dimanche 17 juin 2012

Rancid ( Sauvegarde Cisco)


Présentation de Rancid

Rancid permet d'automatiser la sauvegarde des équipements réseaux de plusieurs fabricants.Rancid réalise les sauvegardes dans un dépôt CVS ou Subversion, pour garder l'historique des changements de configuration. Dés lors qu'une modification est détectée, un email est envoyé. Les avantages sont donc multiples:
  • backup automatisé des équipements réseaux
  • mise en configuration permettant de revenir en arrière
  • détection de changement de configuration
Ainsi, vous sécurisez vos équipements et configurations réseaux.

Installer et configurer Rancid sur Ubuntu en 5 minutes

On attaque l'installation de Rancid pour backuper notre infrastructure CISCO :
sudo aptitude install rancid
Éditez le fichier /etc/rancid/rancid.conf, mettre dans la variable LIST_OF_GROUPS votre"découpage logique de votre réseau", pour moi, par exemple, les différents sites d'implantation de ma société :
LIST_OF_GROUPS="batiment1 batiment2 batiment3"
Ensuite, on démarre la création du repository CVS, avec les commandes :
rancid-run
sudo su -c /var/lib/rancid/bin/rancid-cvs -s /bin/bash -l rancid
Le repository CVS Rancid est créé dans le répertoire /var/lib/rancid/
Pour chaque "découpage logique de votre réseau", vous édité le fichier /var/lib/rancid//router.db, pour moi :
/var/lib/rancid/batiment1/router.db
/var/lib/rancid/batiment2/router.db
/var/lib/rancid/batiment3/router.db
Vous indiquez les adresses ip ou nom DNS des équipements CISCO qui doivent être pris en charge :
192.168.222.1:cisco:up
switch-bat1.mondomaine.com:cisco:up
wifi1-bat1.mondomaine.com:cisco:up
catalyst-bat1.mondomaine.com:cisco:up
Vous éditez, maintenant, le fichier /var/lib/rancid/.cloginrc, qui va contenir les informations de login sur vos différents équipements : ATTENTION FICHIER SENSIBLE !!!
# Batiment 1 switch1 en SSH avec auto-enable
add autoenable  switch1-bat1.mondomaine.com 1
add method      switch1-bat1.mondomaine.com ssh
add user        switch1-bat1.mondomaine.com root
add password    switch1-bat1.mondomaine.com passwdssh

# Batiment 1 wifi1 en telnet avec auto-enable
add autoenable  wifi1-bat1.mondomaine.com 1
add method      wifi1-bat1.mondomaine.com telnet
add user        wifi1-bat1.mondomaine.com adminPower
add password    wifi1-bat1.mondomaine.com asswdtelnet

# Batiment 2 pix1 en ssh SANS auto-enable
add autoenable  pix1-bat1.mondomaine.com 0
add method      pix1-bat1.mondomaine.com ssh
add user        pix1-bat1.mondomaine.com rootMan
add password    pix1-bat1.mondomaine.com passwdssh passwdenable
Pour des raisons de sécurité, Rancid refusera de s’exécuter, si vous ne procédez pas aux modifications suivantes sur le fichier /var/lib/rancid/.cloginrc :
  • chown rancid: /var/lib/rancid/.cloginrc
  • chmod o-r /var/lib/rancid/.cloginrc
Avant d'automatiser les sauvegardes, je vous propose de vérifier votre configuration pour chaque équipement, pour voir si la connexion se passe correctement :
sudo su -c "/var/lib/rancid/bin/clogin \
-f /var/lib/rancid/.cloginrc -u root "
Vous avez vérifié toutes vos connexions, automatisons la sauvegarde, avec cron, éditez le fichier /etc/crontab et ajoutez les lignes suivantes :
# RANCID
# run config differ hourly
1   * * * *  rancid /usr/lib/rancid/bin/rancid-run
# clean out config differ logs
50 23 * * *  rancid /usr/bin/find \
/var/log/rancid -type f -mtime +2 -exec rm {} \;
Pour permettre l'envoie des emails de détection de changement de configuration, vous devez éditer le fichier /etc/aliases en ajoutant ces lignes :
rancid-bat1: email@mondomaine.com
rancid-admin-bat1: email@mondomaine.com
rancid-bat2: email@mondomaine.com
rancid-admin-bat2: email@mondomaine.com
rancid-bat3: email@mondomaine.com
rancid-admin-bat3: email@mondomaine.com
Enfin, lancer la commande newaliases.
Pour lancer la vérification/sauvegarde des configurations CISCO avec Rancid manuellement, lancer la commande (cela peut durer plusieurs minutes suivant votre configuration) :
sudo su -c /var/lib/rancid/bin/rancid-run -s /bin/bash -l rancid

Installer CVSWeb, pour suivre la mise en configuration de son réseau CISCO

Pour visualiser, de façon simple, les configurations sauvegardées, je propose d'installer cvsweb avec la commande :
sudo aptitude install cvsweb
Ensuite je crée un lien symbolique, vers /var/www/, avec la commande :
ln -s /usr/share/cvsweb /var/www/cvsweb
Modifiez le fichier /etc/cvsweb/cvsweb.conf, en indiquant l'emplacement de votre repository Rancid :
'local'   => ['Local Repository', '/var/lib/rancid/CVS/'],
Accéder au serveur web cvs, allez à l'adresse http:///cgi-bin/cvsweb
Vue du serveur CVSWeb :
Vue de l’arborescence du découpage logique :
Vue des équipements CISCO :

Conclusion sur la sauvegarde automatisé de gros réseaux CISCO

Rancid est particulière bien adapter, à la sauvegarde de mon réseau CISCO, la gestion des configurations permet de revenir en arrière en cas de détection de problèmes, ou de fausses manipulations ! Vous renforcez ainsi la sécurité du système d'informationaméliorez la qualité de servicelimitez les interruptions de services, toujours néfaste pour lebusiness !
Rancid supporte également les équipements suivants :
DeviceDescription
alteonAn Alteon WebOS switches.
baynetA Bay Networks router.
cat5A Cisco catalyst series 5000 and 4000 switches (i.e.: running the catalyst OS, not IOS).
ciscoA Cisco router, PIX, or switch such as the 3500XL or 6000 running IOS (or IOS-like) OS.
cssA Cisco content services switch.
enterasysAn enterasys NAS. This is currently an alias for the riverstone device type.
erxA Juniper E-series edge router.
ExtremeAn Extreme switch.
ezt3An ADC-Kentrox EZ-T3 mux.
force10A Force10 router.
foundryA Foundry router, switch, or router-switch. This includes HP Procurve switches that are OEMs of Foundry products, such as the HP9304M.
hitachiA Hitachi routers.
hpA HP Procurve switch such as the 2524 or 4108 procurve switches. Also see the foundry type.
mrtdA host running the (merit) MRTd daemon.
netscalarA Netscalar load balancer.
netscreenA Netscreen firewall.
redbackA Redback router, NAS, etc.
tntA lucent TNT.
zebraZebra routing software.
riverstoneA Riverstone NAS or Cabletron (starting with version ~9.0.3) router.
juniperA Juniper router.

Aucun commentaire:

Enregistrer un commentaire