版权声明:我已加入“维权骑士”(http://rightknights.com)的版权保护计划,所有知乎专栏“网路行者”下的文章均为我本人(知乎ID:弈心)原创,未经允许不得转载。
如果你喜欢我的文章,请关注我的知乎专栏“网路行者”https://zhuanlan.zhihu.com/c_126268929, 里面有更多像本文一样深度讲解计算机网络技术的优质文章。
很多读过我《网络工程师的Python之路》系列专栏文章的朋友都问过我一个问题:在有跳板机(或者堡垒机)的生产环境中,如何在不手动登录跳板机的前提下,仅通过在本地主机上运行Python脚本就能达到远程通过跳板机来管理路由器、交换机等网络设备,从而实现网络运维自动化的目的?
老实说,笔者所在的工作环境中没有用到跳板机和堡垒机,因为TACACS+AAA就已经足够用来做操作风险管理和运维安全审计了,因此在之前的《网工的Python之路》系列文章里笔者并没有考虑过在有跳板机的网络环境下运行Python脚本的问题。
考虑到各位读者工作环境的差异,加上询问我的读者朋友越来越多,带着这个疑问笔者做了一番研究,找到了“绕开”跳板机对网络设备运行Python脚本的办法,该办法有两种。
通过jumpssh这个第三方模块来‘绕开’跳板机,直接获取在交换机、路由器上输入命令后的回显内容(比如在主机上通过jumpssh输入一个show version命令,能够立刻得到该命令在被执行的设备上的回显内容),这个方法的好处是即使跳板机上没有安装Python也能使用,并且在脚本里我们连Paramiko/Netmiko这些模块都省了,脚本代码非常简单。缺点是该方法仅支持得到CLI输入后的回显内容,功能有限。
鉴于绝大部分网工使用的主机的操作系统是Windows,因此第二种方法是通过在Windows上安装OpenSSH来远程SSH登录跳板机(该方法要求跳板机上安装了Python),然后在跳板机上执行Windows主机本地上的Python脚本。是的,你没看错。你的Python脚本是放在本地主机上的,在不把脚本拷贝到跳板机的前提下,“遥控指挥“跳板机来执行本地的Python脚本,虽然有SSH登录跳板机这个步骤,但是整个操作过程全程是在本地主机上完成的,并且脚本代码也是放在本地主机上的,跳板机上没有任何脚本代码,全程你碰都不会碰到跳板机,怎么做到的?不急,往下看你就知道了。
本地主机
IP地址: 192.168.30.1
操作系统:Windows 8.1
Python版本:3.8.2
跳板机
IP地址: 192.168.30.129 (连接主机端) 、192.168.2.1 (连接交换机端)
操作系统:CentOS
Python版本: 3.8.2 (使用Jumpssh的话跳板机上不需要用到Python)
交换机
IP地址: 192.168.2.11
A. 在本地主机上安装jumpssh,为实验1做准备
这步很简单,既然jumpssh是第三方模块,那我们就用pip install jumpssh来安装。
安装完毕后进入Python,如果import jumpssh没有报错的话则说明安装成功。
B. 在本地主机上安装OpenSSH,为实验2做准备
众所周知,在Win 10之前,Windows是不自带SSH的,也就是说你打开Windows的CMD,输入ssh这个命令后,你会得到'ssh' is not recognized as an internal or external command. 这个错误提示。
到了Win 10后,OpenSSH成为了Win 10里内置的feature,因此在Win 10里使用OpenSSH非常简单,但是鉴于还有不少读者朋友和我一样使用的是Win7和Win8,因此这里主要讲下在Win8下安装OpenSSH的方法(Win7也适用)。
https://www.mls-software.com/files/setupssh-6.9p1-1.exewww.mls-software.com/files/setupssh-6.9p1-1.exe
连接成功,一切准备就绪,接下来正式进入实验部分。
实验目的:在本地主机上通过jumpssh来‘绕开’跳板机,向交换机192.168.2.11执行命令show version,并查看回显内容。
实验1代码如下:
from jumpssh import SSHSession
server_session = SSHSession('192.168.30.129', 'root', password = 'test123').open()
switch_session = server_session.get_remote_session('192.168.2.11', 'python', password = 'test123')
print (switch_session.get_cmd_output('show version'))
server_session.close()实验1代码讲解:
执行实验1代码看结果:
执行实验1代码前,首先看下在交换机本地上输入show version后得到的回显内容:
接下来执行实验1代码
怎么样?是不是成功地‘绕开’了跳板机?
实验目的:在本地主机上通过OpenSSH来连接跳板机,让跳板机执行本地主机上的Python脚本test.py,该脚本让跳板机登录交换机192.168.2.11,并为它的loop 1端口配置IP地址11.3.3.3.
注:虽然这里一直在讲跳板机,但是实验2所有操作全部在本地主机上完成!前提是要确保跳板机上已经提前安装了Python,以及脚本里要用到的第三方模块。
为了让实验2更有说服力,在实验前先确定交换机192.168.2.11上没有loop 1这个端口,并且确保本地主机是无法联通交换机192.168.2.11的(只有跳板机能ping通交换机192.168.2.11)。
实验2代码如下:
import paramiko
import time
ip = "192.168.2.11"
username = "python"
password = "123"
ssh_client = paramiko.SSHClient()
ssh_client.set_missing_host_key_policy(paramiko.AutoAddPolicy())
ssh_client.connect(hostname=ip,username=username,password=password,look_for_keys=False)
print ("Successfully connected to ", ip)
command = ssh_client.invoke_shell()
command.send("configure terminal
")
command.send("int loop 1
")
command.send("ip address 11.3.3.3 255.255.255.255
")
command.send("end
")
command.send("wr mem
")
time.sleep(1)
output = command.recv(65535)
print (output)
ssh_client.close()
实验2代码没有什么好讲的,这就是《网工的Python之路--初级篇》里的实验1的代码,唯一值得注意的是代码里导入了paramiko这个第三方模块,我们需要确保跳板机上已经安装了该模块。
下面才是实验2的重点!
首先将该ping.py脚本放到C:\下,然后以管理员身份打开CMD。
然后在cmd下输入下面命令
这里是实验2的精华所在,这里我们先用more test.py读取了该脚本里的代码内容,然后配合pipeline(”|“)这个符号,将代码内容传递给跳板机,你问怎么传递的?后面我们不是ssh root@192.168.30.129登录进了跳板机了吗?将代码内容传递给跳板机后,接着在跳板机上运行python,这样我们即达到了“遥控指挥”跳板机帮我们执行主机本地代码的目的。
按回车确定后,系统会提示你输入SSH密码,输入完成后,随即操作成功(还记得本地主机192.168.30.129是无法连通交换机192.168.2.11的吗?这里为什么看到了Successfully connected to 192.168.11呢?我相信你心中已经有了答案)。
最后登录交换机做验证:
编辑于 2019-05-25 18:54
| 留言与评论(共有 0 条评论) “” |
