Автоматично пестене на конфигурацията на Cisco маршрутизатори

Тази статия обяснява как да конфигурирате автоматично запаметяване на конфигурацията на мрежово оборудване Cisco IOS работи софтуер, и следите промените с помощта на СРС.

За да се реши този проблем има най-малко три програми (в допълнение към скриптове, написани от мен) - ciscoconf (FreeBSD порт / ЮЕсАр / пристанища / нето-Управл / ciscoconf) и гранясват. Първо (ciscoconf) копия на конфигурацията на конфигурацията на RSH и магазини СРС. Предимството му - това може да се направи веднага след завършването на проследяване на конфигурацията на външен вид в редове дневник, съдържащи% SYS-5-CONFIG_I. Вторият (гранясал) по-гъвкав и позволява да се работи не само с Cisco оборудване. За работата си тя изисква, за да запазите паролата конфигурационния за достъп чрез телнет и парола позволи. Аз вярвам, че за това, не е желателно поради съображения за сигурност (но това е субективно мнение, не SNMP bezopasnoee). След написването на сценария, се натъкнах на още един проект - Панчо. Там също се копират конфигурации използват ~ SNMP + TFTP.

Настройване на TFTP сървър

След това създайте директория / Var / tftproot и има поддиректория / Var / tftproot / довереник за съхранение на довереник. Собственик tftproot папки се netmgr 700 и определят правото да ограничи достъпа до конфигурационния файл, който, наред с други неща, да съдържа пароли. TFTP сървър ви позволява да записвате само рано създаден файл, който има достъп за писане на потребител, който се използва, за да стартирате tftpd:
докоснете / Var / tftproot / довереник / router1 докоснете / Var / tftproot / довереник / router2 chown netmgr / Var / tftproot / довереник / *

Създаване SNMP

Конфигуриране на достъп до рутера с SNMP на сървъра. Създаване на ACL, че ще бъдат защитени достъп до SNMP пишат и ACL за ограничаване на сървърите, на които можете да копирате конфигурацията на TFTP. В този случай, можете да направите една, а не две, но като цяло, те могат да варират: Посочете SNMP-общност (която играе ролята на парола) и ACL за достъп за писане: Посочете къде да се копира на конфигурацията на ППФТ:

За да тествате работата на модула и по-рано направените настройки ще пишат прост скрипт: Config трябва да бъде копиран в / Var / tftproot / довереник / router1.

Script, за да копирате и довереник пространство в RCS

fetchconf.pl :. От сценария съдържа RW SNMP-общността, възлага му право на 700, така че другите потребители да не могат да го четат. Всички настройки са написани в началото на скрипта. При добавяне на нов Cisco достатъчно, за да го регистрирате в общността и% Домакините на хешове%. За да тествате навечерието скрипт, който да е промяна в Cisco и да започне отново. Ако получите имейл. Сценарият е необходимо да се регистрирате в netmgr на Cron потребител. За една малка мрежа, с няколко промени достатъчно, за да се кандидатира отново след няколко часа:

ПРИМЕР писма изгонени скрипт:

Една малка забележка за безопасност - Защита сървър, който работи скрипта трябва да се обърне специално внимание, тъй като, ако атакуващият получава пълен достъп до хост, той може да TFTP копие на модифицирана конфигурация на рутера и да получите толкова пълен kontorl на всички рутери. Препоръчително е да се постави подобна система на даден сървър, който не е отворена за външния свят услуги (уеб, поща, FTP, и така нататък. Г.)