چگونه بک‌آپ‌گیری از سوئیچ سیسکو را انجام دهیم؟

دسته‌ها

امنیت

مکانیزم پیشگیری از نشت اطلاعات (Data Loss Prevention) چیست؟

فناوری عملیاتی و فناوری اطلاعات در دنیای امنیت سایبری

مدیریت امنیت سازمانی (Enterprise Security Management) چیست؟

تفاوت SSL و TLS چیست و هر یک چه ویژگی‌هایی دارند؟

آشنایی با سبد محصولات مهم امنیتی شرکت فورتی‌نت

آشنایی با معنا و تفاوت سه اصطلاح CERT، CSIRT و SOC

تجزیه و تحلیل امنیتی چیست و چرا سازمان‌ها به آن نیاز دارند؟

راهنمای جامع واکنش به حوادث امنیتی (Responding to Security Incidents)

اصلی‌ترین و مهم‌ترین دلیل برای بک‌آپ‌گیری (پشتیبان‌گیری) از سوئیچ سیسکو، تضمین پایداری و تداوم فعالیت‌های تجاری است. سوئیچ‌ها به عنوان هسته اصلی زیرساخت شبکه، شامل پیکربندی‌های حیاتی (مانند VLANها، تنظیمات امنیتی، مسیریابی و QoS) هستند که پیاده‌سازی و تنظیم دقیق آن‌ها زمان‌بر و پیچیده است. از دست دادن این تنظیمات، که معمولا در RAM/Running-Config قرار دارند، به دلیل خرابی سخت‌افزاری، قطعی برق ناگهانی، یا خطای انسانی در اعمال تغییرات، می‌تواند منجر به متوقف شدن عملیات و فعالیت‌های روزمره می‌شود. با داشتن یک نسخه پشتیبان به‌روز که خارج از دستگاه (Offsite Backup) ذخیره شده باشد، مدیران شبکه می‌توانند در کوتاه‌ترین زمان ممکن، تنظیمات را بر روی سوئیچ جایگزین یا همان سوئیچ بازیابی کرده و زمان قطعی را به حداقل برسانند. بنابراین، بک‌آپ‌گیری منظم نه تنها یک اقدام پیشگیرانه است، بلکه یک عنصر ضروری برای بازیابی سریع از فاجعه و مدیریت کارآمد شبکه به شمار می‌رود.

روش‌ های بک‌آپ‌گیری از سوئیچ سیسکو

روش‌های بک‌آپ‌گیری (پشتیبان‌گیری) از سوئیچ‌های سیسکو به سه روش اصلی تقسیم می‌شوند که تضمین می‌کنند در صورت خرابی یا خطای انسانی، بتوان تنظیمات حیاتی دستگاه را بازیابی کرد. این روش‌ها به شرح زیر هستند:

1. بک‌آپ‌گیری داخلی (ذخیره در NVRAM)

ساده‌ترین و پایه‌ای‌ترین روش است که تنظیمات فعال سوئیچ را از رم به حافظه NVRAM که شامل startup-config است، منتقل می‌کند. بک‌آپ‌گیری از سوئیچ سیسکو با استفاده از دستور copy، ابتدایی‌ترین و متداول‌ترین روش برای مدیریت فایل‌های پیکربندی است و دو کاربرد اصلی دارد: ذخیره پیکربندی داخلی و انتقال آن به خارج از دستگاه. در روش اول فرآیند ذخیره‌سازی اطلاعات به شکل داخلی انجام می‌شود. این روش برای اطمینان از باقی ماندن تنظیمات پس از راه‌اندازی مجدد استفاده می‌شود. این کار با هدف کپی کردن تنظیمات فعال فعلی (running-config که در رم قرار دارد) به فایل پیکربندی هنگام بوت شدن (startup-config که در حافظه NVRAM ذخیره می‌شود) انجام می‌شود. این‌کار با هدف جلوگیری از پاک شدن تنظیمات در صورت قطع برق یا راه‌اندازی مجدد (Reload) دستگاه انجام می‌شود. روند کلی این‌کار به شرح زیر است:

copy running-config startup-config

لازم به توضیح است که روش فوق، بک‌آپ Offsite (بیرون از دستگاه) نیست و در صورت خرابی فیزیکی سوئیچ، تنظیمات از دست خواهند رفت.

