设备配置备份操作流程(园区汇聚交换机/堆叠,VLAN/ACL/OSPF;定时备份;SSH;NFS存储)
备份目标说明
- 目标设备:园区汇聚交换机(堆叠形态,运行 VLAN/ACL/OSPF)
- 备份内容:
- 运行配置(running-config)与/或启动配置(startup-config)
- 补充状态快照(便于故障回溯):VLAN 概览、ACL 概览、OSPF 核心状态、堆叠状态
- 触发方式:定时自动备份(每日/每周)
- 管理协议:SSH(仅使用 SSH,禁用明文与不安全协议)
- 存储位置:nfs://ops-storage/backup/campus-switch(通过安全的 NFSv4 挂载到备份服务器,备份服务器再对设备发起 SSH 拉取)
- 成功标准:
- 每台设备按计划生成完整配置文件,校验通过(完整性标记、大小阈值、哈希)
- 备份结果可检索、可差异对比、可用于恢复演练
- 备份任务、失败重试、告警均可追踪
前置条件检查清单
- 资产与权限
- 设备清单:主机名、管理IP、厂商/系统版本、堆叠拓扑说明
- 备份账号:设备上预置“备份专用”本地账号,具备显示运行配置权限(建议最高只读/显示权限,命令授权允许 show/display/copy running-config 输出)
- SSH 公钥认证启用(避免口令暴露;不使用 Telnet/TFTP/FTP)
- 设备时间同步(NTP)一致,用于时间戳与审计
- 通信与安全
- 管理网络可达(备份服务器 -> 设备 TCP/22 允许)
- 设备 AAA/ACL 放行备份服务器管理地址
- 如设备使用管理 VRF,请确保 SSH 流量路由正确
- 备份服务器(Linux)
- 已安装 OpenSSH Client/Server,crond 或 systemd timer 可用
- 时间同步(NTP/Chrony),时区统一(建议 UTC)
- 已将 NFS 共享以 NFSv4.1+、Kerberos 保护(sec=krb5p)挂载到本地路径
- 备份账户(如:netbackup)最小权限、仅可访问指定目录
- SSH 密钥对准备(Ed25519;如设备不支持,再追加 RSA-2048),服务器已将公钥分发到设备
- 存储与合规
- NFS 共享开启访问控制与审计;建议底层存储开启加密与快照
- 备份目录容量与配额检查,保留策略明确(见下文)
分步骤操作指南
1. 备份服务器准备(一次性)
- 挂载 NFS(示例)
# 建议专用隔离的管理网络,启用 NFSv4 + Kerberos 完整性与保密
sudo mkdir -p /mnt/backup/campus-switch
sudo mount -t nfs4 -o vers=4.1,sec=krb5p,nofail ops-storage:/backup/campus-switch /mnt/backup/campus-switch
# 可在 /etc/fstab 中添加:
# ops-storage:/backup/campus-switch /mnt/backup/campus-switch nfs4 vers=4.1,sec=krb5p,_netdev,nofail 0 0
- 创建备份账户与密钥
sudo useradd -m -s /bin/bash netbackup
sudo -u netbackup mkdir -p ~netbackup/.ssh && chmod 700 ~netbackup/.ssh
sudo -u netbackup ssh-keygen -t ed25519 -N '' -f ~netbackup/.ssh/id_ed25519
# 如部分设备不支持 Ed25519,再生成 RSA-2048 并同时分发
sudo -u netbackup ssh-keygen -t rsa -b 2048 -N '' -f ~netbackup/.ssh/id_rsa
- 目录与权限
sudo mkdir -p /mnt/backup/campus-switch/{logs,inventory}
sudo chown -R netbackup:netbackup /mnt/backup/campus-switch
sudo chmod -R 750 /mnt/backup/campus-switch
- 设备清单文件(CSV 示例)
/mnt/backup/campus-switch/inventory/devices.csv
# hostname,ip,vendor
agg-sw01,10.10.10.11,cisco_iosxe
agg-sw02,10.10.10.12,huawei_vrp
agg-sw03,10.10.10.13,hpe_comware
- 预热 known_hosts(防止首登交互)
sudo -u netbackup bash -c '
while IFS="," read -r h ip v; do
[[ "$h" == hostname ]] && continue
ssh-keyscan -T 5 -t rsa,ecdsa,ed25519 "$ip" >> ~netbackup/.ssh/known_hosts 2>/dev/null || true
done < /mnt/backup/campus-switch/inventory/devices.csv
'
chmod 600 ~netbackup/.ssh/known_hosts
2. 设备侧准备(一次性,按厂商版本适配)
conf t
username backup privilege 15 secret <强口令> ! 建议授权仅限必要命令(如使用命令授权)
ip ssh pubkey-chain
username backup
key-string
ssh-ed25519 AAAAC3...来自备份服务器公钥...
