Backup automático de roteadores e switches: configuração, protocolos e versionamento

Quando um roteador ou switch falha em produção, o tempo de recuperação depende de uma única variável: você tem um backup recente e confiável da configuração? Em ambientes sem política formal de backup de configuração, a resposta frequente é não — e a consequência é reconfigurar manualmente equipamentos críticos durante um incidente, sob pressão, com alto risco de erro.

O backup automático de roteadores e switches é uma das práticas mais simples de implementar e mais negligenciadas em ambientes corporativos. A configuração de um dispositivo de rede — VLANs, ACLs, roteamento, políticas de QoS, configurações de SNMP — é o ativo que define o comportamento da infraestrutura. Perder esse arquivo por falha de hardware sem um backup recente significa reconstruir meses de trabalho a partir da memória.

Este artigo cobre os fundamentos do backup de configuração de redes: os tipos de arquivo de configuração, os protocolos de transferência disponíveis, como automatizar o processo e por que o versionamento é tão importante quanto o próprio backup.

Os dois arquivos de configuração que precisam ser preservados

Em dispositivos Cisco IOS — e na maioria dos sistemas de rede corporativos — existem dois arquivos de configuração com papéis distintos que precisam ser compreendidos antes de qualquer estratégia de backup.

A running-config é a configuração ativa que o dispositivo está executando em tempo real na memória RAM. Qualquer mudança aplicada via CLI entra imediatamente em vigor na running-config. Porém, ela é volátil: uma queda de energia ou reinicialização sem salvar apaga todas as alterações que não foram confirmadas.

A startup-config é a configuração armazenada em memória não volátil (NVRAM) que o dispositivo carrega no boot. O comando write memory (ou copy running-config startup-config) sincroniza a running-config para a startup-config. Em ambientes sem disciplina de gestão de mudanças, é comum que esses dois arquivos divirjam — e que o backup capture apenas a startup-config enquanto alterações relevantes existem apenas na running-config.

A estratégia de backup mais segura faz cópias de ambos os arquivos, garantindo que tanto o estado atual quanto o estado de boot estejam preservados.

Protocolos de transferência: TFTP, FTP e SCP

Existem três protocolos principais para transferência dos arquivos de configuração para um servidor externo, cada um com características operacionais distintas.

TFTP: simples, mas sem segurança

O TFTP (Trivial File Transfer Protocol) é o protocolo mais amplamente suportado por dispositivos de rede e o mais simples de configurar. Opera na porta UDP/69, não requer autenticação e tem latência mínima. É adequado para redes internas isoladas com controle de acesso físico, mas tem uma limitação crítica: transmite dados em texto claro, incluindo o conteúdo das configurações, que frequentemente contêm hashes de senhas e strings de comunidade SNMP.

SCP: transferência segura via SSH

O SCP (Secure Copy Protocol) opera sobre SSH, fornecendo autenticação forte, criptografia de dados em trânsito e integridade de mensagem. Para dispositivos que já estão configurados com acesso SSH — o que deve ser o padrão em qualquer ambiente corporativo que abandonou o Telnet — o SCP é a escolha recomendada. Não requer servidor dedicado: a transferência pode ser feita diretamente para qualquer máquina Linux ou Windows com servidor SSH ativo.

O comando para copiar a running-config via SCP a partir do dispositivo Cisco é:

copy running-config scp://usuario@192.168.1.100/backup/hostname-running.cfg

FTP: mais robusto que TFTP, mas ainda inseguro

O FTP adiciona controle de usuários e logs em relação ao TFTP, mas transmite credenciais em texto claro. Em ambientes que exigem compliance, SFTP ou SCP são obrigatórios.

Como automatizar o backup de configuração

O backup manual é propenso a falhas humanas: ele depende de alguém lembrar de executá-lo após cada mudança, e é exatamente em situações de urgência — quando mudanças são aplicadas apressadamente — que o backup é mais necessário e menos provável de ser feito.

Método 1: Archive no Cisco IOS

O recurso archive do Cisco IOS (disponível a partir da versão 12.3(4)T) permite configurar backup automático diretamente no dispositivo. A configuração básica para backup diário via TFTP é:

archive
path tftp://192.168.1.100/backups/$h-$t
time-period 1440
write-memory

O parâmetro $h é substituído pelo hostname do dispositivo e $t pelo timestamp, gerando arquivos com nomenclatura como Router-SW01-Mar-15-23:00:00-BRT-0.cfg. O parâmetro write-memory aciona um backup automático sempre que alguém salva a configuração — capturando mudanças no momento em que são confirmadas.

Método 2: Kron — agendamento nativo no IOS

O Kron é o agendador de tarefas nativo do Cisco IOS. Permite executar qualquer comando CLI em horários programados, incluindo copy running-config tftp. É mais flexível que o archive para agendamentos complexos, mas requer configuração mais detalhada.

Método 3: NCM — gerenciamento centralizado de configuração

Para ambientes com dezenas ou centenas de dispositivos, ferramentas de Network Configuration Management (NCM) automatizam o backup de toda a infraestrutura a partir de uma console centralizada. Soluções como RANCID, Oxidized e plataformas comerciais como SolarWinds NCM ou ManageEngine NCM conectam-se aos dispositivos via SSH, coletam as configurações automaticamente e as armazenam com versionamento completo.

Versionamento e detecção de mudanças não autorizadas

O backup isolado responde ao cenário de falha de hardware. Mas há um cenário igualmente crítico: mudanças não autorizadas ou acidentais que degradam a rede sem falha física. Nesse caso, o backup sem versionamento não ajuda — você não sabe qual versão era a “correta” antes da mudança problemática.

O versionamento de configurações mantém um histórico de todas as versões com timestamp e, idealmente, com o usuário que realizou a mudança. Combinado com diff automático entre versões consecutivas, permite identificar exatamente o que mudou entre o momento em que a rede funcionava e o momento em que começou a apresentar problemas.

Adicionalmente, ferramentas de NCM podem monitorar as configurações em produção e emitir alertas quando uma mudança é detectada — comparando a configuração atual com a última versão salva. Esse mecanismo é uma camada de segurança relevante: detecta mudanças não planejadas que podem indicar erros operacionais ou, em ambientes mais críticos, acesso não autorizado aos dispositivos.

A integração desse monitoramento ao gerenciamento de logs e ao sistema de alertas do NOC fecha o ciclo: a equipe de operações é notificada automaticamente quando uma configuração muda fora de uma janela de manutenção aprovada.

Conclusão

O backup automático de roteadores e switches é uma das práticas de maior retorno por esforço em gestão de redes. A configuração dos dispositivos é o ativo que define o comportamento de toda a infraestrutura — e perder esse arquivo por ausência de backup é um risco operacional evitável com configuração relativamente simples.

Os pontos essenciais são: fazer backup de ambos os arquivos (running-config e startup-config), usar protocolo seguro (SCP) sempre que possível, automatizar o processo para eliminar dependência de execução manual e implementar versionamento com diff automático para detectar mudanças problemáticas.

A OpServices integra o gerenciamento de configuração de dispositivos de rede ao monitoramento de infraestrutura, com alertas automáticos para mudanças de configuração e visibilidade centralizada do ambiente de redes e dispositivos. Para estruturar a gestão de configuração da sua infraestrutura, fale com nossos especialistas.