2. بک‌آپ‌گیری از راه دور با پروتکل‌های شبکه

این روش رایج‌ترین و مطمئن‌ترین راه برای تهیه بک‌آپ Offsite است، به این معنی که فایل پیکربندی به یک سرور خارجی منتقل می‌شود. برای این کار به یک سرور TFTP یا FTP در شبکه نیاز دارید. TFTP پروتکلی ساده است که برای انتقال فایل‌های پیکربندی استفاده می‌شود و نیاز به احراز هویت (نام کاربری و رمز عبور) ندارد. برای این منظور ما از دستور copy برای انتقال فایل running-config به سرور TFTP استفاده می‌کنیم. روش انجام این‌کار به شرح زیر است:

copy startup-config tftp tftp-ip-addr filename

این تکنیک به دلیل سادگی و سرعت مورد توجه قرار دارد، اما به دلیل امنیت پایین و نبود احراز هویت ندارد، پیشنهاد نمی‌شود. روش دیگری که وجود دارد، استفاده از FTP یا SCP سرنام (Secure Copy Protocol) است. FTP و SCP که امن‌تر است و از SSH استفاده می‌کند برای انتقال فایل در محیط‌هایی که نیاز به امنیت بالاتر و احراز هویت دارند، مناسب هستند. روش انجام این‌کار مشابه TFTP است، اما ابتدا باید مشخصات احراز هویت (نام کاربری و رمز عبور) را در تنظیمات سوئیچ وارد کنید. دستور مورد استفاده به شرح زیر است:

copy running-config ftp

در هر دو حالت، سوئیچ آدرس آی‌پی سرور مقصد و نام فایل را از شما درخواست می‌کند و سپس پیکربندی را به عنوان یک فایل متنی ساده (Config File) به آن مکان منتقل می‌سازد.

در شبکه‌های بزرگتر، برای اطمینان از به‌روز بودن نسخه‌های پشتیبان، می‌توان فرآیند بک‌آپ‌گیری را به صورت خودکار و دوره‌ای پیکربندی کرد. برای این منظور از قابلیت archive به همراه قابلیت زمان‌بندی (kron) برای ذخیره خودکار تنظیمات بر روی سرورهای خارجی (TFTP/FTP) پس از هر تغییر یا در فواصل زمانی مشخص (مثلا روزانه) استفاده می‌شود. بزرگ‌ترین مزیت روش فوق، کاهش خطای انسانی و اطمینان از داشتن نسخه‌های متعدد و منظم از تنظیمات است.

3. بک‌آپ روی فلش داخلی سوئیچ یا USB

بک‌آپ‌گیری از سوئیچ سیسکو بر روی Flash Memory یا یک درایو USB متصل به دستگاه، روشی سریع و ساده برای تهیه یک نسخه پشتیبان محلی (Onsite Backup) از فایل پیکربندی است. این روش به ویژه زمانی مفید است که امکان دسترسی به سرورهای TFTP یا FTP وجود ندارد یا برای جابجایی تنظیمات بین دستگاه‌ها استفاده می‌شود. فلش داخلی سوئیچ شامل فایل‌های مهمی مانند سیستم‌عامل (IOS) و فایل‌های پیکربندی (Configuration Files) است. ذخیره‌سازی فایل پیکربندی فعال (running-config) به عنوان یک فایل متنی در دایرکتوری فلش، در کنار سایر فایل‌های حیاتی، یکی از کارهایی است که متخصصان شبکه انجام می‌دهند. برای این منظور از دستور copy برای انتقال استفاده می‌شود. فرمت کلی این‌کار به شرح زیر است:

copy running-config flash

در این مرحله سوئیچ از شما نام فایل مقصد را می‌پرسد که می‌تواند شبیه به My-Switch-Backup-01 باشد. مزیت این روش در دسترس بودن و بازیابی سریع پس از خطای نرم‌افزاری یا تنظیمات اشتباه است. البته،اگر خود دستگاه از نظر فیزیکی دچار خرابی شود، بک‌آپ از دست می‌رود. مدل‌های جدیدتر سوئیچ‌های سیسکو دارای پورت USB هستند که امکان ذخیره فایل‌ها بر روی یک فلش درایو خارجی را فراهم می‌کند. این روش نیز مشابه فلش داخلی است، با این تفاوت که از نام دایرکتوری USB استفاده می‌شود (معمولا usbflash0 یا usbflash1). روند انجام این‌کار به شرح زیر است:

copy running-config usbflash0

در این روش یک بک‌آپ Offsite کوچک ایجاد می‌شود که می‌توان در جای امن آن‌را نگه‌داری کرد.

