Обходим грабли. Полезные советы по удаленным работам в филиалах

   На днях вляпался в неприятную ситуацию: работал удаленно на площадке заказчика, находящейся от меня за 1000 км. Ну и в одно прекрасное мгновение потерял доступ к оборудованию. В филиале отсутствуют какие-либо админы или техники, поэтому пришлось учить офисных работников подключаться к Cisco. В итоге через полдня доступ к железке все-таки появился, и я смог доделать то, что планировал. Но этот случай меня многому научил, в результате чего я решил составить небольшую памятку по установке оборудования и проведению работ дистанционно в филиале, где нет спецов, и в случае оплошности велика вероятность отправиться в путешествие к недоступному устройству.

   Не думаю, что что-то особенно новое тут напишу, все и так знают. Однако, пока не столкнутся, не следуют этим простым правилам, которые могут ой как облегчить работу и уменьшить количество седых волос. Итак, погнали.

   Несколько полезных при подключении филиалов.

   1 ОСТАВЛЯЙТЕ КОНСОЛЬНЫЙ КАБЕЛЬ В ФИЛИАЛЕ

"Да конечно, полно у нас этих консольников. Целая коробка. Мы их выбрасываем, зачем они нужны"(с)(Админ в любой крупной и не очень конторе, где стоит куча цисок, например).

   Ситуация: центральный офис в Москве (где же еще), а филиал... ну, допустим, в Анадыре. Ну чтоб страшнее были начальные условия. В Анадыре сидят в офисе 2 человека за 3мя компами. У них есть один сетевой принтер. Никаких сисадминов, никаких техников, никого там больше нет. В качестве шлюза, DHCP-server'а и VPN-peer'а на границе сети с провайдером стоит Cisco (или что угодно другое вообще, не важно!). Один из офисных ПК - это админская рабочая станция, к который Вы делаете удаленный доступ (например, через TeamViewer).

   И вот вы в Москве настраиваете все, проверяете, после чего берете в одну руку свое устройство, в другую билеты на самолет, и летите в Анадырь для монтажа и установки. Прилетели, установили и улетели. Все. Больше вы туда возвращаться не собираетесь.  

   Но вдруг что-то произошло, и вы потеряли удаленный доступ. "Рук" там нет. попытки объяснить 2м ничего не понимающим работникам, что именно нужно сделать, чтобы появился интернет, привели к успеху, и вы таки выяснили, что нужно подключаться консольно, сбрасывать конфиг, делать что-то еще. 

   Найти какого-нибудь грамотного человека, который сможет подключиться консолькой к циске и помочь вам в настройке можно. А теперь найдите в Анадыре консольный кабель.... 

Отсюда совет: Привезите в свой удаленный филиал консольку и положите куда-нибудь, объясним работникам, чтобы они не выбрасывали этот синий\серый\иной провод. Пусть просто лежит, и пусть будет известно, где он лежит. А если есть возможность, подключите консольку к рабочей станции админа, чтобы никому не объяснять, что с ней делать.

 2 НАПИШИТЕ КРАТЕНЬКУЮ ИНСТРУКЦИЮ О ТОМ, КАК ВЫПОЛНИТЬ РЯД СЕРВИСНЫХ МАНИПУЛЯЦИЙ, ЧТОБЫ ДАЖЕ НЕЗНАЮЩИЙ ЧЕЛОВЕК СМОГ ПРОВЕСТИ ДЛЯ ВАС ДИАГНОСТИКУ

   Это займет совсем немного времени. Опять же пусть она просто будет в офисе. Лежит рядом с консолькой. И в случае чего даже секретарша-блондинка сможет попробовать подключиться по телнету\ssh к устройству и дать вам нужную инфу для дальнейшего траблшутинга.

   3 СОБЕРИТЕ МИНИМАЛЬНО НЕОБХОДИМЫЕ ПРОГРАММЫ ДЛЯ СЕРВИСА

   В случае с ситуацией из примера это - putty в папке на диске админской станции. В случае Cisco можно еще установить ASDM, т.к. его меньше боятся, чем командной строки. 

 Теперь то, что касается проведения удаленно работ по настройки оборудования, в результате которых есть вероятность потери связи с железкой.

   Пример будет тем же: Москва-Анадырь, нужно что-то настроить на пограничном устройстве.

   1 СДЕЛАЙТЕ БЭКАП КОНФИГА ПЕРЕД НАЧАЛОМ РАБОТ

   Причем, сделайте его копию в блокноте в месте вашего непосредственного нахождения, и в случае с циско - копию текущего конфига во внутреннюю память. Так будет проще восстановить конфиг в случае потери связи.

   

   2 ВЕДИТЕ CHANGE-LOG

   Не пишите команды сразу в командную строку. Сначала напишите их в блокноте, а уже потом спокойно вливайте в устройство по несколько команд либо по одной. Так Вы, во-первых, проверите то, что написали и будете иметь представление о том, что именно менялось на устройстве, а, во-вторых, сможете отследить, на какой команде произошел сбой, что именно нужно отменить. Это резко сократит время траблшутинга.

  3 ПЕРЕД НАЧАЛОМ РАБОТ ОБЕСПЕЧЬТЕ СЕБЕ ЛАЗЕЙКИ НА ЭКСТРЕННЫЕ СЛУЧАИ

   Имею ввиду, например, такой вариант: допустим, в нашем примере на пограничной АСА настроен доступ только из внутренней сети с рабочей станции. Как и положено, доступ из сети Интернет на внешний интерфейс заблокирован. Так вот перед началом работ разрешите себе временно удаленный доступ, например, по ssh к АСА ко внешнему интерфейсу. И обязательно проверьте, есть ли доступ! В этом случае даже если будет потеряна связь с рабочей станцией, то у вас будет доступ к АСА по внешнему адресу. И если АСА не сдохла полностью, вы сможете все исправить.   

Надеюсь, кому-нибудь это поможет. Всем удачи!