Config Lock: Uma pessoa acessa por vez!

/ / Published in Network, Security

Duas pessoas acessando um mesmo roteador e fazendo configurações conflitantes pode ser um problema. Para resolver esta situação, a partir da versão 12.3T do IOS, a Cisco disponibilizou a feature Exclusive Configuration Change Access (também conhecida com Config Lock).

Está funcionalidade garante que apenas um usuário por vez tenha direitos para realizar mudanças na configuração. Assim, uma vez habilitado o Config Lock, o primeiro usuário pode configurar o equipamento. Os demais usuário que logarem no equipamento poderão apenas utilizar comandos shows e debugs. Este é o Config Lock Auto.

Exemplo: Config Lock Auto

BrainRT01#conf t
BrainRT01(config)#configuration mode exclusive auto
BrainRT01(config)#exit
BrainRT01#

Na forma manual (Config Lock Manual), quando o usuário acessa o equipamento ele deve “pedir” para que o acesso seja restrito aos demais.

Exemplo: Config Lock Manual

BrainRT01#conf t
BrainRT01(config)#configuration mode exclusive manual
BrainRT01(config)#exit
BrainRT01#

Após habilitar o Config Lock Manual, o usuário é que deve escolher se vai ou não habilitar o controle de alterações. Para isto, basta adicionar o Lock ao Configure Terminal.

BrainRT01#configure terminal lock
Enter configuration commands, one per line.  End with CNTL/Z.
BrainRT01(config)#

Verificando a configuração

Após habilitar o Config Lock, se um segundo usuário tentar alterar as configurações, será advertido, como abaixo:

BrainRT01#conf t
Configuration mode locked exclusively by user ‘Brain’ process ’51’ from terminal’6′. Please try later.
BrainRT01#

Neste caso o usuário pode utilizar o comando show configuration lock e identificar quem está acessando as configurações neste momento.

BrainRT01#show configuration lock
Parser Configure Lock
———————
Owner PID        : 51
User             : Brain
TTY              : 6
Type             : EXCLUSIVE
State            : LOCKED
Class            : EXPOSED
Count            : 1
Pending Requests : 0
User debug info  : configure terminal
BrainRT01#

Mais informações sobre o Exclusive Configuration Change Access aqui, e para verificar se seu equipamento suporta esta funcionalidade utilize o Feature Navigator (www.cisco.com/go/fn).

Até a próxima.

Post sugerido por Rafael Leão

Tagged under: , ,
Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.

What you can read next

Identificando mudanças na configuração e restaurando backup
SSH2 em switches Cisco
Lan Lite x Lan Base