استفاده از نرم‌افزارهای مدیریت

استفاده از نرم‌افزارهای مدیریت متمرکز شبکه (NMS) کارآمدترین روش برای بک‌آپ‌گیری از سوئیچ‌های سیسکو در محیط‌های بزرگ و پیچیده است. این ابزارها امکان مدیریت تعداد زیادی از تجهیزات را به صورت همزمان، خودکار و زمان‌بندی‌شده فراهم می‌کنند. این نرم‌افزارها نیازی به اجرای دستی دستورات copy روی هر دستگاه ندارند، بلکه از پروتکل‌هایی مانند SSH/SCP، TFTP یا FTP برای برقراری ارتباط با سوئیچ‌ها و انتقال فایل‌های پیکربندی به یک دیتابیس مرکزی استفاده می‌کنند. مزیت کلیدی آن‌ها بک‌آپ‌گیری خودکار، ذخیره‌سازی نسخه‌های مختلف (Versioning) و هشدار در صورت شکست بک‌آپ است. برخی از رایج‌ترین ابزارهای مدیریتی که این قابلیت را ارائه می‌دهند به شرح زیر هستند:

SolarWinds Network Configuration Manager: یکی از قوی‌ترین ابزارها که برای مدیریت چرخه عمر پیکربندی، حسابرسی و تطبیق‌پذیری (Compliance) طراحی شده است.

RANCID: یک ابزار محبوب و رایگان بر پایه یونیکس که به طور خاص برای جمع‌آوری پیکربندی‌ها، ذخیره‌سازی نسخه‌ها و مقایسه تغییرات (Diffs) بین آن‌ها توسعه یافته است.

Cisco Prime Infrastructure (یا Cisco DNA Center): راهکار مدیریتی رسمی سیسکو برای مدیریت یکپارچه و خودکارسازی شبکه، از جمله عملیات بک‌آپ و بازیابی.

Netmiko: برای مدیران شبکه مسلط به برنامه‌نویسی، استفاده از فریم‌ورک‌هایی مانند Netmiko امکان خودکارسازی و اسکریپت‌نویسی فرآیند بک‌آپ‌گیری با دقت بالا را فراهم می‌کند.

بازگردانی بک‌آپ روی سوئیچ (Restore)

بازگردانی (Restore) بک‌آپ روی سوئیچ سیسکو، فرآیند حیاتی انتقال فایل پیکربندی ذخیره‌شده (بک‌آپ) به سوئیچ برای برگرداندن تنظیمات آن به حالت پایدار و عملیاتی قبلی است. این عملیات اغلب پس از خرابی دستگاه، خطای انسانی یا جایگزینی سوئیچ انجام می‌شود. البته، قبل از انجام این‌کار باید به یکسری نکات مهم دقت کنید.

قبل از هر چیز، باید از طریق پورت کنسول (Console Port) به سوئیچ متصل شوید، به‌خصوص اگر سوئیچ پیکربندی IP نداشته باشد (مانند سوئیچ جدید یا ریست‌شده). همچنین، اطمینان حاصل کنید که سوئیچ می‌تواند به سروری که فایل بک‌آپ در آن ذخیره شده (TFTP، FTP یا SCP) دسترسی داشته باشد. اگر سوئیچ آی‌پی ندارد، باید یک آدرس آی‌پی موقت برای برقراری ارتباط با سرور به آن اختصاص دهید. در ادامه فرآیندانتقال فایل انجام می‌شود. فایل پیکربندی (Config File) معمولا به صورت یک فایل متنی ساده (مانند My-Switch-Config.txt) در سرور نگهداری می‌شود. فرآیند بازگردانی با استفاده از دستور copy انجام می‌شود، اما این بار جهت انتقال برعکس است: از سرور خارجی به حافظه داخلی سوئیچ. روند انجام این‌کار به شرح زیر است:

copy tftp: running-config

به طور کلی مراحل انجام این‌کار به شرح زیر است:

1. پس از وارد کردن دستور، سوئیچ آدرس آی‌پی سرور (Host Address) را از شما می‌پرسد.

