Python: Script para implementar TACACS+ en Cisco IOS

 1. Crear archivo de textos donde introduciremos las IPs de los dispositivos Cisco que nos conectaremos via SSH -> nano /home/angel/scripts/networkdevices.txt

 192.168.1.10

 192.168.1.11

 

2. Crear un script invocando a los modulos de paramiko, time y get pass. Como consejo el script lo guardaremos en la misma carpeta que el archivo de las IPs (networkdevices.txt) -> 

import paramiko
import time
import getpass

username = "usuario"
password = "contraseña"        

f = open ("/home/angel/scripts/networkdevices.txt")

for line in f:
    ip_address = line.strip()
    ssh_client = paramiko.SSHClient()   
    ssh_client.set_missing_host_key_policy(paramiko.AutoAddPolicy())   
    ssh_client.connect(hostname=ip_address,username=username,password=password)
    print ("Successful connection", ip_address)

    remote_connection = ssh_client.invoke_shell()
    remote_connection.send("configure terminal\n")
    remote_connection.send("aaa new-model\n")
    remote_connection.send("\n")
    remote_connection.send("tacacs server tacacs1\n")
    remote_connection.send("address ipv4 192.168.100.10\n")
    remote_connection.send("key <presharedkey>\n")
    remote_connection.send("exit\n")
    remote_connection.send("tacacs server tacacs2\n")
    remote_connection.send("address ipv4 192.168.110.10\n")
    remote_connection.send("key <presharedkey>\n")       
    remote_connection.send("aaa group server tacacs+ tacacs-grupo\n")
    remote_connection.send("server name tacacs1\n")
    remote_connection.send("server name tacacs2\n")   
    remote_connection.send("exit\n")
    remote_connection.send("aaa authentication login default group tacacs-grupo local\n")
    remote_connection.send("aaa authentication enable default group tacacs-grupo enable\n")
    remote_connection.send("aaa authorization exec default group tacacs-grupo local if-authenticated\n")           
    remote_connection.send("aaa authorization commands 1 default group tacacs-grupo local if-authenticated\n")
    remote_connection.send("aaa authorization commands 15 default group tacacs-grupos local if-authenticated\n")
    remote_connection.send("aaa authorization config-commands\n")   
    remote_connection.send("aaa authorization console\n")
    remote_connection.send("aaa accounting system default start-stop group tacacs-grupo\n")
    remote_connection.send("end\n")
    remote_connection.send("copy run start\n")
    remote_connection.send("\n")           
    time.sleep(10)
    output = remote_connection.recv(65535)
    print (output)

    ssh_client.close




Comentarios

Publicar un comentario

Entradas populares de este blog

EVE-NG: Instalación de EVE-NG

Imagen
EVE-NG es un emulador de redes muy útil para crear topologias de redes de forma virtualizada. Os voy a explicar el proceso de instalación del software en base a mi experiencia Requisitos para hacer uso de EVE-NG: - Instalar VMware Workstation Player (Versión de uso personal) - Tener un buen ordenador (El mío tiene 8 GB de Ram, Intel i7 dual-core, Disco duro SSD, etc)  con suficiente espacio de almacenamiento.Yo tengo un Windows 10 professional - Tener conocimientos de Linux básicos (Crear carpetas, mover archivos, cambiar IP del sistema ,etc) - Instalar Filezilla en el PC para hacer transferencias de archivos locales hacia EVE-NG Paso 1  Descargar el OVF de EVE-NG desde la pagina oficial. Tener en cuenta que hay dos versiones: la profesional y la personal. Yo he utilizado la versión personal para ello. Paso 2 Abrir VMware workstation e abrir el archio OVF para instalar EVE-NG. Importante!!  El adaptador de red (Network adapter) esta en modo bridge. Por lo que he podido l...
Leer más

Cisco Security | Bloquear MAC address en un switch

Nos gustaría bloquear el acceso a la siguiente dirección MAC en un switch -> aaaa.1234.bbbb    Para ello hemos de configurar MAC Filtering por VLAN y lo hariamos de la siguiente manera: SW1# conf t SW1(config)# mac-address-table static aaaa.1234.bbbb vlan 10 drop SW1(config)# mac-address-table static aaaa.1234.bbbb vlan 20 drop SW1(config)# end SW 1# show mac address-table static address aaaa.1234.bbbb Unicast Entries vlan mac address type protocols port -------+---------------+--------+---------------------+-------------------- 10         aaaa.1234.bbbb static ip,ipx,assigned,other Drop 20         aaaa.1234.bbbb static ip,ipx,assigned,other Drop
Leer más

Nornir | Introducción, instalación y primer script básico

Como habéis podido observar, soy muy fan de Ansible ya que es una herramienta de network automation muy fácil de aprender y no requiere saber mucho de programación en Python para poder usarlo. Sin embargo, me he dado cuenta que Ansible tiene sus limitaciones ya que cuando ejecutamos un playbook como por ejemplo cuando queremos ejecutar show ip int brief en multiples routers y switches Cisco es un proceso un tanto lento ya que realiza cada conexión SSH secuencialmente y no a la vez con lo que imaginaros que si tenemos que gestionar cientos o miles de dispositivos de red la cantidad de segundos y minutos que tendriamos que esperar para obtener el output de nuestro playbook. Para ello, existe un nueva herramienta de automatización de redes llamada Nornir que se supone que es una especie de evolución de Ansible (hay que gente que le llama Ansible 2.0) pero que está creado puramente en Python y soluciona alguno de los problemas or limitaciones de Ansible. Algunas de estas mejoras son l...
Leer más