8.3. Backup della configurazione di un router Cisco

Sul mio posto di lavoro, abbiamo una WAN che mette in comunicazione diversi postazione remote. Queste hanno router Cisco connessi via ISDN o, in alcuni casi, Centrex data circuits, che forniscono connettività Internet e WAN. I router Cisco permettono di usare TFTP ("Trivial File Transfer Protocol") su un server di rete per leggere e scrivere file di configurazione. Ogni volta che la configurazione di un router viene cambiata, è importante salvare il file di configurazioni sul server Linux in modo da conservarne un copia di backup.

Sappiate che Red Hat disabilità di default il servizio TFTP, perché se non viene configurato correttamente, può compromettere la sicurezza del sistema. Il demone TFTP permette a chiunque di leggere e scrivere file senza effettuare alcuna autenticazione. Personalmente, il metodo che uso per mettere le cose a posto, è quello di creare una directory "/tftpboot/", di proprietà di root, e poi modificare, nel file "/etc/inetd.conf", la riga di configurazione esistente per specificare la posizione del file:

tftpd   dgram   udp    wait   root   /usr/sbin/tcpd  in.tftpd  /tftpboot

Nota

Aggiungere il percorso "/tftpboot" alla fine della riga sopra indica dove il demone TFTP può avere accesso ai file. Sebbene potete eliminare quest'ultima parte e permettere a TFTP di avere accesso a qualunque file del vostro sistema, questo potrebbe comprometterne la sicurezza e quindi, probabilmente, conviene non farlo.

Una volta che avete attivato il servizio TFTP, non dimenticate di digitare:

killall -HUP inetd

Il comando sopra riavvia il demone INETD in modo da rendere effettivi i cambiamenti che avete fatto al file inetd.conf.

Fare il backup di un file di configurazione di un router richiede 3 passaggi: impostare per un file esistente (o crearne uno nuovo) il permesso di scrittura, scrivere il file di backup, e poi ricambiare i permessi per limitare l'accesso al file. Ecco un esempio di una sessione di backup di un router:

mail:~# cd /tftpboot
mail:/tftpboot# chmod a+w xyzrouter-confg
chmod: xyzrouter-confg: No such file or directory
mail:/tftpboot# touch xyzrouter-confg
mail:/tftpboot# chmod a+w loyola-confg
mail:/tftpboot# telnet xyzrouter

Escape character is '^]'.
User Access Verification
Password: ****
xyzrouter> enable
Password: ****
xyzrouter# write network
Remote host []? 123.12.41.41
Name of configuration file to write [xyzrouter-confg]?  
Write file xyzrouter-confg on host 123.12.41.41? [confirm]  
Building configuration...
Writing xyzrouter-confg !! [OK] 
xyzrouter# exit
Connection closed by foreign host.

mail:/tftpboot# chmod a-wr,u+r xyzrouter-confg
mail:/tftpboot# exit

In caso di malfunzionamento del router (a causa, per esempio, di un aumento improvviso di corrente elettrica durante un temporale), questi file di backup possono aiutare a ricaricare la configurazione del router. Ancora una volta, recuperare un file di configurazioni comporta 3 passaggi: impostare i permessi sul file esistente, caricare il file, e poi rimettere a posto i permessi per limitare l'accesso al file. Ecco un esempio:

mail:~# cd /tftpboot
mail:/tftpboot# chmod a+r xyzrouter-confg
mail:/tftpboot# telnet xyzrouter

Escape character is '^]'.
User Access Verification
Password: ****
xyzrouter> enable
Password: ****
xyzrouter# config network
Host or network configuration file [host]?  
Address of remote host [255.255.255.255]? 123.12.41.41
Name of configuration file [xyzrouter-confg]?  
Configure using loyola-confg from 123.12.41.41? [confirm]  
Loading xyzrouter-confg from 123.12.41.41 (via BRI0): !
[OK - 1265/32723 bytes]
xyzrouter# write
xyzrouter# exit
Connection closed by foreign host.

mail:/tftpboot# chmod a-wr,u+r xyzrouter-confg
mail:/tftpboot# exit