2. سپس، نام دقیق فایل بک‌آپ (Source Filename) را درخواست می‌کند.

3. سوئیچ فایل را از سرور دانلود کرده و محتویات آن را مستقیما در running-config (حافظه فعال) اعمال می‌کند. با اعمال تنظیمات، سوئیچ بلافاصله شروع به کار با پیکربندی جدید می‌کند و اتصالات شبکه مجدداً برقرار می‌شود.

پس از اعمال موفقیت‌آمیز پیکربندی به running-config، باید تنظیمات را به صورت دائمی ذخیره کنید تا در صورت ریبوت شدن سوئیچ، از بین نروند. این کار با استفاده از دستور زیر انجام می‌شود:

copy running-config startup-config

با این کار، پیکربندی بازیابی‌شده در حافظه NVRAM ذخیره شده و فرآیند بازگردانی کامل می‌شود.

نکات هنگام بازگردانی آرشیوها در محیط‌های سازمانی

هنگام بازگردانی بک‌آپ بر روی سوئیچ سیسکو در یک محیط عملیاتی، رعایت نکات زیر برای جلوگیری از اختلال در شبکه و تضمین موفقیت‌آمیز بودن عملیات ضروری است. این نکات به شرح زیر هستند:

زمان‌بندی: همیشه این عملیات را در ساعات غیر اوج ترافیک (Maintenance Window) انجام دهید تا تاثیر اختلال احتمالی را به حداقل برسانید.

اتصال کنسول: اتصال فیزیکی از طریق کابل کنسول را حفظ کنید. این تنها راه تضمین شده برای دسترسی به دستگاه در صورت قطع شدن ارتباطات شبکه (مثل از دست رفتن IP یا VLAN) پس از اعمال تنظیمات جدید است.

اعلام هشدار: تیم‌ها و کاربران مرتبط را از زمان شروع عملیات و احتمال وقوع قطعی‌های کوتاه مطلع سازید.

بررسی صحت فایل: قبل از کپی، فایل پیکربندی بک‌آپ را از لحاظ کامل بودن و به‌روز بودن بررسی کنید.

ریستور به running-config: در حالت عادی، فایل بک‌آپ را مستقیما به running-config کپی کنید (copy tftp: running-config). این کار باعث می‌شود تنظیمات فورا اعمال شوند و امکان تست صحت عملکرد شبکه قبل از ذخیره‌سازی دائمی فراهم شود.

بررسی عملکرد: پس از اعمال تنظیمات، فورا پینگ‌ها، مسیرها و سرویس‌های حیاتی را برای اطمینان از صحت عملکرد بررسی کنید.

ذخیره نهایی: تنها پس از تایید کامل عملکرد شبکه و برطرف شدن هرگونه مشکل، تنظیمات را به startup-config ذخیره کنید (copy running-config startup-config). عدم ذخیره‌سازی به معنای از دست رفتن تمام تنظیمات بازیابی‌شده پس از ریبوت سوئیچ است.

دقت کنید که اجرای دستور copy tftp: running-config مهم‌ترین گام در فرآیند بازگردانی تنظیمات یک سوئیچ سیسکو است. این دستور به سوئیچ می‌گوید که فایل پیکربندی را از یک سرور TFTP دانلود کرده و محتویات آن را مستقیما به حافظه فعال دستگاه (RAM) منتقل و اعمال کند. برای اجرای موفقیت‌آمیز این دستور، ابتدا باید از وجود پیش‌نیازهای زیر اطمینان حاصل کنید. این پیش‌نیازها به شرح زیر هستند:

اتصال کنسول: برای انجام عملیات، باید از طریق کابل کنسول به سوئیچ متصل باشید، زیرا ممکن است سوئیچ در حال حاضر تنظیمات IP نداشته و از طریق شبکه قابل دسترسی نباشد.

