Комментарии 14
во-первых не любое сетевое оборудование имеет возможность авторизации по ключу.
во-вторых если делать, то делать все единообразное, для простоты поддержки. У Вас же получается что часть по ftp, часть другим образом. Да и использование у cisco только сохраненную конфигурацию не оптимально.
Сам давно использую самописный скрипт на expect, который просто сохраняет текущий sh run, с помощью cvs организована работа с версиями, ну и viewvc как веб-интерфейс.
В итоге получилось универсальное решение с поддержкой практически любого оборудования, где возможно посмотреть конфиг по ssh (cisco, hpe, juniper, mikrotik, и пр.).
Все крутится на Linux, скрипт запускается по крону в качестве аргумента файл со списком серверов, что позволяет иметь несколько списков и разные устройства опрашивать с разным периодом. При изменении конфигурации отправляется письмо на почту.
Ну и для большей секурности, для авторизации, использую сервер Tacacs+, и пользователь который собирает конфиги ограничен в правах и может только конфиг посмотреть.
За Tacacs+ спасибо, не знала, это интересно.
во-первых не любое сетевое оборудование имеет возможность авторизации по ключу.
Даже больше скажу — не любое оборудование имеет возможность авторизации по ssh. В нашей сети до сих работает примерно три сотни D-Link 3526 (те, которые могли сдохнуть, уже сдохли и были заменены, но оставшиеся какие-то неубиваемые), к которым уже по ssh не подключишься без танцев с бубном. И некоторое количество оптических приёмников и усилителей, у которых ssh нет в принципе — только telnet, web и snmp (ну и ещё консольный порт для первоначальной настройки).
git + git LFS и у вас диффы бинарников
Велосипед, лучше смотрите на https://en.wikipedia.org/wiki/RANCID_(software) и его клоны
Признаюсь честно, до того, как я села писать пост, я не знала про rancid и oxidized. Но они оба не умеют то, что нужно мне в полном объеме. Первый заточен на cisco и со всякой экзотикой работает не очень, второй не имеет авторизации пользователей (хотя это обходится несложными манипуляциями с web-сервером)
Почти без допилинга, из коробки уже доступен git контроль версий, как локальный так и в облако.
Пока все как часы, проблем замечено не было, система работает как часы, пока все устраивает.
Правда продукт подзаброшен разрабами, последнее ядро 2018 года.
Я бы вам предложил посмотреть Noc Project.
Кроме всего прочего он умеет снимать конфиги с широкого диапазона различных устройств, оповещать об изменениях и разумеется хранить и сравнивать конфиги на разные даты.
Судя по всему большую пользу автору принесла сама разработка решения, чем результат, советовать смотреть готовые решения не буду. Добавлю разве что имеет смысл обратить внимание на содержимое конфигов, существует вероятность получить битый файл. Делал сам подобное, дифы отправлялись ежедневно по почте, плюс репорт, что не забекапилось. Кроме того посоветую брать просто список всех хостов, хоть из DNS, а уже тип железки определять по SNMP или по другим повадкам, автоматизация же!
Автобэкапы сетевого оборудования и хранение их в системе контроля версий