一、适用场景
1、多厂商设备统一管理:当网络中存在华为、华三、海康威视等不同厂商的设备时,需用一套自动化方案统一备份配置,避免逐台手动操作。
2、定期合规审计:企业需满足等保、ISO等合规要求,定期保留设备配置,自动化脚本可确保备份不遗漏、时间准确。
3、故障快速恢复:核心交换机或路由器配置丢失后,需在分钟级内恢复业务,自动化备份提供最新可用配置副本。
4、大规模网络运维:设备数量超过20台后,人工备份效率低且易出错,批处理可显著提升效率并减少人为失误。
5、变更前后配置存档:在进行网络割接、升级或策略调整前,自动备份当前配置,便于回滚或设备坏后更换,迅速恢复业务运行。
二、远程访问的安全配置
(一)管理网络与业务网络分离
1、物理层面分离:如何划分网段根据实际的环境决定
(1)管理端PC使用双网卡:分别连接管理网络(192.168.80.0/24)和业务网络(192.168.176.0/24),确保流量在物理层完全隔离 。
(2)网络设备端使用专用管理接口:利用网络设备内置的专用的mgmt管理口,这些接口独立于业务网卡,仅用于远程监控和维护。
2、逻辑层面隔离划分vlan
(1)通过虚拟局域网技术,将管理流量和业务流量划分到不同VLAN中,实现逻辑隔离。
(2)子网隔离:为管理网络和业务网络分配不同的IP子网段,结合路由策略限制互访。
(二)配置ACL,仅允许指定网段的PC能访问管理网络
本例采用vlan1:192.168.80.0/24作为管理网络,DHCP服务器网段为:192.168.0.0/24,业务网段为:192.168.176.0/24,配置时,不同品牌的设备配置指令略有不同,本例给出实战在用的设备相关配置。1、华为交换机(Quidway S9706、HUAWEI S5720S-28X-LI-AC、HUAWEI S1720-28GFR-4TP-AC、Quidway S5700-28C-EI、HUAWEI S1720-28GWR-4P-E、HUAWEI S5720-28P-LI-AC、HUAWEI S5720-32X-EI-24S-AC、FutureMatrix S5735S-L24P4S-A2)、路由器(HuaweiAR2240)、华为AC6508无线控制器
(1)创建流分类,使用高级ACL,仅允许指定的网段访问管理网络(192.168.80.0/24,192.168.176.0/24)
acl number 3000
description manager
rule 5 permit ip source 192.168.176.0 0.0.0.255 destination 192.168.80.0 0.0.0.255
rule 10 permit ip source 192.168.80.0 0.0.0.255 destination 192.168.176.0 0.0.0.255
rule 15 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.80.0 0.0.0.255
rule 20 permit ip source 192.168.80.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 21 permit ip source 192.168.80.0 0.0.0.255 destination 192.168.80.0 0.0.0.255
rule 30 deny ip
(2)配置流行为,如果流量满足ACL3000中的条件,允许流量通过
traffic classifier c1 operator or
if-match acl 3000
traffic behavior b1
permit
(3)配置流策略,绑定流行为到流策略
traffic policy p1
classifier c1 behavior b1
(4)应用流策略到接口
vlan 1
traffic-policy p1 inbound
2、H3C交换机(H3C S5500-28F-EI-D,24光千兆+8电千兆)
(1)创建流分类
acl number 3000
description manager
rule 5 permit ip source 192.168.176.0 0.0.0.255 destination 192.168.80.0 0.0.0.255
rule 10 permit ip source 192.168.80.0 0.0.0.255 destination 192.168.176.0 0.0.0.255
rule 15 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.80.0 0.0.0.255
rule 20 permit ip source 192.168.80.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 21 permit ip source 192.168.80.0 0.0.0.255 destination 192.168.80.0 0.0.0.255
rule 30 deny ip
(2)配置流行为流策略
traffic classifier c1 operator or
if-match acl 3000
traffic behavior b1
filter permit
(3)应用ACL到接口
interface Vlan-interface1
ip address 192.168.80.57 255.255.255.0
packet-filter 3000 inbound
4、海康威视核心交换机(HIK DS-3E2728F-H、16光千兆+8光电复用+4光万兆)
(1)创建流分类
acl number 3000
description manager
rule 5 permit ip source 192.168.176.0 0.0.0.255 destination 192.168.80.0 0.0.0.255
rule 10 permit ip source 192.168.80.0 0.0.0.255 destination 192.168.176.0 0.0.0.255
rule 15 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.80.0 0.0.0.255
rule 20 permit ip source 192.168.80.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 21 permit ip source 192.168.80.0 0.0.0.255 destination 192.168.80.0 0.0.0.255
rule 30 deny ip
(2)配置流行为流策略
traffic classifier c1 operator or
if-match acl 3000
traffic behavior b1
filter permit
(3)应用ACL到接口
interface Vlan-interface1
ip address 192.168.80.70 255.255.255.0
packet-filter 3000 inbound
(三)配置ssh协议的stelnet
(不同型号的设备,安全级别要求不同,配置指令略有区别)
