Dlink Empty Script: различия между версиями
Sirmax (обсуждение | вклад) (→333) |
Sirmax (обсуждение | вклад) |
||
(не показано 6 промежуточных версий этого же участника) | |||
Строка 1: | Строка 1: | ||
+ | [[Категория:Linux]] |
||
+ | [[Категория:ShellScripting]] |
||
+ | [[Категория:Switch]] |
||
+ | [[Категория:DlinkSwitch]] |
||
+ | |||
=Настройка большого числа коммутаторов= |
=Настройка большого числа коммутаторов= |
||
В связи с тем, что было принято решение делать еже(дневно|недельно|годично) бекапы коммутаторов, возникла необходимость каким-то образом прописать на них коммюнити. |
В связи с тем, что было принято решение делать еже(дневно|недельно|годично) бекапы коммутаторов, возникла необходимость каким-то образом прописать на них коммюнити. |
||
Строка 92: | Строка 97: | ||
sleep 1 |
sleep 1 |
||
echo "Use local Auth for " $IP |
echo "Use local Auth for " $IP |
||
− | echo $EMPTY -t 2 -w -o $IN_FIFO -i $OUT_FIFO sername: "${USERNAME_LOCAL}\n" |
||
$EMPTY -t 2 -w -o $IN_FIFO -i $OUT_FIFO sername: "${USERNAME_LOCAL}\n" |
$EMPTY -t 2 -w -o $IN_FIFO -i $OUT_FIFO sername: "${USERNAME_LOCAL}\n" |
||
if [ $? = 1 ] |
if [ $? = 1 ] |
||
Строка 110: | Строка 114: | ||
</PRE> |
</PRE> |
||
+ | ===Тонкости (мой частный случай)=== |
||
− | ===444=== |
||
+ | Можно брать список IP напрямую из SQL но я решил этого не делать - это единоразовая операция, или по крайне мере редкая. |
||
+ | Соответвенно, результат я пишу в sql-файлик, для того что бы сохранить коммюнити и использовать их потом для бекапа конфиолв. |
Текущая версия на 15:13, 5 мая 2020
Настройка большого числа коммутаторов
В связи с тем, что было принято решение делать еже(дневно|недельно|годично) бекапы коммутаторов, возникла необходимость каким-то образом прописать на них коммюнити. Обходить руками все коммутаторы не хотелось. Задача усложнялась тем, что часть коммутаторов уже использовали централизованную авторизацию через радиус, а часть - старую схему с авторизацией из локальной базы пользователей.
Выбор средств
Существует 2 хорошо известных программы для решения данной задачи
- expect
- empty (http://sourceforge.net/projects/empty)
Т.к. expect был у меня не собран, и предлогал поставить множество зависимостей, я решил использовать empty. Тем более, что написание скриптов на bash с использованием empty мне показалось значительно проще.
Краткое описание скриптов
Для того что бы пройтись по всем коммутаторам и внести на них изменения, я написал следующий скрипт: (разбито на части для лучшего понимания)
Описание переменных
#!/bin/bash PWGEN=`which pwgen` EMPTY=`which empty` LOG_FILE="/var/log/des_empty.log" SQL_LOG="/var/log/des_sql.log" USERNAME_RADIUS='radiususer' PASSWORD_RADIUS='password_in_radius' USERNAME_LOCAL='local_user' PASSWORD_LOCAL='local_password' PASSWORD_ENABLE='enable_password' IP_LIST='ip_list'
Есть 2 пользователя (из радиуса и локальный) с которыми можно авторизоваться на коммутаторе.В случае локальной авотризации сразу попадаешь в привилигированный режим. В случае авторизации через радиус требуется дополнительно выполнить комманду
enable admin
Полезная работа
Собственно полезную работу вынесу в отдельную ф-ю - то, что нужно сделать с коммутатором после авторизации. Тут может быть что угодно, я оставил для пример добавления случайной RW коммюнити.. 30-секундная пауза что бы коммутатор успел сохранить настройки.
Возможно, следует проверять успешность сохранения, но в моей практике сбоев на этом этапе не было.
function load_data { RW_COMMUNITY=`$PWGEN -1` echo 'create snmp view ALL 1 view_type included' | $EMPTY -v -s -i $OUT_FIFO -o $IN_FIFO echo 'create snmp community '$RW_COMMUNITY' view ALL read_write' | $EMPTY -v -s -i $OUT_FIFO -o $IN_FIFO echo UPDATE switch set rw_community=\"$RW_COMMUNITY\", is_backup=1 where ip=\"$IP\" >> $SQL_LOG $EMPTY -v -s -i $OUT_FIFO -o $IN_FIFO -t 5 'save\n' sleep 30 $EMPTY -v -s -i $OUT_FIFO -o $IN_FIFO -t 5 'logout\n' }
Авторизация на коммутаторе
Наиболее запутанная часть - авторизация на коммутаторе.
Для каждого IP: если коммутатор выдает строку UserName то использовать имя пользователя и логин для авторизации через радиус, в простивно случае передавть 2 раза \n что бы произвести вторую проверку. Если свитч выдает строку username - то использовать локальные имя пользователя и пароль.
for IP in `cat $IP_LIST` do echo $IP IN_FIFO=/tmp/${IP}_in.fifo OUT_FIFO=/tmp/${IP}_out_fifo if ping -c 1 $IP -W1 2>&1 >/dev/null then # Создать соединение с коммутатором $EMPTY -f -i $IN_FIFO -o $OUT_FIFO -L /var/log/empty_log telnet $IP # Нужно различать свитчи которые авторизуют через радиус ( у них пригдашение UserName: , PassWord: и свитчи которые авторизуют локально - у них приглашение username: password: # $EMPTY -t 2 -w -o $IN_FIFO -i $OUT_FIFO serName: "${USERNAME_RADIUS}\n" # Проверить код возврата, если успешно ( найдено ОДНО совпадение! )- передать пароль. if [ $? = 1 ] then sleep 1 echo "Use Radius Auth for "$IP $EMPTY -t 2 -w -o $IN_FIFO -i $OUT_FIFO assWord: "${PASSWORD_RADIUS}\n" $EMPTY -t 2 -s -o $IN_FIFO -i $OUT_FIFO "\n" $EMPTY -t 2 -s -o $IN_FIFO -i $OUT_FIFO "enable admin\n" $EMPTY -t 2 -w -o $IN_FIFO -i $OUT_FIFO assWord: "${PASSWORD_ENABLE}\n" sleep 1 load_data; else $EMPTY -t 2 -s -o $IN_FIFO -i $OUT_FIFO "\n" sleep 1 $EMPTY -t 2 -s -o $IN_FIFO -i $OUT_FIFO "\n" sleep 1 echo "Use local Auth for " $IP $EMPTY -t 2 -w -o $IN_FIFO -i $OUT_FIFO sername: "${USERNAME_LOCAL}\n" if [ $? = 1 ] then $EMPTY -t 2 -w -o $IN_FIFO -i $OUT_FIFO assword: "${PASSWORD_LOCAL}\n" sleep 1 load_data; else echo "Unknown error or device." $IP" This error will be writen to log" >> $LOG_FILE echo "Unknown error or device." $IP" This error will be writen to log $LOG_FILE" fi fi else echo "Device is unreacheble (?)" fi done
Тонкости (мой частный случай)
Можно брать список IP напрямую из SQL но я решил этого не делать - это единоразовая операция, или по крайне мере редкая. Соответвенно, результат я пишу в sql-файлик, для того что бы сохранить коммюнити и использовать их потом для бекапа конфиолв.