گرفتن Backup خودکار از تنظیمات Cisco با Archive

گرفتن backup از کانفیگ تجهیزات شبکه از آن کارهایی است که تا وقتی مشکلی پیش نیامده، خیلی‌ها جدی نمی‌گیرند. اما وقتی یک تغییر اشتباه باعث قطعی شود یا لازم باشد بفهمیم دقیقا چه چیزی عوض شده، backup تمیز و قابل برگشت ارزش خودش را نشان می‌دهد.

در Cisco IOS می‌توان با قابلیت archive کاری کرد که دستگاه به صورت خودکار از running-config نسخه بگیرد. این کار هم بعد از save کردن کانفیگ قابل انجام است، هم به شکل زمان‌بندی‌شده.

نمونه کانفیگ archive

در این مثال، روتر هر بار که کانفیگ ذخیره شود یک نسخه روی TFTP می‌فرستد و علاوه بر آن هر ۷ روز هم یک backup دوره‌ای می‌گیرد.

configure terminal
archive
 path tftp://192.168.10.10/config-bak/$h-$t
 write-memory
 time-period 10080
 maximum 10
end

$h معمولا hostname را وارد نام فایل می‌کند و $t زمان را. این دو مورد کمک می‌کنند backupها قابل تشخیص باشند و روی هم overwrite نشوند.

هر خط چه کاری می‌کند؟

با archive وارد بخش تنظیمات archive می‌شویم. با path محل ذخیره backup را مشخص می‌کنیم. با write-memory می‌گوییم هر بار کانفیگ ذخیره شد، یک archive هم ساخته شود. time-period هم زمان‌بندی را بر حسب دقیقه مشخص می‌کند.

در مثال بالا عدد 10080 یعنی ۷ روز. اگر محیط تغییرات زیادی دارد، شاید بازه کوتاه‌تر مناسب باشد. اگر تغییرات کم است، همین بازه هفتگی هم کافی است، به شرطی که بعد از تغییرات مهم حتما save انجام شود.

بررسی وضعیت archive

بعد از تنظیم، باید مطمئن شویم فایل‌ها واقعا ساخته می‌شوند و مسیر TFTP قابل دسترس است.

show archive

خروجی این دستور لیست archiveهای موجود و فایل بعدی را نشان می‌دهد. اگر backup ساخته نمی‌شود، اول مسیر، دسترسی شبکه، سرویس TFTP و permission سمت سرور را چک کنید.

مقایسه کانفیگ فعلی با backup

یکی از کاربردهای خوب archive این است که می‌توان تفاوت کانفیگ فعلی با نسخه قبلی را دید. این برای troubleshooting بعد از تغییرات خیلی کمک می‌کند.

show archive config differences

اگر چند نفر روی تجهیزات کار می‌کنند، این خروجی می‌تواند سریع نشان دهد چه خط‌هایی اضافه یا حذف شده‌اند. البته برای محیط‌های جدی‌تر بهتر است کنار archive، از سیستم مدیریت کانفیگ یا Git هم استفاده شود.

چند نکته امنیتی

Backup کانفیگ خودش یک داده حساس است. داخل آن ممکن است IPها، usernameها، SNMP community، کلیدها یا اطلاعات سرویس‌ها باشد. پس سرور backup نباید یک TFTP باز و بی‌حساب در شبکه باشد.

اگر امکانش را دارید از روش‌های امن‌تر مثل SCP استفاده کنید. اگر مجبورید TFTP نگه دارید، حداقل آن را در subnet مدیریتی محدود کنید، دسترسی را کنترل کنید و فایل‌ها را از نظر retention و دسترسی کاربران مرتب نگه دارید.

ip scp server enable

اصل موضوع ساده است: backup باید خودکار، قابل تست و قابل برگشت باشد. backupی که هیچ‌وقت restore نشده، هنوز فقط یک امیدواری است.