Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 21:27



Ответить на тему  [ Сообщений: 22 ] 
Cisco, ansible, sshpass - чуда не случилось. Помогите ) 
Автор Сообщение

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Привет!
Пытаюсь настраивать ансибл, но получить информацию не удается, сессия просто висит. Если смотрю на коммуторе - виден логин с с сервера ансибл, но ничего не выводиться. На маке sshpass - та-же картина. Если пытаюсь прицепиться к серверам линукс - все отлично работает. Может кто сталкивался?


06 июл 2018, 18:26
Профиль

Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
Пытались смотреть процесс ansible с помощью truss/strace? Наверняка там в бесконечном read(), очень похоже что ожидает приглашения в каком-то формате.
Код:
netstat -pna|grep switch_ip

Таким путём можно найти номер процесса, у которого нужно смотреть сисколлы.

А чего не хватает - уже нужно решать с помощью ручного запуска скрипта в командной строке, с ключами для дебага у интерпретатора.
Это не так страшно как наверное выглядит, попробуйте.


06 июл 2018, 19:00
Профиль

Зарегистрирован: 25 сен 2014, 21:51
Сообщения: 906
С хоста на котором исполняется playbook можешь подключиться к свичу ?
Что выдает ansible если запустить c -vvv ?


06 июл 2018, 19:04
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
При пропытке подключится с дебагом дает:
Код:
alexniko@zabbix:~/.ansible$ ansible -vvv EDITO-C4500 -m raw -a "show run"
ansible 2.6.1
  config file = /etc/ansible/ansible.cfg
  configured module search path = [u'/home/alexniko/.ansible/plugins/modules', u'/usr/share/ansible/plugins/modules']
  ansible python module location = /usr/lib/python2.7/dist-packages/ansible
  executable location = /usr/bin/ansible
  python version = 2.7.12 (default, Dec  4 2017, 14:50:18) [GCC 5.4.0 20160609]
Using /etc/ansible/ansible.cfg as config file
SSH password:
Parsed /etc/ansible/hosts inventory source with ini plugin
META: ran handlers
<172.16.255.1> ESTABLISH SSH CONNECTION FOR USER: alexniko
<172.16.255.1> SSH: EXEC sshpass -d13 ssh -C -o ControlMaster=auto -o ControlPersist=60s -o StrictHostKeyChecking=no -o User=alexniko -o ConnectTimeout=10 -o ControlPath=/home/alexniko/.ansible/cp/5edf4f8163 -tt 172.16.255.1 'show run'


Подключится могу с теми-же учетными данными. В момент подключения на сасой циске вижу этот логин. А как посмотреть, я не понимаю.


06 июл 2018, 19:40
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Уточню, для теста сделано так, что при логине сразу попадаем в режим enable


вот, что дает нетстат

tcp 0 0 172.18.8.165:48926 172.16.255.1:22 ESTABLISHED 7655/ssh


06 июл 2018, 19:42
Профиль

Зарегистрирован: 25 сен 2014, 21:51
Сообщения: 906
1)Работа ansible с циской принципиально отличается от работы с линуксовыми машинами. Очевидно что ansible не может загрузить ничего на циску и выполнить.
2)Попробуй другой модуль, например ios command. Использовать ансибл для raw команд - ну я хз зачем так делать.


06 июл 2018, 19:55
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Рубен Папян писал(а):
1)Работа ansible с циской принципиально отличается от работы с линуксовыми машинами. Очевидно что ansible не может загрузить ничего на циску и выполнить.
2)Попробуй другой модуль, например ios command. Использовать ансибл для raw команд - ну я хз зачем так делать.


Я новичек в этом и просто следую вот этим примерам, с как испольpовать cisco command не подскажите?
https://natenka.gitbooks.io/ansible-dly ... d-hoc.html


06 июл 2018, 20:38
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Еще вопрос, а просто SSHPASS должен считывать и выдавать инфу с коммутаторов и роутеров?


06 июл 2018, 21:11
Профиль

Зарегистрирован: 13 дек 2012, 12:34
Сообщения: 127
AlexNiko писал(а):
Я новичек в этом и просто следую вот этим примерам, с как испольpовать cisco command не подскажите?
https://natenka.gitbooks.io/ansible-dly ... d-hoc.html
Собственно для этого нужно прочитать следующую главу этого гайда.


06 июл 2018, 21:16
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Я это и делаю сейчас, но у них получилось и без следующей главы почему-то


06 июл 2018, 21:27
Профиль

Зарегистрирован: 25 сен 2014, 21:51
Сообщения: 906
https://docs.ansible.com/ansible/2.5/mo ... odule.html

ну и версию ансибла поставь актуальную, последняя вроде 2.6


06 июл 2018, 23:54
Профиль

Зарегистрирован: 17 окт 2009, 10:27
Сообщения: 33
Рубен Папян писал(а):
https://docs.ansible.com/ansible/2.5/modules/ios_command_module.html

ну и версию ансибла поставь актуальную, последняя вроде 2.6

У топикстартера уже 2.6.1

AlexNiko
Цитата:
ansible -vvv EDITO-C4500 -m raw -a "show run"


добавь еще несколько vv в запуск ансибла.
Я бы не рекомендовал работать с Cisco при помощи raw модуля, есть нюансы . Накидай простенький playbook и развлекайся с ним

ansible -vvvvvv <host from hosts file> -m raw -a "show run" -u <your login on cicsco> --ask-pass
у меня в таком виде все успешно отработало, правда была куча дебага.


