配置一删,全网瘫痪
上周五下午三点,某公司IT主管老李接到电话:整个分公司断网了。排查一圈才发现,核心交换机的配置被误删,而最近一次有效的备份还是三个月前。更尴尬的是,没人能说清到底是谁负责定期备份——运维说以为网络组在管,网络组说脚本是运维写的,最后发现所谓的“自动备份”早就因为权限问题停了两个月。
责任不能挂在墙上
很多企业都有《网络配置备份制度》,白纸黑字写着“每日备份、异地存储、保留30天”。但文件锁在抽屉里,执行却靠人自觉。一旦出事,翻制度只看到“相关部门负责”,具体到人?没有。这种模糊责任等于没有责任。
谁动设备,谁就得备份
最直接的办法:谁当天对设备做了变更,谁就必须在变更后立即触发备份。比如工程师小王上午改了防火墙策略,操作完成后第一件事不是写报告,而是确认本次配置已推送到备份服务器。这可以纳入变更流程的强制步骤,系统不记录备份完成,变更工单就不允许关闭。
用技术锁定责任路径
别指望人永远靠谱。可以在备份脚本中加入操作者标识,例如:
#!/bin/bash
# backup_config.sh
DEVICE=$1
OPERATOR=$(whoami)
TIMESTAMP=$(date +%Y%m%d-%H%M%S)
# 拉取配置并命名包含操作者
tftp GET $DEVICE running-config-$DEVICE-$TIMESTAMP-by-$OPERATOR
# 记录日志
echo "[$TIMESTAMP] Config from $DEVICE backed up by $OPERATOR" >> /var/log/backup.log这样每次备份都自带“指纹”,查起来一目了然。出了问题不用扯皮,直接看日志里的by后面是谁。
定期抽查比每月汇报有用
有些团队每月交一份“备份完成报表”,勾了十几个“已完成”,其实只是打钩。不如改为随机抽查:安全员每周不定期挑两台设备,还原最近一次备份,验证是否可用。一旦发现备份缺失或无效,直接追溯责任人,并计入绩效考核。
交接时,备份记录就是凭证
老员工离职,新同事接手。这时候最怕听到“以前都是手动备份的,具体在哪我不清楚”。规范的做法是,所有备份历史必须集中可查。交接清单第一条就应该是:“当前所有网络设备的备份源、周期、存储位置及最近三次成功记录已确认。” 没这条,谁也不敢接。
网络配置不是实验草稿,删了还能Ctrl+Z。一次丢失可能让业务停摆半天。把“谁执行、谁负责”钉进流程里,比写十页制度都管用。