Netmiko и автоматизация управления коммутаторами Cisco

[NAI]

По какой причине вы не стали пользоваться ансибловым get-facts? Он же вроде умеет брать информацию с циски. Ну или по крайней мере, выглядит так как будто парсер можно было допилить, после чего задача решалась бы полностью ансиблом

[CCNPengineer]

хороший вопрос, спасибо

если выполнить ансибл get-facts то в переменной ansible_facts.net_interfaces есть информация об интерфейсах

"GigabitEthernet1/1": { "bandwidth": 1000000, "description": "011", "duplex": "Auto", "ipv4": [], "lineprotocol": "up", "macaddress": "5000.0003.0005", "mediatype": "RJ45", "mtu": 1500, "operstatus": "up", "type": "iGbE" },

но нет access vlan

и нет подключенного mac address, ip address и номера телефона

и вторая программа которая меняет vlan на интерфейсе согласно CSV файла у меня получилась на пайтон легко но не на ансибл.

[net_racoon]

А почему нельзя использовать dot1x? У вас нет IP/влан плана где написано какой влан для чего? Ну и свободные порты должны быть выключены ИМХО.

[CCNPengineer]

в разных организациях разные требования безопасности. иногда конечно нужно выключать свободные порты. если в помещение могут зайти посторонние лица и воткнуть посторонние устройства в коммутатор то конечно нужно выключить все свободные порты. например отделение банка куда заходят клиенты с улицы.

по dot1x можно отдельно долго обсуждать

[CCNPengineer]

для тех организаций которым нужно выключать неиспользуемые порты как раз моя программа может помочь. можно отслеживать и выключать такие порты автоматически. и также DSS своими силами могут включать порты при необходимости

[net_racoon]

Все равно не понимаю зачем эти костыли, если есть dot1x?

[CCNPengineer]

я не совсем понимаю вас. о чем dot1x? аутентификация пользователей в АД ? и на портах коммутатора? есть много разных вариантов внедрения. в том числе можно выдавать какой то vlan какому то пользователю. но не принтеру, не PLC, не видеокамере.

внедрение dot1x на порядки сложнее чем одна пайтон программа.

моя программа совсем для другой цели

[net_racoon]

но не принтеру, не PLC, не видеокамере.

Можно и принтеру и видеокамере...

[CCNPengineer]

это слишком много ручной работы. mac адреса всех устройств нужно вручную записать в систему.

[CCNPengineer]

моя программа тоже может быть модифицирована и на основе mac адреса можно установить вендора и по вендору назначать правильный vlan

моя программа на порядок проще чем dot1x

[maiketa]

Речь идет о Cisco ISE
Этот продукт уже автоматизировал все вышеперечисленное.
802.1x в нем используется для AAA любого устройства (умеющего или не умеющего в AD) как на физических портах, VPN, так и в беспроводных соединениях

[YakovlevAndrey]

Можно и freeradius чтобы не платить за ISE.

[CCNPengineer]

вы имеете реальный опыт работы?

сколько стоит Cisco ISE ? + внедрение ? + поддежка вендора (smartnet) ?

уже автоматизировал все вышеперечисленное. ?? порты вручную нужно сконфигурировать как mab (mac address bypass) и вручную нужно добавить все mac адреса