Network Backup Strategy: สำรอง Config อุปกรณ์ Network อย่างมืออาชีพ
Network Backup คือการสำรอง configuration ของอุปกรณ์ network (switches, routers, firewalls, APs) เพื่อให้สามารถกู้คืนได้เร็วเมื่อเกิดปัญหา เช่น อุปกรณ์เสีย config ผิดพลาด หรือถูก hack ถ้าไม่มี backup เมื่ออุปกรณ์เสียต้อง configure ใหม่ตั้งแต่ต้น อาจใช้เวลาหลายชั่วโมงหรือหลายวัน
องค์กรหลายแห่ง ละเลยการ backup config จนกว่าจะเกิดปัญหา แล้วพบว่าไม่มี backup หรือ backup เก่ามาก บทความนี้จะอธิบายกลยุทธ์การ backup config ที่ถูกต้อง เครื่องมือที่ใช้ และ automation
ทำไมต้อง Backup Config
| สถานการณ์ | ไม่มี Backup | มี Backup |
|---|---|---|
| Switch เสีย เปลี่ยนตัวใหม่ | Configure ใหม่ทั้งหมด (VLANs, ports, ACLs) 4-8 ชม. | Restore config 15-30 นาที |
| Config change ผิดพลาด | พยายามจำว่าเปลี่ยนอะไร rollback ด้วยมือ | Restore config ก่อนหน้า 5 นาที |
| Ransomware/Hack | ไม่รู้ว่า config เดิมเป็นอย่างไร | Restore config ที่สะอาด |
| Compliance Audit | ไม่มีหลักฐานว่า config เป็นอย่างไร | แสดง config history + change log |
สิ่งที่ต้อง Backup
| อุปกรณ์ | สิ่งที่ต้อง Backup |
|---|---|
| Cisco IOS Switch/Router | running-config, startup-config, VLAN database (vlan.dat) |
| Cisco NX-OS | running-config, startup-config |
| pfSense/OPNsense | XML config file (Diagnostics → Backup) |
| Fortinet FortiGate | Full config backup (System → Backup) |
| Ubiquiti UniFi | Controller backup (Settings → Backup) |
| WiFi Controller | Controller config + AP profiles |
| DNS Server | Zone files + config |
| DHCP Server | Scopes, reservations, options |
Backup Strategy: 3-2-1 Rule
3 Copies, 2 Media, 1 Offsite
3 copies: running config บนอุปกรณ์ + backup บน server + backup บน offsite/cloud 2 media: เก็บบน server (disk) + เก็บบน external storage หรือ cloud 1 offsite: เก็บ backup อย่างน้อย 1 ชุดนอกสถานที่ (กรณีไฟไหม้ น้ำท่วม) ใช้ Git repository เป็น offsite backup (push ไป GitHub/GitLab private repo)
เครื่องมือ Backup
| เครื่องมือ | ราคา | จุดเด่น | เหมาะกับ |
|---|---|---|---|
| Oxidized | ฟรี (open-source) | Auto backup via SSH, Git integration, multi-vendor | ทุกขนาด แนะนำมากที่สุด |
| RANCID | ฟรี (open-source) | เก่าแก่ stable CVS/SVN integration | องค์กรที่ใช้มานาน |
| Ansible (backup playbook) | ฟรี | Flexible ทำได้มากกว่า backup | องค์กรที่ใช้ Ansible อยู่แล้ว |
| SolarWinds NCM | แพง | Enterprise features, compliance, diff | Large enterprise |
| ManageEngine NCM | ปานกลาง | GUI ดี scheduled backup | Medium enterprise |
Oxidized
แนะนำสำหรับ Network Config Backup
Oxidized เป็น open-source network config backup tool ที่ดีที่สุด: SSH เข้าอุปกรณ์อัตโนมัติ ดึง config เก็บใน Git repository (version control + diff) รองรับ Cisco, Juniper, Aruba, Fortinet, Palo Alto, MikroTik และอีกมาก schedule backup ทุก 1-24 ชั่วโมง web UI ดู config + diff + history แจ้งเตือนเมื่อ config เปลี่ยน (detect unauthorized changes)
Backup Schedule
| Frequency | เหมาะกับ | เหตุผล |
|---|---|---|
| ทุก 1 ชั่วโมง | Core/Distribution switches, Firewalls | Critical devices ต้อง backup บ่อย |
| ทุก 4-6 ชั่วโมง | Access switches, APs | เปลี่ยนไม่บ่อย backup ทุก 4 ชม. เพียงพอ |
| ทุกวัน | อุปกรณ์ที่เปลี่ยนน้อย | DNS, DHCP servers |
| ก่อน-หลัง change | ทุกอุปกรณ์ | Manual backup ก่อนและหลังทำ change |
Config Diff
ตรวจจับ Changes
Config Diff เปรียบเทียบ config ปัจจุบันกับ backup ก่อนหน้า เห็นว่ามีอะไรเปลี่ยน เมื่อไหร่ ใช้ Git diff หรือ Oxidized web UI ถ้ามี config change ที่ไม่ได้ authorize = potential security incident set alert เมื่อ config เปลี่ยน (Oxidized + webhook → Slack/email)
Restore Procedures
ทดสอบ Restore เป็นประจำ
Backup ที่ restore ไม่ได้ = ไม่มี backup ทดสอบ restore อย่างน้อยปีละ 1-2 ครั้ง: เอาอุปกรณ์ spare มา restore config จาก backup ตรวจสอบว่า config ครบถ้วน (VLANs, ACLs, routing) เวลาที่ใช้ restore = RTO (Recovery Time Objective) document restore procedure สำหรับแต่ละประเภทอุปกรณ์
Retention Policy
| ประเภท | Retention | เหตุผล |
|---|---|---|
| Last known good config | เก็บตลอด | Baseline สำหรับ restore |
| Daily backups | 30 วัน | Rollback recent changes |
| Weekly backups | 6 เดือน | Longer rollback window |
| Monthly backups | 1-2 ปี | Compliance, audit |
ทิ้งท้าย: Backup วันนี้ ไม่ต้องเสียใจพรุ่งนี้
Network Config Backup เป็นสิ่งที่ต้องทำตั้งแต่วันแรกที่ deploy อุปกรณ์ ใช้ Oxidized (ฟรี) หรือ Ansible backup playbook ตั้ง schedule อัตโนมัติ เก็บใน Git ทดสอบ restore เป็นประจำ
อ่านเพิ่มเติมเกี่ยวกับ Ansible Network Automation และ Network Documentation ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
