virrasha Dec 15 2019 at 19:54

Автобэкапы сетевого оборудования и хранение их в системе контроля версий

7 min

13K

System administration*Network hardware

From sandbox

+17

Comments 14

algerka Dec 15 2019 at 21:05

На мой взгляд не оптимальное решение.
во-первых не любое сетевое оборудование имеет возможность авторизации по ключу.
во-вторых если делать, то делать все единообразное, для простоты поддержки. У Вас же получается что часть по ftp, часть другим образом. Да и использование у cisco только сохраненную конфигурацию не оптимально.

Сам давно использую самописный скрипт на expect, который просто сохраняет текущий sh run, с помощью cvs организована работа с версиями, ну и viewvc как веб-интерфейс.
В итоге получилось универсальное решение с поддержкой практически любого оборудования, где возможно посмотреть конфиг по ssh (cisco, hpe, juniper, mikrotik, и пр.).
Все крутится на Linux, скрипт запускается по крону в качестве аргумента файл со списком серверов, что позволяет иметь несколько списков и разные устройства опрашивать с разным периодом. При изменении конфигурации отправляется письмо на почту.
Ну и для большей секурности, для авторизации, использую сервер Tacacs+, и пользователь который собирает конфиги ограничен в правах и может только конфиг посмотреть.

virrasha Dec 15 2019 at 21:31

Безусловно, решение не претендует на оптимальное, и оправдывает его использование на работе только достаточная степень задокументированности. Однако, как не каждое устройство поддерживает логин по ключу, так и не каждое устройство позволяет скачать конфиг пользователю с правами на чтение (DFL и WatchGuard не позволяют), а с вывода на экран восстанавливать построчно — занятие на любителя (у D-link DFL нельзя вывод сохранить как конфиг и залить обратно, например). Так что и в вашем решении есть минусы, хотя, оно, вероятно, более оптимально, чем моё на классическом оборудовании.
За Tacacs+ спасибо, не знала, это интересно.

pangolin Dec 16 2019 at 15:00

во-первых не любое сетевое оборудование имеет возможность авторизации по ключу.

Даже больше скажу — не любое оборудование имеет возможность авторизации по ssh. В нашей сети до сих работает примерно три сотни D-Link 3526 (те, которые могли сдохнуть, уже сдохли и были заменены, но оставшиеся какие-то неубиваемые), к которым уже по ssh не подключишься без танцев с бубном. И некоторое количество оптических приёмников и усилителей, у которых ssh нет в принципе — только telnet, web и snmp (ну и ещё консольный порт для первоначальной настройки).

fougasse Dec 15 2019 at 22:42

git + git LFS и у вас диффы бинарников

Akon32 Dec 15 2019 at 23:19

Даже без lfs git хранит бинарники как диффы после gc. И вроде бы, даже при передаче отправляет сразу диффы.

naim Dec 16 2019 at 13:15

Велосипед, лучше смотрите на https://en.wikipedia.org/wiki/RANCID_(software) и его клоны

Aquahawk Dec 16 2019 at 14:54

Признаюсь честно, до того, как я села писать пост, я не знала про rancid и oxidized. Но они оба не умеют то, что нужно мне в полном объеме. Первый заточен на cisco и со всякой экзотикой работает не очень, второй не имеет авторизации пользователей (хотя это обходится несложными манипуляциями с web-сервером)

naim Dec 16 2019 at 15:11

Посмотрите на коментарии ниже + посмотрите на том же специализированном форуме forum.nag.ru

mod3m Dec 16 2019 at 14:58

Ни разу не реклама, да собственно и тут разработчик уже отписывался. Где-то с год уже юзаем в боевом режиме cbackup. Сейчас обкатываем на зоопарке из ~150 свитчей SNR, cisco, Dlink, Qutech, Mikrotik, Eltex предвидится еще +300-400
Почти без допилинга, из коробки уже доступен git контроль версий, как локальный так и в облако.
Пока все как часы, проблем замечено не было, система работает как часы, пока все устраивает.
Правда продукт подзаброшен разрабами, последнее ядро 2018 года.

FervusSE Dec 16 2019 at 14:58

Я бы вам предложил посмотреть Noc Project.
Кроме всего прочего он умеет снимать конфиги с широкого диапазона различных устройств, оповещать об изменениях и разумеется хранить и сравнивать конфиги на разные даты.

naim Dec 16 2019 at 15:11

virrasha Dec 16 2019 at 15:26

Спасибо, обязательно посмотрю. И по остальным советам выше тоже.

maxx_s Dec 17 2019 at 03:56

Судя по всему большую пользу автору принесла сама разработка решения, чем результат, советовать смотреть готовые решения не буду. Добавлю разве что имеет смысл обратить внимание на содержимое конфигов, существует вероятность получить битый файл. Делал сам подобное, дифы отправлялись ежедневно по почте, плюс репорт, что не забекапилось. Кроме того посоветую брать просто список всех хостов, хоть из DNS, а уже тип железки определять по SNMP или по другим повадкам, автоматизация же!

maverickcy Dec 17 2019 at 23:23

Достойно уважения! Как раз думаю о том, что неплохо бы хранить бэкапы оборудования, но думал в сторону внедрения этой фичи в биллинг

Show the best of all time