1、华为设备配置ssh协议的stelnet
(1)Quidway S9706(32光千兆+32光万兆)、HUAWEI S5720-32X-EI-24S-AC(24光千兆+4电千兆+4光万兆)、HUAWEI S5720S-28X-LI-AC(24电千兆+4光万兆)、Quidway S5700-28C-EI(24电千兆+4光万兆)、FutureMatrix S5735S-L24P4S-A2(24电千兆+4光千兆+POE供电)、HUAWEI S1720-28GFR-4TP-AC(24电千兆+4光千兆)、HUAWEI S1720-28GWR-4P-E(24电千兆+4光千兆)
配置时管理网络vlan 1的ip地址根据实际环境决定,指令如下:
aaa
local-user admin password irreversible-cipher %@%@fI6iOb<K!(sl\8(zm\0=,]
local-user admin privilege level 3
local-user admin service-type ssh
local-user adminftp password irreversible-cipher %@%@+|F8Ds;R}Tg:nxRu&mS
local-user adminftp privilege level 3
local-user adminftp ftp-directory flash:/
local-user adminftp service-type ftp
interface Vlanif1
ip address 192.168.80.2 255.255.255.0
ntp-service server disable
ntp-service unicast-server 192.168.80.1
FTP server enable
stelnet server enable
ssh user admin
ssh user admin authentication-type password
ssh user admin service-type stelnet
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
(2)无线AC控制器(Huawei AC6508 10电千兆+2光万兆,可纳管512个AP,授权64个),配置指令如下:
ftp server enable
ftp server-source -i Vlanif1
set default ftp-directory flash:
ssh server-source -i Vlanif1
ssh client first-time enable
sftp server enable
stelnet server enable
ssh server secure-algorithms cipher aes256_ctr aes128_ctr
ssh server secure-algorithms hmac sha2_256
ssh server key-exchange dh_group16_sha512 dh_group15_sha512 ecdh-sha2-nistp521 ecdh-sha2-nistp384 ecdh-sha2-nistp256 dh_group_exchange_sha256
ssh client secure-algorithms cipher aes256_ctr aes128_ctr
ssh client secure-algorithms hmac sha2_256
ssh client key-exchange dh_group16_sha512 dh_group15_sha512 ecdh-sha2-nistp521 ecdh-sha2-nistp384 ecdh-sha2-nistp256 dh_group_exchange_sha256
user-interface vty 1 4
authentication-mode aaa
protocol inbound ssh
aaa
local-user admin password irreversible-cipher 1 a 1a 1a:Y;@Ht}LK4P\~.:IQ)hNEBn95pp
local-user admin privilege level 15
local-user admin ftp-directory flash:/
local-user admin service-type telnet terminal ssh ftp http
interface Vlanif1
ip address 192.168.80.83 255.255.255.0
traffic-filter inbound acl 3000
ntp-service server disable
ntp-service server server-source -i Vlanif1
ntp-service unicast-server 192.168.80.1
(3)企业级路由器HUAWEI AR2220(4光千兆+4电千兆+2光电复用千兆+1MGMT)
因路由器面向Internet,安全性的要求更高,所以与交换机相比,对安全性的配置也更高,本例为了使配置统一,后面写批处理做一键备份时更方便,给出了几条降低安全性的配置指令,可酌情处理。
aaa
local-aaa-user password policy administrator # 进入管理员密码策略视图
password history record number 0 #不记住历史密码
undo password alert original #关闭首次登录强制修改密码
password expire 0 # 设置密码永不过期
undo user-password complexity-check #关闭密码复杂度检查(全局)
local-user admin password irreversible-cipher 1 a 1a 1a)#p3TLC#d+$1Y63/vL|~Rf6%D;A
local-user admin privilege level 15
local-user admin service-type ssh ftp http
ftp server enable
set default ftp-directory sd1:
user-interface vty 1 4
authentication-mode aaa
interface GigabitEthernet0/0/4
description mgmt80.67
ip address 192.168.80.67 255.255.255.0
2、H3C设备配置ssh协议的stelnet
(1)H3C S5500-28F-EI-D(24光千兆+4光万兆)、H3C POE交换机:H3C WP2016(2光电复用千兆+16百兆POE),配置指令如下:
local-user admin
password cipher '*G]]>%(=^=SQ+DGN*O)1!! authorization-attribute level 3 service-type ssh local-user adminftp password cipher '*G]]>%(=^2DKT:4(8S1!!