07 июл 2018, 04:00
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Вы вообще по ssh к свичу можете подключиться? А то часто бывает что либо ssh не включен, либо не той версии, либо новым версиям ssh не нравятся шифры в старых IOS.


07 июл 2018, 11:08
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Bessmertniy писал(а):
Вы вообще по ssh к свичу можете подключиться? А то часто бывает что либо ssh не включен, либо не той версии, либо новым версиям ssh не нравятся шифры в старых IOS.

Как подключиться, настроить версию, выбрать ключи и так далее я знаю, вы не читали внимательно то, что я писал. Я вижу сессию которая появляется на коммутаторе при запуске ансибл. Вы бы еще пинг попросили проверить ;)


А вот у меня никак не срабатывает ни с vvvvv ни без, на роутере проходит логи и получаю на выходе:

Цитата:
ansible AB-ROUTERS -m raw -a "show run" -u alexniko --ask-pass
SSH password:
192.168.100.2 | SUCCESS | rc=0 >>

Line has invalid autocommand "show run"Shared connection to 192.168.100.2 closed.
Connection to 192.168.100.2 closed by remote host


Возникает вопрос, а каким образом он должен попасть в режим конфигурации, ведь enable secret еще никто не отменяял )
Ладно пойду читать про IOS модули )


07 июл 2018, 12:36
Профиль

Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
Какой такой режим конфигурации? Привилегированный что ли?

username ansible priv 15
line vty 0 15
privilege level 15


07 июл 2018, 14:25
Профиль

Зарегистрирован: 17 окт 2009, 10:27
Сообщения: 33
AlexNiko писал(а):
Bessmertniy писал(а):
Вы вообще по ssh к свичу можете подключиться? А то часто бывает что либо ssh не включен, либо не той версии, либо новым версиям ssh не нравятся шифры в старых IOS.

Как подключиться, настроить версию, выбрать ключи и так далее я знаю, вы не читали внимательно то, что я писал. Я вижу сессию которая появляется на коммутаторе при запуске ансибл. Вы бы еще пинг попросили проверить ;)


А вот у меня никак не срабатывает ни с vvvvv ни без, на роутере проходит логи и получаю на выходе:

Цитата:
ansible AB-ROUTERS -m raw -a "show run" -u alexniko --ask-pass
SSH password:
192.168.100.2 | SUCCESS | rc=0 >>

Line has invalid autocommand "show run"Shared connection to 192.168.100.2 closed.
Connection to 192.168.100.2 closed by remote host


Возникает вопрос, а каким образом он должен попасть в режим конфигурации, ведь enable secret еще никто не отменяял )
Ладно пойду читать про IOS модули )

хех

Цитата:
-b, --become run operations with become (does not imply password
prompting)
--become-method=BECOME_METHOD
privilege escalation method to use (default=sudo),
valid choices: [ sudo | su | pbrun | pfexec | doas |
dzdo | ksu | runas | pmrun | enable ]
--become-user=BECOME_USER
run operations as this user (default=root)
--ask-sudo-pass ask for sudo password (deprecated, use become)
--ask-su-pass ask for su password (deprecated, use become)
-K, --ask-become-pass
ask for privilege escalation password

Some modules do not make sense in Ad-Hoc (include, meta, etc)



задайте дополнительно
--become-method=enable --ask-become-pass

Телепатов тут нет, неизвестно как у вас сконфигурировано AAA и ваше железо.


08 июл 2018, 05:00
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Дело судя по всему в AAA

На коммутаторе сконфигурировано так:
Код:
aaa group server tacacs+ TACACS_SERVERS
aaa authentication login LOGIN_LIST group TACACS_SERVERS local
aaa authorization exec LOGIN_LIST group TACACS_SERVERS local
aaa authorization commands 15 LOGIN_LIST group TACACS_SERVERS local
aaa accounting update newinfo
aaa accounting commands 15 LOGIN_LIST start-stop group TACACS_SERVERS
aaa session-id common


на VTY
Код:
authorization commands 15 LOGIN_LIST
authorization exec LOGIN_LIST
accounting commands 15 LOGIN_LIST
login authentication LOGIN_LIST


Если отключаю такакс - все работает нормально, если авторизация по такаксу - просто висит сессия и потом отваливается. На самом сервере такакс вижу успешную авторизацию. Такакс - ACS 5.8. Авторизация пользователей по AD.


10 июл 2018, 16:26
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Ошибочка вышла, на сервере такакс никакой информации о попытке логина нет. Возникает вопрос почему.


10 июл 2018, 16:50
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Все еще боле странно, чем могло-бы быть. Прекрасно все равботает с такаксом на Cat2950(G) и 2960(G) а вот на 3560, 3750, 3850 , 4500 и 6500 не работает, даже нет никакой информации о логине на сервере такакс, но на самом коммутаторе есть информация об установлении соединения.


10 июл 2018, 17:50
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Спасибо! Разобрался ) Тема закрыта )


12 июл 2018, 17:53
Профиль

Зарегистрирован: 21 май 2017, 20:13
Сообщения: 26
AlexNiko писал(а):
Спасибо! Разобрался ) Тема закрыта )

В чем была проблема?


13 июл 2018, 00:03
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Как и говорили: модуль RAW не со всеми работает. ios_command отрабатывает нормально.


16 июл 2018, 12:41
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 22 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 53


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB