и выполните команду:copy startup-config tftp://IP-сервера/startup.cfg
2. Отредактируйте конфигурацию
Откройте файл startup.cfg в любом текстовом редакторе (например, Notepad++, VS Code).
Найдите и замените все интерфейсы вида 1/0/X на 0/X
3. Загрузите модифицированную конфигурацию обратно на коммутаторcopy tftp://IP-сервера/startup.cfg startup-config
4.Выполните даунгрейд прошивки
Скопируйте прошивку нужной версии (например, 10.3.6) на коммутатор:copy tftp://IP-сервера/mes2424-1036-R4.iss image
Перезагрузите коммутатор:reload
Ввиду расширения функционала, а также по причине усовершенствования синтаксиса тех или иных команд от версии к версии могут возникнуть изменения в формате представления настроек устройства. В данной статье отображены изменения в синтаксисе команд, начиная от версии 10.2.6, которые могут повлиять на предоставление сервисов и поведение устройства (в т.ч доступ до коммутатора) при downgrade версии ПО. В случае с обновлением версии ПО предусмотрен автоматический переход к новому синтаксису команд без вмешательства оператора. Для предотвращения изменений в работе функционала, претерпевших изменение синтаксиса или логики работы в новых версиях, downgrade требуется производить по следующей методике:
1. Перед началом downgrade версии ПО требуется в startup-config загрузить конфигурацию предыдущей версии ПО (со старым синтаксисом);
2. Сменить образ ПО (если требуется, предварительно загрузить его в неактивный образ ПО);
3. Не сохраняя конфигурации перезагрузить устройство.
- Изменения в логике отображения команды no shutdown в конфигурации при переходе с 10.2.7 (и выше) на версии ниже 10.2.7 :
По причине смены формата конфигурации между версиями 10.2.6.2 (и ниже) и 10.2.7 (и выше) , которые затронули логику отображения команды no shutdown на портах, при откате версии ПО все порты перейдут в состояние shutdown. При downgrade версии в startup-config должна лежать конфигурация предыдущей версии ПО с явно прописанной командой no shutdown на всех портах.
- Изменение в синтаксисе команд ААА при переходе с 10.2.6 (и выше) на версии ниже 10.2.6:
Изменен синтаксис команд login authenthication, enable authenthication, которые приведены к виду aaa authenthication {login | enable}. Для того,чтобы при downgrade на версию 10.2.6 (и ниже) команды аутентификации отработали корректно, в startup-config требуется записать настройки в старом формате:
- Изменения в синтаксисе команды logging-file и logging-server в конфигурации при переходе с 10.2.7.2 (и выше) на версии ниже 10.2.7.2:
Синтаксис команд logging-file | logging-server <priority> приведен к виду logging-file | logging-server <facility> <severity>. Для того, чтобы при откате на версию ниже 10.2.7.2 команды логирования работали корректно, необходимо в startup-config записать команды в старом формате:
В версии ПО 10.2.8 был доработан механизм ААА
Список изменений:
1. Добавлен алгоритм действий chain при отказе аутентификации на сервере.
2. Добавлена возможность настроить пользовательский список серверов, с помощью user-defined
3. Добавлена возможность применить созданный список аутентификации к line [console | telnet | ssh ]
4. Настройка механизма повышения привилегий пользователей осуществляется в контексте line
Пример конфигурации для версии 10.2.8 (и выше):
!
aaa authentication mode chain #включаем метод chain(по умолчанию break)
aaa authentication default radius local #по умолчанию дефолтный список работает для всех line
aaa authentication user-defined named_list_test tacacs local #создаем пользовательский список, а затем добавляем к line
!
line ssh
aaa authentication login named_list_test #задаем список с методами аутентификации при входе
aaa authentication enable named_list_test #задаем список для повешения уровня привилегий
!
!!!Важно: Так как вышеуказанные доработки затронули синтаксис команд, при обновлении с ранних версии ПО на 10.2.8 и позднее, конфигурация блока ААА конвертируется в соответствии с новым форматом.
Примеры преобразования конфигурации при обновлении:
1. Если в конфигурации имеем одинаковый список аутентификации для login и enable, то конфигурация преобразуется в дефолтный список: aaa authentication default <method_list>:
old_conf:aaa authentication login radius local
aaa authentication enable radius local
new_conf:aaa authentication default radius local
2. Если список аутентификации для login и enable отличается, настройка которая отличается от дефолтного параметра, преобразуется в aaa authentication user-defined <list_№> <method_list> а затем привязывается для всех line:
old_conf:aaa authentication login radius local
new_conf:!
aaa authentication user-defined list_1 radius local
!
line console
aaa authentication login list_1
!
line telnet
aaa authentication login list_1
!
line ssh
aaa authentication login list_1
!
3. Если были пользовательские настройки для line, то создается список <list_№> и привязывается к необходимым line
old_conf:
aaa authentication login radius
!
line console
aaa authentication login local
!
line telnet
aaa authentication enable tacacs
new_conf:!
aaa authentication user-defined list_2 local
aaa authentication user-defined list_3 tacacs
aaa authentication user-defined list_1_glob radius
!
line console
aaa authentication login list_2
!
line telnet
aaa authentication login list_1_glob
aaa authentication enable list_3
!!!Важно: При downgrade c версии 10.2.8 (и выше) в startup-config должна лежать конфигурация предыдущей версии ПО
