善用思科IOS配置锁 防止路由配置错乱

ZDNet网络频道原创翻译 转载请注明作者以及出处

如果多名网络管理员同时连接到路由器上对配置进行改动的话，可能会出现导致改动丢失或者只能执行部分内容的情况，从而导致整个网络的运行出现问题。在本文中，戴维·戴维斯将会向大家介绍思科网络操作系统提供的一项新功能：配置锁，它可以用来防止这种情况的出现。
--------------------------------------------------------------------------------------------

配置锁有什么用处？

就象大家都知道的一样，只要拥有了网络管理员的权限，就可以在任何时间改动路由器的运行配置。如果你负责的是一家大型电脑商场或者管理着包括了数名技术人员团队的话，思科网络操作系统的这项新功能可以帮助你对运行配置的更改操作进行控制。它可以仪对配置的改变进行专门的控制，由于包含了访问会话锁定功能，所以被称做配置锁。下面显示的就是这个命令的内容：

Router(config)# configuration mode exclusive {auto | manual} [expire seconds] [lock-show] [interleave] [terminate] [config_wait seconds] [retry_wait seconds]

配置锁功能支持自动或手动模式的设置，我个人认为大部分网络管理员会选择设置在自动模式下工作。

在自动模式下如何对配置锁进行设置

在自动模式下，激活配置锁功能非常简单。

Router(config)# configuration mode exclusive auto

如果你选择了使用自动关键字设置的话，它将在使用终端配置路由器的时间，自动锁定相关的配置。如果选择手动关键字设置的话，它将在该关键字被使用的时间，锁定配置。下面我们就通过几个例子，看看这项功能有多强大。

如果你选择使用手动关键字模式的话，就必须在每次进入全局配置模式都启用配置锁功能。因此，使用终端配置路由器的时间，你必须象下面演示的那样在最后加入关键字：

Router# configure terminal lock
Enter configuration commands, one per line.  End with CNTL/Z
Router(config)#

显示配置锁的命令

怎样才能了解配置锁的运行情况？如果有人在改动配置的config文件的话，怎么才能知道？使用显示配置锁命令就可以完成相应的工作。请注意，在没有锁定和已经锁定的情况下，命令的输出结果是完全不同的。

· 没有人进行编辑的情况下的输出结果：

Router(config)# show configuration lock
Parser Configure Lock
Owner PID        :  10
User             :  User3
TTY              :  3
Type             :  EXCLUSIVE
State            :  LOCKED
Class            :  Exposed
Count            :  0
Pending Requests :  0
User debug info  :  0

· 有人正在进行编辑的情况下的输出结果：

Router# show configuration lock
Parser Configure Lock
——————————————————
Owner PID                         : 3
User                              : unknown
TTY                               : 0
Type                              : EXCLUSIVE
State                             : LOCKED
Class                             : EXPOSED
Count                             : 1
Pending Requests                  : 0
User debug info                   : configure terminal
Session idle state                : TRUE
No of exec cmds getting executed  : 0
No of exec cmds blocked           : 0
Config wait for show completion   : FALSE
Remote ip address                 : Unknown
Lock active time (in Sec)         : 6
Lock Expiration timer (in Sec)    : 593
Router(config)#

请注意，配置锁功能的效果只是暂时的，出现这种情况的时间，网络管理员应该尽快地退出思科网络操作系统的配置模式。当另一位网络管理员尝试远程登录到路由器上的时间，他或者她将由于排它锁功能导致用户名出现错误。在它的帮助下，对运行配置进行改动将变得更加方便。某种程度上，这是一个对现有的网络管理规则进行重新评估，以了解网络实际运行情况的好机会。你也应该根据出现的问题制定新的规则，让网络管理员的工作更有效。

这是一个不错的机会，我简单介绍一下独占锁的回滚功能。它可以在你的管理员试图将运行配置恢复到保存的配置副本的时间使用。这项功能和配置回滚功能并不是完全相同的。它将会取代思科网络操作系统目前所有的运行配置。不过也有一些相关的限制。访问会话锁定模式配备了该功能。它可以支持象配置被改动的时间显示相关命令的执行情况之类的操作。想了解更详细资料的话，可以登陆思科的官方网站文档：Configuration Replace and Configuration Rollback（英文）。

对于网络管理来说，思科网络操作系统提供的配置锁功能是一个非常重要的组成部分。你可以利用这项功能来锁定其它网络管理员的运行配置，甚至查看相关的命令执行情况。你还可以对配置锁的时间进行设定，保证配置更改的效果可以显示出来。在配置锁功能的帮助下，网络的水平和效率将得到最大限度地提高。想了解更详细资料的话，可以登陆思科的官方网站文档：Exclusive Configuration Change Access (Config Lock)（英文）。