Automatize o backup da configuração (a cada minuto) no Cisco IOS

Eu gostaria que meu roteador Cisco fizesse uma cópia executar TFTP automaticamente (e preencher os campos automaticamente) a cada 1 minuto. Eu também gostaria que fosse executado em segundo plano. Alguém sabe se isso é possível / como fazê-lo? Gostaria de fazer isso com o objetivo de visualizar a configuração em execução dos meus roteadores no bloco de notas ++ (que é atualizado em tempo real), em vez de ter que fazer um show run e pressionar a barra de espaço 4 ou 5 vezes antes de chegar ao que preciso ver. Eu acho que isso seria extraordinariamente útil para laboratórios complexos. Além disso, as macros não funcionam devido aos comandos do servidor TFTP que exigem entrada.

Você tem várias opções para obter esse tipo de funcionalidade em um dispositivo Cisco. (O que você usa depende de suas necessidades e, algumas vezes, do dispositivo e do IOS carrega. Alguns dispositivos mais antigos / carregamentos do IOS terão recursos diferentes.)

EDIT: Você está perguntando sobre isso a cada minuto, o que, como você descobriu em nosso bate-papo sobre esta questão, irá atolar o seu roteador. (Especialmente no GNS3.) As opções abaixo estão disponíveis para você automatizar o backup de confirmação, no entanto, eu não recomendaria fazê-lo a cada 1 minuto.

Você pode:

1. Use a funcionalidade Kron da Cisco para agendamento de comandos. Isso permitirá que você execute comandos predefinidos em uma base agendada. Como você apontou, copy run tftprequer confirmação imediata do arquivo. (A menos que você tenha desativado a confirmação imediata do arquivo , no entanto, eu não a recomendo como uma configuração normal.) O redirecionamento não requer confirmação. Portanto, o comando usado no planejador éshow run | redirect tftp://$SERVERIP/$PATH/$FILE

2. Use a funcionalidade de arquivamento da Cisco para gerenciamento de configuração. O arquivamento é uma maneira de armazenar várias cópias da configuração de maneira seqüencial e reverter as configurações, se necessário, para uma versão anterior. A cópia com o Kron substitui a configuração anterior, enquanto o Archive permite manter até 14 versões diferentes de configuração no local especificado. Veja este link na rede Cisco Learning para obter informações mais úteis sobre o Archive. Especificamente como definir dinamicamente o nome do arquivo com as tags $ he $ t.

Em qualquer uma das amostras abaixo, você pode ajustar os tempos de acordo com suas necessidades, e foi exatamente isso que tirei rapidamente de alguns equipamentos de produção.

Exemplo de configuração para que o Kron escreva a configuração e faça backup para um servidor tftp uma vez por semana:

kron occurrence SaveConfig at 23:50 Mon recurring
policy-list SaveConfig
!
kron occurrence BackupRunningConfig at 23:55 Mon recurring
policy-list BackupRunningConfig
!
kron policy-list SaveConfig
cli write
!
kron policy-list BackupRunningConfig
cli show running-config | redirect tftp://10.10.10.10/configs/testswitch.txt

Exemplo de configuração para que o Archive faça backup da sua configuração em um servidor tftp diariamente:

archive
 path tftp://10.10.10.10/configs/$h-$t
 time-period 1440
 maximum 14

Na verdade, existe outro caminho.

Você pode acionar uma cópia TFTP usando SNMP. Não é muito simples, mas é incrivelmente útil.

Primeiro, você precisará de um servidor TFTP (sem surpresa). Você também precisará de algo que possa enviar solicitações snmp. Eu fiz isso efetivamente com as ferramentas snmp do Linux.

Você deseja configurar uma nova comunidade para SNMP que tenha acesso de gravação limitado e provavelmente trancá-lo ainda mais com uma IP ACL. Na verdade, você só precisa escrever no ccCopyTableOID.

No lado do Linux, você precisará dos seguintes MIBs (para facilitar a leitura, e não a funcionalidade)

CISCO-CONFIG-COPY-MIB
CISCO-SMI
CISCO-ST-TC

Com os MIBs instalados no local relevante para a sua configuração SNMP no Linux, você poderá testar a conectividade com o snmptable da seguinte maneira:

snmptable -v2c -c writeCommunity 192.168.1.1 ccCopyTable
CISCO-CONFIG-COPY-MIB::ccCopyTable: No entries

Você geralmente precisa pré-criar o arquivo no servidor TFTP para o roteador copiar.