سرور TFTP: یک کامپیوتر یا سرور باید به عنوان سرور TFTP در شبکه فعال باشد و فایل بک‌آپ (Config File) در دایرکتوری آن قرار گرفته باشد.

ارتباط IP موقت: اگر سوئیچ ریست شده و آدرس آی‌پی ندارد، باید یک آدرس آی‌پی موقت روی یکی از پورت‌های آن (معمولا اینترفیس مدیریت یا VLAN) تنظیم کنید تا بتواند با سرور TFTP ارتباط برقرار کند.

هنگامی که پیش‌نیازهای مربوطه آماده شدند، نوبت به اجرای دستورات می‌رسد. این‌کار به شرح زیر است:

1. ورود به حالت Privileged EXEC:

Switch> enable

2. اجرای دستور کپی:

copy tftp: running-config

3. درخواست آدرس آی‌‌پی سرور (Address or name of remote host):

سوئیچ از شما می‌خواهد آدرس آی‌پی سرور TFTP را وارد کنید (مثلا 192.168.1.100).

4. درخواست نام فایل (Source filename):

نام دقیق فایل پیکربندی که روی سرور ذخیره کرده‌اید (مثلا OldSwitch-Config.txt) را وارد کنید.

5. اعمال تنظیمات:

سوئیچ شروع به انتقال فایل می‌کند. پس از اتمام انتقال، تمام خطوط فرمان موجود در فایل بک‌آپ، مستقیما به عنوان تنظیمات جاری (running-config) روی سوئیچ اعمال می‌شوند.

6. ذخیره‌سازی نهایی:

پس از اطمینان از صحت عملکرد شبکه با تنظیمات بازیابی‌شده، حتما با دستور زیر آن را ذخیره کنید:

copy running-config startup-config

این عملیات در سریع‌ترین زمان ممکن سوئیچ را به وضعیت پیکربندی قبلی باز می‌گرداند.

فرآیند انجام این کار در محیط‌های سازمانی با چندین سوئیچ

فرآیند بک‌آپ‌گیری و بازیابی تنظیمات در محیط‌های سازمانی که شامل چندین سوئیچ سیسکو هستند، از رویکرد دستی به سمت اتوماسیون (Automation) و مدیریت متمرکز (Centralized Management) تغییر می‌کند. اجرای دستی دستور copy روی ده‌ها یا صدها سوئیچ نه تنها غیرعملی است، بلکه خطر خطای انسانی را به شدت افزایش می‌دهد. بنابراین، به جای اتصال به تک تک دستگاه‌ها، از سیستم‌های مدیریت شبکه (NMS) استفاده می‌شود. به طور معمول، سازمان‌ها از نرم‌افزارهایی مانند SolarWinds NCM، RANCID یا Cisco DNA Center/Prime Infrastructure استفاده می‌کنند. این ابزارها از پروتکل‌های امن مانند SCP/SFTP (به جای TFTP ناامن) و SSH برای برقراری ارتباط با سوئیچ‌ها استفاده می‌کنند، به طوری که بک‌آپ‌گیری به صورت خودکار و زمان‌بندی شده انجام می‌شود. در این حالت، نرم‌افزار به طور خودکار نسخه‌های مختلف پیکربندی را ذخیره کرده و تفاوت‌ها (Diffs) بین آن‌ها را برجسته می‌کند. این امر شناسایی سریع تغییرات غیرمجاز یا مشکل‌زا را ممکن می‌سازد.

زمانی که نیاز به بازگردانی تنظیمات یک یا چند سوئیچ باشد، این ابزارها فرآیند را ساده می‌کنند. مدیر شبکه از طریق رابط کاربری نرم‌افزار، سوئیچ مورد نظر و نسخه سالم پیکربندی را انتخاب می‌کند. نرم‌افزار مدیریت، فایل پیکربندی را به صورت خودکار به سوئیچ منتقل کرده و دستورات لازم برای اجرای آن (مشابه copy tftp: running-config) را صادر می‌کند. در چنین شرایطی در صورت خرابی کامل سوئیچ، می‌توان فایل پیکربندی را با چند کلیک روی یک سوئیچ جایگزین اعمال کرد و زمان قطعی شبکه (Downtime) را به حداقل رساند.

حمیدرضا تائبی

اشتراک‌گذاری