网络设备安全加固脚本自动化部署(01-WLC)

    应公司需求,开始每年一度的设备安全加固项目检查部署,网络主要涉及了部分思科交换机、无线控制器、ASA以及其他厂商的一些防火墙(现网主要应用设备)。

    对于思科的设备,思科自己是有一套现成的自动化管理部署的系统的,就是思科的PI Cisco Prime Infrastructure,可以对思科的设备包括各类的路由器、交换机、无线控制器等,可以实现对这些设备的配置管理、软件管理、告警管理等。

    系统已经集成了对于思科设备的比较详细的各类模板,可以针对一个或多个特性制作模板,下发策略到指定的设备分组。

PI 配置模板

    这次的安全加固也有考虑使用PI, 但是在制作模板的过程中,发现添加多个模板以后,PI在扫描或执行的时候会报一些执行失败的错误,部分设备执行部分设备没有执行,图形化界面做的不是很人性化,然后我就选择了自己写个脚本来部署。

    首先把需要部署的策略转换成相应的命令行(另一个思路是通过设备的API,添加修改相关条目),传统网工首先还是会先考虑命令行的方式。(PI也能实现命令行的模式添加,就是上面图片中的CLI Templates,由于我比较懒,不愿意去点点点,才选择了自己写个简单的脚本)

转换成命令后放在文件里

    把WLC设备IPlist放在一个文件里,我定义的格式是‘IP DeviceName DeviceModle’,每行一个设备,通过脚本读取。

    下面介绍下脚本的实现,实际上是非常简单的,流程就是从文本读取命令,从文本读取设备IP,然后ssh到设备上执行相关命令。其中的唯一问题就是WLC的ssh,平时登录WLC的时候大家都会发现及时XSHELL或CRT存储了相关的ssh用户名密码还是需要你再次手工输入一次。网络运维也是一个比较历史悠久的工作了,你遇到的问题别人应该也都遇到过,直接上网搜一下就可以看到相关解决方案。


需要的模块及全局变量


登录到WLC并执行命令的函数


读取命令及IP然后执行


执行结果部分截图

    接下来还会继续进行SW相关的部署,流程和思路都是一样的,包括这些项目的检查也都可以采用相同的流程,将检查结果打印,或者输出到表格,再高端一点可以根据检查结果来部署需要的特性,而不是无脑加所有功能。

你可能感兴趣的:(网络设备安全加固脚本自动化部署(01-WLC))