Para disparar uma cópia TFTP, você precisa inserir uma linha no ccCopyTable.

snmpset permite que você faça isso.

# snmpset -v2c -c writeCommunity 192.168.1.1 \
> ccCopyProtocol.23 i tftp \
> ccCopySourceFileType.23 i runningConfig \
> ccCopyDestFileType.23 i networkFile \
> ccCopyServerAddress.23 a 192.168.1.100 \
> ccCopyFileName.23 s router.conf

CISCO-CONFIG-COPY-MIB::ccCopyProtocol.23 = INTEGER: tftp(1)
CISCO-CONFIG-COPY-MIB::ccCopySourceFileType.23 = INTEGER: runningConfig(4)
CISCO-CONFIG-COPY-MIB::ccCopyDestFileType.23 = INTEGER: networkFile(1)
CISCO-CONFIG-COPY-MIB::ccCopyServerAddress.23 = IpAddress: 192.168.1.100
CISCO-CONFIG-COPY-MIB::ccCopyFileName.23 = STRING: router.conf

Depois de fazer isso, você poderá executar novamente o primeiro comando e ver o comando copy no ccCopyTable.

snmptable -v 2c -c writeCommunity 192.168.1.1 ccCopyTable

SNMP table: CISCO-CONFIG-COPY-MIB::ccCopyTable

 index Protocol SourceFileType DestFileType ServerAddress    FileName UserName
    23     tftp  runningConfig  networkFile     192.168.1.100 router.conf        ?

SNMP table CISCO-CONFIG-COPY-MIB::ccCopyTable, part 2

 index UserPassword NotificationOnCompletion State TimeStarted TimeCompleted
    23            ?                    false     ?           ?             ?

SNMP table CISCO-CONFIG-COPY-MIB::ccCopyTable, part 3

 index FailCause EntryRowStatus ServerAddressType ServerAddressRev1
    23         ?              ?              ipv4       "192.168.1.100"

Nada acontecerá até você definir outra coluna em ccCopyTable para ativar a linha.

 snmpset  -v2c -c writeCommunity 192.168.1.1 \
> ccCopyEntryRowStatus.23 i active

Se você marcar ccCopyTable novamente, verá que State e TimeStarted foram atualizados para refletir que o arquivo foi copiado.

Há mais detalhes nos links de origem abaixo, incluindo como esvaziar o ccCopyTable (se desejar).

Usei o mesmo método em um script de um servidor Linux para disparar uma cópia TFTP, depois comprometer o arquivo com o git e enviá-lo de volta ao repositório, tudo em um processo rápido.

Fontes: http://www.ciscozine.com/2013/08/22/how-to-save-configurations-using-snmp/

e http://bodgitandscarper.co.uk/networks/using-snmp-to-trigger-cisco-tftp-backups/

Você pode usar o EEM

Exemplo:

event manager applet dumpconfig
 event timer {absolute time time-value | countdown time time-value | cron cron-entry cron-entry | watchdog time time-value} [name timer-name]
 action 1.0 cli command "enable"
 action 2.0 cli show running-config | redirect tftp://10.10.10.10/configs/testswitch.txt
 action 998.0 cli command "end"
 action 999.0 cli command "exit"

Você pode usar o RANCID para fazer isso.

Você recebe algumas outras coisas legais, como controle de versão das configurações, diferenças de email e outras coisas legais (por padrão, é necessário um inventário de hardware; portanto, se o hardware mudar, você receberá um alerta com isso).

Ele funciona com todos os switches e roteadores que eu joguei até agora (Cisco / Juniper / Dell), o que é outra vantagem.

Você pode usar um script perl, como este . Uso:perl cisco_backup.pl "my-enable-password"

O fetchconfig é outra ferramenta para isso:

fetchconfig é um script Perl para recuperar a configuração de vários dispositivos. Foi testado no Linux e Windows e atualmente suporta uma variedade de dispositivos, incluindo Cisco IOS, Cisco Catalyst, Cisco ASA, Cisco PIX, FortiGate Firewalls, ProCurve, Alcatel Ethernet Routers (aka Riverstone), Dell PowerConnect Switches, Terayon 3200 / 3500 CMTS, Datacom DmSwitch Switches, HP MSR Routers, Mikrotik Routers, Tellabs MSR Routers, Juniper EX Switch JunOS, Pacote Oracle Acme, Audiocodes Mediant, Cisco IOS XR, NEC Univerge IX.