配置管理是人们经常忽略的那些网络管理主题之一。这不是很令人兴奋-但它非常重要。

在这种情况下,网络设备的“配置”由在该设备上设置功能所需的所有命令和设置组成。如果您必须用新设备替换设备,则配置文件包含复制原始设备功能所需的每条信息。

这就应该解释了为什么配置管理如此重要。

配置管理的主要目的是允许您在出现故障后快速更换网络设备的功能。如果您没有该设备的最新备份,那么您将根据需要找到的所有功能文档从头开始配置新设备。

最好以人类可读的格式备份配置文件,以获得我将在本文中谈到的所有好处,但是某些设备仅提供二进制配置文件。

大多数常见的网络设备(例如交换机,路由器,防火墙和负载平衡器)都允许您下载某种形式的平面文本文件,该文件看起来像您在命令行界面上键入的命令集。

例如,所有思科路由器,交换机和防火墙都是如此。 HP ProCurve设备相似。 Fortinet防火墙等其他一些设备使用XML格式作为其配置信息。

文本文件是最有用的格式,因为您可以轻松地将它们复制,存储在文件服务器上,进行读取以及编写脚本来读取它们以进行报告或为批量部署而创建。

备份网络设备

配置管理的部分问题是,每种不同类型的网络设备都以不同的格式保存其配置。还有没有用于下载或上传配置文件的标准方法。

从历史上看,备份配置文件最常见的协议是TFTP(临时文件传输协议)。该协议存在一些严重的安全性和可靠性问题,使其无法很好地完成此类任务,但仍在普遍使用。

大多数现代网络设备都提供了替代方案,例如SSH / SFTP,RCP。并经常使用CIFS / SMB。其中,SFTP是首选,因为它既安全又可靠。

配置管理系统将是一些位于中心的服务器,该服务器会自动下载并存储所有设备配置。在大多数情况下,即使在配置很少更改的网络中,我也建议每晚进行备份。

手动或脚本化配置备份

有几种触发配置备份的方法。对于具有命令行界面的设备,通常可以通过使用标准会话(例如SSH)登录到设备的脚本会话来完成。该脚本发出适当的命令以将配置复制回中央配置管理系统。

您需要在设备上使用合适的管理员帐户,以便脚本可以登录到它们。这从本质上代表了严重的安全风险。因此中央服务器的安全性很重要。

当然,您可以使用脚本执行任何操作,也可以手动执行。但是,使用脚本可以自动执行备份。然后,您就会知道它们已经定期完成,因此您可以开始利用配置备份的其他一些好处,例如自动比较。

使用第三方可以帮助自动执行备份,因为它可以更好地扩展,并且通常已经解决了这些安全问题。

用于配置文件

我将网络设备配置文件用于一些重要的事情,而不仅仅是在发生故障后重建设备。

报告书

第一个用例是报告。如果配置管理工具比较了昨天的备份和今天的备份,它可以立即向您显示所有已更改的设备以及更改的确切位置。

是否有人未经授权对您的设备进行了更改?这是查看它的最简单方法。而且,如果您使用的是唯一的按用户登录凭据,则通常可以看到更改者。

您还可以查看是否未进行计划的更改。

自动生成

我使用配置管理工具来做的一件事是创建批量更改。假设我需要更改我所有设备上的管理员密码,因为有人离开了组织(或者因为我认为密码可能已泄露)。该工具已经按计划登录到每台设备,因此推出更改很容易添加。

批量管理功能对于推出也很有用。例如,我可能需要实施一批新交换机或打开几个新的远程站点。我喜欢将配置管理服务器用作此类事物的中央位置。

为了批量创建许多新的配置文件,我通常会创建一个标准模板配置。然后,我将在该模板中为所有本地唯一值(例如IP地址)进行变量替换(例如邮件合并)。

我应该注意,我常常不习惯自动进行更改。我担心更新期间会出问题,例如配置文件中的语法错误,或者SSH会话可能会在加载更改的过程中挂起。

但是,我仍然可以通过自动生成更改脚本,然后手动将命令剪切并粘贴到远程设备中来部分自动化配置更新。这样,我可以立即查看是否有问题。

有时,如果我有很多设备要更新,我会手动输入一些设备的更改,直到我确信一切正确,然后让工具自动完成其余的工作。

审核和审查配置

当我被要求查看网络中存在稳定性问题或可能仅需要更新的网络时,我要求提供的第一件事是所有配置中的一组。

如果他们没有最新的配置,我要做的第一件事就是登录所有设备并下载它们。

配置文件并不能告诉您所有信息。它们不会向您显示动态信息,例如ARP表或接口错误计数,也不会显示CPU是高位运行还是内存低位运行。但是,它们确实为您提供了非常有用的快照。

该信息对于诸如安全审核之类的信息也很有用。它们显示了确切的防火墙规则,VPN参数以及IDS / IPS如何检查流量。