Ввиду расширения функционала, а также по причине усовершенствования синтаксиса тех или иных команд от версии к версии могут возникнуть изменения в формате представления настроек устройства. В данной статье отображены изменения в синтаксисе команд, начиная от версии 10.2.6, которые могут повлиять на предоставление сервисов и поведение устройства (в т.ч доступ до коммутатора) при downgrade версии ПО.В случае с обновлением версии ПО предусмотрен автоматический переход к новому синтаксису команд без вмешательства оператора. Для предотвращения изменений в работе функционала, претерпевших изменение синтаксиса или логики работы в новых версиях, downgrade требуется производить по следующей методике:
- Перед началом downgrade версии ПО требуется в startup-config загрузить конфигурацию предыдущей версии ПО (со старым синтаксисом);
- Сменить образ ПО (если требуется, предварительно загрузить его в неактивный образ ПО);
- Не сохраняя конфигурации перезагрузить устройство.
- Изменения в логике отображения команды
no shutdown
в конфигурации при переходе с 10.2.7 (и выше) и на версии ниже 10.2.6.2 (и ниже)7 :
По причине смены смены формата конфигурации между версиями 10.2.6.2 (и ниже) и 10.2.7 (и выше) , которые затронули логику отображения команды no shutdown
на портах, при откате версии ПО все порты перейдут в состояние shutdown. При downgrade версии в startup-config должна лежать конфигурация предыдущей версии ПО с явно прописанной командой no shutdown на всех портах.
- Изменение в синтаксисе команд ААА при переходе с 10.2.6 (и выше) и на версии ниже 10.2.5.2 (и ниже)6:
Изменен синтаксис команд login authenthication, enable authenthication
, которые приведены к виду aaa authenthication {login | enable}
. Для того,чтобы при downgrade на версию 10.2.6 (и ниже) команды аутентификации отработали корректно, в startup-config требуется записать настройки в старом формате:
- Изменения в синтаксисе команды
logging-file и logging-server
в конфигурации при переходе с 10.2.7.2 (и выше) на версии ниже 10.2.7.2 :
Синтаксис команд logging-file | logging-server <priority> приведен к виду logging-file | logging-server <facility> <severity>. Для того, чтобы при откате на версию ниже 10.2.7.2 команды логирования работали корректно, необходимо в startup-config записать команды в старом формате:
...
В версии ПО 10.2.8 был доработан механизм ААА
Список изменений:
1. Добавлен алгоритм действий chain при отказе аутентификации на сервере.
2. Добавлена возможность настроить пользовательский список серверов, с помощью user-defined
3. Добавлена возможность применить созданный список аутентификации к line [console | telnet | ssh ]
4. Настройка механизма повышения привилегий пользователей осуществляется в контексте line
Пример конфигурации для версии 10.2.8(и выше):
!
aaa authentication mode chain #включаем метод chain(по умолчанию break)
aaa authentication default radius local #по умолчанию дефолтный список работает для всех line
aaa authentication user-defined named_list_test tacacs local #создаем пользовательский список, а затем добавляем к line
!
line ssh
aaa authentication login named_list_test #задаем список с методами аутентификации при входе
aaa authentication enable named_list_test #задаем список для повешения уровня привилегий
!
!!!Важно: Так как вышеуказанные доработки затронули синтаксис команд, при обновлении с ранних версии ПО на 10.2.8 и позднее, конфигурация блока ААА конвертируется в соответствии с новым форматом.
Примеры преобразования конфигурации при обновлении:
1. Если в конфигурации имеем одинаковый список аутентификации для login и enable, то конфигурация преобразуется в дефолтный список: aaa authentication default <method_list>:
old_conf:
aaa authentication login radius local
aaa authentication enable radius local
new_conf:
aaa authentication default radius local
2. Если список аутентификации для login и enable отличается, настройка которая отличается от дефолтного параметра, преобразуется в aaa authentication user-defined <list_№> <method_list> а затем привязывается для всех line:
old_conf:
aaa authentication login radius local
new_conf:
!
aaa authentication user-defined list_1 radius local
!
line console
aaa authentication login list_1
!
line telnet
aaa authentication login list_1
!
line ssh
aaa authentication login list_1
!
3. Если были пользовательские настройки для line, то создается список <list_№> и привязывается к необходимым line
old_conf:
aaa authentication login radius
!
line console
aaa authentication login local
!
line telnet
aaa authentication enable tacacs
new_conf:
!
aaa authentication user-defined list_2 local
aaa authentication user-defined list_3 tacacs
aaa authentication user-defined list_1_glob radius
!
line console
aaa authentication login list_2
!
line telnet
aaa authentication login list_1_glob
aaa authentication enable list_3
!!!Важно: При downgrade c версии 10.2.8(и выше) в startup-config должна лежать конфигурация предыдущей версии ПО
...