exit
exit
line vty 0 4
transport input ssh
login local
exec-timeout 15
end
write memory
-
Huawei VRP(思路,按具体版本命令调整)
- 启用 Stelnet/SSH
- 创建本地用户 backup(service-type ssh、权限级别)
- 导入备份服务器公钥(openssh 格式)
- 允许 SSH 登录并放行管理 ACL
- 可使用 screen-length 0 temporary 临时关闭分页
-
HPE Comware(与 VRP 类似)
- 启用 SSH、创建本地用户与公钥
- display current-configuration 可读
- screen-length disable 或临时关闭分页
3. 部署备份脚本(服务端拉取,SSH)
#!/usr/bin/env bash
set -euo pipefail
export TZ=UTC
BASE="/mnt/backup/campus-switch"
INV="$BASE/inventory/devices.csv"
LOGDIR="$BASE/logs"
NOW=$(date -u +%Y%m%d%H%MZ)
TODAY=$(date -u +%Y/%m/%d)
SSH_OPTS="-o BatchMode=yes -o StrictHostKeyChecking=yes -o ConnectTimeout=15 -o ServerAliveInterval=15 -o ServerAliveCountMax=2"
mkdir -p "$LOGDIR"
exec >>"$LOGDIR/run_$NOW.log" 2>&1
lockfile="$LOGDIR/.backup.lock"
if ! ( set -o noclobber; echo "$NOW" > "$lockfile" ) 2>/dev/null; then
echo "Another run is in progress. Exiting."
exit 1
fi
trap 'rm -f "$lockfile"' EXIT
echo "=== Backup started at $NOW ==="
# 供应商命令模板
function do_cisco_iosxe() {
local host="$1" ip="$2" devdir="$3"
# running-config
ssh $SSH_OPTS backup@"$ip" 'terminal length 0 ; show running-config' > "$devdir/${host}_running_$NOW.txt"
# 补充状态
ssh $SSH_OPTS backup@"$ip" 'terminal length 0 ; show vlan brief' > "$devdir/${host}_vlan_$NOW.txt" || true
ssh $SSH_OPTS backup@"$ip" 'terminal length 0 ; show ip access-lists' > "$devdir/${host}_acl_$NOW.txt" || true
ssh $SSH_OPTS backup@"$ip" 'terminal length 0 ; show ip ospf' > "$devdir/${host}_ospf_$NOW.txt" || true
ssh $SSH_OPTS backup@"$ip" 'terminal length 0 ; show switch detail' > "$devdir/${host}_stack_$NOW.txt" || true
}
function do_huawei_vrp() {
local host="$1" ip="$2" devdir="$3"
ssh $SSH_OPTS backup@"$ip" 'screen-length 0 temporary ; display current-configuration' > "$devdir/${host}_running_$NOW.txt"
ssh $SSH_OPTS backup@"$ip" 'screen-length 0 temporary ; display vlan' > "$devdir/${host}_vlan_$NOW.txt" || true
ssh $SSH_OPTS backup@"$ip" 'screen-length 0 temporary ; display acl all' > "$devdir/${host}_acl_$NOW.txt" || true
ssh $SSH_OPTS backup@"$ip" 'screen-length 0 temporary ; display ospf brief' > "$devdir/${host}_ospf_$NOW.txt" || true
ssh $SSH_OPTS backup@"$ip" 'screen-length 0 temporary ; display stack' > "$devdir/${host}_stack_$NOW.txt" || true
}
function do_hpe_comware() {
local host="$1" ip="$2" devdir="$3"
ssh $SSH_OPTS backup@"$ip" 'screen-length disable ; display current-configuration' > "$devdir/${host}_running_$NOW.txt"
ssh $SSH_OPTS backup@"$ip" 'screen-length disable ; display vlan' > "$devdir/${host}_vlan_$NOW.txt" || true
ssh $SSH_OPTS backup@"$ip" 'screen-length disable ; display acl all' > "$devdir/${host}_acl_$NOW.txt" || true
ssh $SSH_OPTS backup@"$ip" 'screen-length disable ; display ospf brief' > "$devdir/${host}_ospf_$NOW.txt" || true