authorization-attribute work-directory flash:/
authorization-attribute level 3
service-type ftp
telnet server enable
ntp-service source-interface Vlan-interface1
ntp-service unicast-server 192.168.80.1
ftp server enable
ssh server enable
ssh user admin service-type stelnet authentication-type password
user-interface vty 0 4
authentication-mode scheme
protocol inbound ssh
3、海康威视配置ssh协议的stelnet
海康威视HIK DS-3E2728F-H核心交换机:HIK DS-3E2728F-H(24光千兆+8光电复用+4光万兆),配置指令如下:
local-user admin class manage
password hash h 6 6 6iwG24qkxK/Z/y6o/PiOMpg0X//eWQdRJY14
service-type ssh telnet terminal
authorization-attribute user-role level-15
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
local-user adminftp class manage
password hash h6 9 Q N f N m v W 6 M C g G X j K 9QNfNmvW6MCgGXjK 9QNfNmvW6MCgGXjKeA+N41kRDUJSx
service-type ftp
authorization-attribute user-role level-15
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
ftp server enable
ssh server enable
line vty 0 4
authentication-mode scheme
user-role network-operator
protocol inbound ssh
command authorization
(四)所有网络设备NTP自动校时
1、NTP服务端,本例在华为S9706上配置:
ntp-service ipv6 server disable
ntp-service refclock-master 2
ntp-service unicast-server 172.16.11.253
2、NTP客户端,本例在其他所有网管交换机、路由器、AC控制器上配置:
(1)华为设备NTP客户端配置指令如下:
ntp-service server disable
ntp-service ipv6 server disable
ntp-service unicast-server 192.168.80.1
(2)海康威视交换机NTP客户端配置指令如下:
ntp-service enable
ntp-service source Vlan-interface 1
ntp-service unicast-server 192.168.80.1
(3)H3C交换机NTP客户端配置指令如下:
ntp-service source-interface Vlan-interface1
ntp-service unicast-server 192.168.80.1
三、编写自动备份的批处理文件
(一)批处理文件执行
(二)自动下载配置文件
1、执行单个.bat文件,通过ftp调用.txt文件中的用户名和密码,并执行get指令
2、在执行.bat成功后,执行get指令获取网络设置中的配置文件
下图文件中的第一行是FTP用户名,第二行是FTP用户的密码,根据您具体的配置写入到.txt文本中。
四、一键完成备份
视频示例:
一键备份网络设备配置
本例通过使用ACL高级访问控制列表,限制指定的PC网段作为管理网络,拒绝其他所有内网私有地址访问管理网络的网段,实现管理网络安全性的提升。然后在每台网络设备上配置ssh协议的stelnet加密传输访问,在确保安全的前提下,使网络管理更为便捷。最后通过批处理.bat文件,自动备份网络设备配置,实现一键备份。通过实践证明,以前备份每个设备网络登录,再敲命令每台设备备份,全部网络设备配置备份完成需要1.5小时左右,现在通过这个1-2分钟就搞定了。本文至此结束,不足之处敬请批评指正。