授權過期設備接手檢查清單

典型情境

• 原供應商失聯或未續約，導致控制器、防火牆或交換器無法更新。
• 客戶僅保有實體設備，缺乏設定檔與授權資訊。
• 管理帳號散落在離職人員或前合作夥伴手上，造成設備可用但不可管理。
• 多台設備版本不一致，導致某些節點無法加入控制器或套用新策略。

接手前技術盤點

1. 設備識別：記錄型號、序號、硬體 revision、目前韌體版本與授權有效期。
2. 拓樸定位：標記設備在網路中的角色（核心/邊界/接入）與上游依賴，避免接手過程誤動到關鍵路徑。
3. 可用存取路徑：確認 GUI、SSH、Console 三種入口哪些可用，先建立最低限度的緊急回復通道。
4. 版本相容性：先查控制器與設備韌體相容矩陣，避免直接升級導致控制平面失聯。

接手流程

1. 帳號與金鑰回收：先重置管理員密碼與 API token，關閉未知本機帳號，統一改由受控帳號登入。
2. 授權所有權轉換：準備序號、購買資訊與設備證據，完成授權轉綁；轉換成功前不要先做高風險升級。
3. 設定基準封存：匯出 running/startup config 與核心策略，建立版本標記與時間戳，做為還原基準點。
4. 分批升級韌體：依角色分批更新（先邊緣再核心或先備援再主節點），每一步都保留可回退點。
5. 服務連通性檢查：升級後立刻檢查關鍵路徑（上網、站點互連、VPN、內部服務）與告警狀態。
6. 安全基準校正：套用最小權限 ACL、關閉不必要管理介面、限制來源 IP、啟用管理操作日誌。

常見故障與排除順序

1. 升級後設備離線：先用 Console 確認開機狀態與管理介面 IP，再回退到前一版映像。
2. 控制器無法納管：比對韌體與控制器版本是否相容，檢查設備憑證或 adoption token。
3. 授權已綁定但功能仍鎖定：確認 license 同步時間、地區碼、feature set 是否與設備型號一致。
4. 策略套用後流量中斷：先還原基準 ACL，再逐條套用變更比對命中結果。
5. 多站點設定漂移：比對基準版本雜湊，找出被手動修改的節點後再統一收斂。

技術檢核清單

1. 所有管理入口已收斂到受控帳號，未知帳號/金鑰已失效。
2. 授權狀態與設備功能一致，控制器/設備顯示無授權錯誤。
3. 設定基準可還原，至少完成一次測試回復。
4. 關鍵連通路徑與安全策略正常生效。
5. 版本矩陣一致，後續可在同一版本線持續維運。

參考資料

• NIST SP 800-123: Guide to General Server Security
  https://csrc.nist.gov/pubs/sp/800/123/final
• CIS Controls v8
  https://www.cisecurity.org/controls/v8