ssh $SSH_OPTS backup@"$ip" 'screen-length disable ; display irf' > "$devdir/${host}_stack_$NOW.txt" || true
}
# 主循环
while IFS="," read -r host ip vendor; do
[[ "$host" == "hostname" ]] && continue
devdir="$BASE/$host/$TODAY"
mkdir -p "$devdir"
echo "--- [$host][$ip][$vendor] ---"
case "$vendor" in
cisco_iosxe) do_cisco_iosxe "$host" "$ip" "$devdir" ;;
huawei_vrp) do_huawei_vrp "$host" "$ip" "$devdir" ;;
hpe_comware) do_hpe_comware "$host" "$ip" "$devdir" ;;
*) echo "Unsupported vendor: $vendor" >&2; continue ;;
esac
# 基本校验与哈希
for f in "$devdir"/*_"$NOW".txt; do
[[ -s "$f" ]] || { echo "Empty file: $f"; continue; }
sha256sum "$f" > "$f.sha256"
done
# 生成 latest 软链接
ln -sfn "$devdir" "$BASE/$host/latest"
done < "$INV"
echo "=== Backup finished at $(date -u +%Y%m%d%H%MZ) ==="
sudo -u netbackup install -m 750 backup_campus_switch.sh /home/netbackup/backup_campus_switch.sh
4. 定时任务配置
# 例如每日 02:15 执行,随机抖动 0-300 秒
sudo -u netbackup crontab -e
15 2 * * * sleep $((RANDOM % 300)); /home/netbackup/backup_campus_switch.sh
- 企业如采用 systemd timer,可按变更流程投产
5. 首次执行与基线建立
- 手动执行一次脚本,检查每台设备是否生成以下文件:
- running 配置
- vlan/acl/ospf/stack 补充文件
- .sha256 哈希
- 将首次确认无误的 running 配置标记为“golden baseline”(后续差异对比参考)
6. 恢复演练(建议每季度/半年度)
- 在实验或维护窗口,抽样选择设备:
- 使用备份文件进行离线合规检查与可恢复性验证(不在生产设备上直接覆盖)
- 验证 VLAN/ACL/OSPF 段落完整可下发
- 记录演练结果与改进点
验证方法说明
- 文件完整性
- 大小阈值:与历史均值对比(异常小或异常大触发告警)
- 结构标记:
- Cisco:文件末尾应包含 “end”
- Huawei/HPE:包含完整的配置段落与结束标记(如 “return”/“#” 结束)
- 哈希:生成 SHA256 文件(.sha256),用于传输/存储完整性校验
- 内容完整性(关键段落抽检)
- VLAN:存在至少一个 vlan 配置段(如 “vlan 10” 或 vlan batch)
- ACL:存在 ip access-list/acl 简表或条目
- OSPF:存在 router ospf/ospf process 段
- 堆叠:存在 stack/irf/switch detail 输出
- 差异检测与审批
- 与上一版运行配置进行差异对比(生产中建议由变更系统自动比对并触发审批/告警)
- 差异集中在变更窗口内,出现窗口外差异需调查
- 存储校验
- NFS 路径可达,目录可写,周期性自检(df -h、快照状态、I/O 延迟)
- 定期抽检从 NFS 读取文件并验证 SHA256
常见问题处理
备份文件管理规范
- 目录结构与命名
- 目录:/mnt/backup/campus-switch//YYYY/MM/DD/
- 文件命名:_<类型>_YYYYMMDDHHMMZ.txt(UTC 时间)
- latest 软链接指向最近一次备份目录
- 示例:
- agg-sw01/2025/01/15/agg-sw01_running_202501150215Z.txt
- agg-sw01/latest -> 2025/01/15
- 权限与访问控制
- 目录权限 750,文件权限 640;仅备份服务账户与授权组可读
- 严禁通过邮件/IM 外发原始配置;审计访问行为(Linux 审计/存储审计)
- 保留与归档
- 建议策略(可按合规要求调整):
- 日备:保存 30 天
- 周备:保存 12 周(每周一第一份)
- 月备:保存 12 个月(每月第一份)
- 定期清理过期文件并保留校验日志
- 加密与可靠性
- 存储面:NFSv4 + Kerberos(sec=krb5p)保障传输与访问控制;底层卷启用存储加密与快照
- 备份面:关键设备可额外进行异地复制(存储层复制/对象存储归档,遵循企业数据出域策略)
- 变更与基线
- 首次确认的稳定配置标记为“Golden Baseline”
- 任一变更应在变更窗口通过差异对比与审批;备份中如发现非计划差异需告警
- 版本与追溯
- 所有备份与日志应可追溯(任务时间、执行人/任务账号、设备清单版本)
- 如企业已授权版本控制系统(如 Git),可将文本备份纳入只读仓库以便差异审计;未授权时使用目录对比与哈希校验替代
注意与限制
- 严禁使用 Telnet/TFTP/FTP 等明文协议;仅使用 SSH/SCP/SFTP(本方案为 SSH 拉取)
- 不在设备上长期存放明文口令;尽量使用 SSH 公钥登录
- NFS 必须在可信管理网络中,优先使用 NFSv4 + Kerberos(sec=krb5p)
- 所有命令模板需按设备厂商与版本核对后实施;先在测试设备验证再规模化上线
