Система управления конфигурациями Ansible и Cisco

Семинар - реклама курса: Linux. Уровень 7. Мониторинг оборудования и интеграция с решениями Cisco

Хэштеги: Linux, Cisco, Ansible, Fail2ban, Git

Видеозапись: https://youtu.be/zUi4lTd5WHc

• Бесплатный семинар «Система управления конфигурациями Ansible и оборудование Cisco»

Что может объединить такие, казалось бы различные программные продукты как Ansible и Fail2ban? Да как и обычно в UNIX-way - каждый будет делать что-то свое и делать это хорошо! Добавим сюда еще Git, и получим симпатичную систему резервного копирования конфигураций оборудования Cisco.

• Оборудование уровня 3 Cisco Router
• Модуль 2. Развертывание менеджмент станции
• Настройка ssh клиента для согласования протоколов шифрования

• Коммутаторы switch1, switch2, switch3, …

en

conf t

hostname switchN

interface VLAN1
 ip address 192.168.43.N+2 255.255.255.0
 no shutdown

no ip domain lookup

ip host server 192.168.43.10

ip domain-name corp43.un
crypto key generate rsa general-keys modulus 1024
ip ssh version 2

username root privilege 15 secret cisco

line vty 0 4
login local
transport input ssh

end
wr

Проверки

server.corp43.un:~# ssh switchN

• Cisco IOS функционал Archive

• Система контроля версий rcs

• Программирование диалогов expect

• Пакет ciscoconf

• Пакет rancid

server.corp43.un:~# ssh switch1 "show running-config"

server.corp43.un:~# apt install tftpd && mkdir /srv/tftp/

server.corp43.un:~# ssh switch1 "show running-config" > /srv/tftp/switch1-running-config

switch1#more tftp://server/switch1-running-config

!!! Требуется массовое изменение конфигураций

• Для автоматизации подключения к новым устройствам может потребоваться Настройка ssh клиента для отключения проверки ключа
• Программирование диалогов expect, в том числе, с использованием tftp

server.corp43.un:~# scp switch2:running-config /srv/tftp/switch2-running-config

• Для автоматизации подключения к устройствам может копирование на них открытого ключа ssh сервера или автоматическая Парольная аутентификация клиента ssh

server.corp43.un:~# sshpass -p cisco ssh switch1 "show run"

server.corp43.un:~# rm /srv/tftp/switch2-running-config

server.corp43.un:~# sshpass -p cisco scp switch2:running-config /srv/tftp/switch2-running-config

• Локализация временной зоны
• Сервис Git

• !!! tftp больше ВООБЩЕ не нужен :)
• Например, отключим scp через scp :)

server.corp43.un:~# cd /root/

server.corp43.un:~# cat cisco_change_conf.txt

no ip scp server enable
end

server.corp43.un:~# sshpass -p cisco scp cisco_change_conf.txt switchN:running-config

• Недостатки этого способа … и, отсутствие идемпотентности ??? :)

• Разворачиваем и тестируем Сервис Ansible с использованием модуля ios_command

• Регистрация событий в Linux переданных по сети в отдельный файл
• Массовая настройка с Использование playbook Ansible протокола syslog для передачи журнальных сообщений на сервер и, заодно, возвращаем scp
• Интеграция fail2ban и cisco

# host switch1

# host 192.168.43.3

# cat /root/backup_cisco_conf.sh

#!/bin/sh

CISCONAME=`host ${1} | cut -d' ' -f5 | cut -d'.' -f1`

echo $CISCONAME

/usr/bin/sshpass -p cisco /usr/bin/scp ${CISCONAME}:running-config /srv/tftp/${CISCONAME}-running-config

cd /srv/tftp/

/usr/bin/git add *

/usr/bin/git commit -a -m `date '+%Y-%m-%d_%H:%M:%S'`

# cd /srv/tftp/

# rm switch1-running-config

# /root/backup_cisco_conf.sh 192.168.43.3

• Сервис Git

# cat /etc/fail2ban/action.d/cisco-backup-config.conf

[Definition]

actionban = /root/backup_cisco_conf.sh <ip> >/dev/null 2>&1

1. Базовая конфигурация switch3
2. До настройка через Использование playbook ansible только нужных устройств
3. Проверка наличия резервной копии

1. Найти, как использовать hostname узла вместо его ip в fail2ban actions или, что-то читающее логи вместо f2b
2. Найти решение идемпотентности для модуля ansible ios_config
3. Использовать модули ansible вместо scp