Привет, Хабр!
Хочу поделиться историей, которая случилась у нас на днях. Знаете, бывают такие задачи, которые выглядят элементарно, а на деле выливаются в часы головной боли и коллективный поиск виноватого. Вот это был как раз такой случай.
К нам приехал новый маршрутизатор для клиента — Cisco ISR4331/K9
. Задача была до смешного простой: настроить на нём Site-to-Site VPN. Дело привычное, делается почти на автомате.
Заходим в консоль, вводим conf t
, следом crypto map
... и получаем в ответ, что такой команды не существует. Проверяем еще раз — та же ошибка. Первое ощущение — легкое недоумение. Может, опечатка? Нет. Команды просто нет в системе.
Ну, окей, первая мысль — лицензия. Проверяем через show license all
. Всё на месте: и securityk9
, и hseck9
, всё с вечной лицензией PLR (Permanent License Reservation), которая сейчас идет вместо активации через Smart Account. То есть, по всем признакам, функционал для шифрования должен быть доступен. Но его нет.
И вот тут началось то, что знакомо каждому админу. Сначала мы полезли в официальную документацию Cisco. Все гайды, как один, начинались с той самой команды crypto map
, которой у нас не было. Потом начали гуглить по форумам — находили в основном темы, где советовали докупить лицензию. Тоже не наш случай.
Нас было трое инженеров, и мы по очереди пробовали одно и то же, надеясь на разный результат. Прошло уже несколько часов. Поставщик оборудования стандартно отвечал, что «железо новое, лицензия есть, дальше разбирайтесь сами». Мы зашли в тупик. Было очевидно, что мы упускаем какую-то мелочь, связанную именно с этим новым типом лицензирования PLR, но какую — было совершенно непонятно.
В какой-то момент, когда все идеи уже закончились, один из коллег просто скопировал нашу проблему в ChatGPT. Больше от безысходности, чем в надежде на результат. И через полминуты молча показал нам свой экран.
Оказалось, что наличие PLR-лицензии само по себе не активирует нужные пакеты. Она лишь дает право на их активацию. А чтобы они заработали, их нужно было явно прописать для загрузки при старте системы.
Вот решение, которое сэкономило бы нам полдня:
Нужно было зайти в режим конфигурации и дать три команды:
license boot level securityk9
license boot level hseck9
license boot level performance```
А потом, сохранив конфигурацию, просто перезагрузить маршрутизатор.
После перезагрузки команда `crypto map` появилась, и дальнейшая настройка заняла минут десять.
Честно говоря, чувство в тот момент было смешанное: с одной стороны — облегчение, а с другой — было немного обидно, что решение оказалось таким простым, а мы потратили на его поиски столько времени.
Эта история для меня не о том, что ИИ скоро всех нас заменит. А о том, что в нашем ящике с инструментами появился еще один. Раньше мы шли на Stack Overflow или в глубокий поиск по форумам, а теперь можем просто спросить. И иногда, как в нашем случае, получить точный и быстрый ответ, сэкономив кучу времени и нервов.
А у вас бывали похожие ситуации, когда решение долгой и мучительной проблемы оказывалось до смешного простым?
Mad_gulls
Эти команды каждый цискарь еще c 2к серии маршрутизаторов знал - "license boot module".
И site-to-site VPN можно спокойно на Tunnel интерфейсах поднять, крипотомапы не обязательны. Другое дело что этой командой вы активировали модуль шифрования, а нужны подобные пляски чтобы обойти лишние проблемы на таможне. Средства шифрования K9 нужно декларировать в соответстующих службах и проходить ректальный досмотр.