Salvați automat configurația routerelor cisco

Salvați automat configurația routerelor cisco

Acest articol descrie modul de configurare a configurației automate a echipamentelor de rețea care rulează Cisco IOS și urmărirea modificărilor utilizând RCS.

Pentru a rezolva această problemă, există cel puțin trei programe (în plus față de script-uri scrise de mine) - ciscoconf (FreeBSD port / usr / porturi / net-Manag / ciscoconf) și rânced. Primul (ciscoconf) copiază configurațiile configurației de către RSH și îl salvează în RCS. Avantajul său este că poate face acest lucru imediat după ce configurația este completă, urmărind aspectul din jurnalul liniei care conține% SYS-5-CONFIG_I. Al doilea (rancid) este mai versatil și vă permite să lucrați nu numai cu echipamentul Cisco. Pentru munca sa, necesită salvarea parolei pentru a accesa telnet și parola de activare. Cred că acest lucru este nedorit din motive de securitate (dar aceasta este o opinie subiectivă, snmp nu este mai sigur). Deja după ce am scris acest scenariu, am dat peste un alt proiect - Pancho. Aici, config-urile sunt de asemenea copiate folosind snmp + tftp.

Configurarea serverului tftp

Apoi, creați directorul / var / tftproot și subdirectorul / var / tftproot / config pentru a stoca config-urile. Proprietarul folderului tftproot este netmgr și setați permisiunile la 700 pentru a restricționa accesul la configurații care, printre altele, conțin parole. tftp-server vă permite să scrieți numai fișierul creat anterior, în care utilizatorul are acces la scriere, sub care se execută tftpd:
touch / var / tftproot / config / router1 touch / var / tftproot / config / router2 chown netmgr / var / tftproot / config / *

Configurarea snmp

Să configuram accesul la router de la server prin snmp. Creăm ACL-uri care vor proteja accesul la snmp pentru a scrie și ACL pentru a restricționa serverele la care poți să copiezi config peste tftp. În acest caz, puteți face unul în loc de doi, dar, în general, acestea pot varia: Se specifică SNMP- comunitate (care joacă rolul unei parole) și ACL pentru acces de scriere: Se specifică în cazul în care pentru a copia configurația TFTP:

Pentru a testa funcționarea modulului și setările efectuate anterior vor scrie un script simplu: config trebuie copiat în / var / tftproot / config / router1.

Script pentru copierea și plasarea config-urilor în RCS

fetchconf.pl: Deoarece scriptul conține comunitatea snmp-uri RW, atribuiți-i drepturile de 700, astfel încât alți utilizatori să nu-l poată citi. Toate setările sunt setate la începutul scriptului. Când adăugați un nou cisco, este suficient să-l scrieți în hashes% community și% hosts. Pentru a testa munca, rulați scriptul, care este fie schimbat pe csisk, fie executat din nou. Trebuie să vină scrisoarea. Scriptul trebuie scris în cron de netmgr. Pentru o rețea mică, cu modificări rare, este suficient să fie difuzate la fiecare câteva ore:

Exemplu de scrisoare trimisă de un script:

O notă mică privind siguranța - Protecție Server care rulează script-ul trebuie să se acorde o atenție deosebită, deoarece în cazul în care un atacator nu obține accesul deplin la gazdă, el poate copia TFTP configurației modificate pe router și a obține kontorl atât de completă pe toate routerele. Este de dorit să găzduim un astfel de sistem pe un server care nu are servicii deschise pentru lumea exterioară (web, poștă, ftp etc.).

Articole similare