网络设备安全加固脚本自动化部署（01-WLC）

    应公司需求，开始每年一度的设备安全加固项目检查部署，网络主要涉及了部分思科交换机、无线控制器、ASA以及其他厂商的一些防火墙（现网主要应用设备）。

    对于思科的设备，思科自己是有一套现成的自动化管理部署的系统的，就是思科的PI Cisco Prime Infrastructure,可以对思科的设备包括各类的路由器、交换机、无线控制器等，可以实现对这些设备的配置管理、软件管理、告警管理等。

    系统已经集成了对于思科设备的比较详细的各类模板，可以针对一个或多个特性制作模板，下发策略到指定的设备分组。

PI 配置模板

    这次的安全加固也有考虑使用PI， 但是在制作模板的过程中，发现添加多个模板以后，PI在扫描或执行的时候会报一些执行失败的错误，部分设备执行部分设备没有执行，图形化界面做的不是很人性化，然后我就选择了自己写个脚本来部署。

    首先把需要部署的策略转换成相应的命令行（另一个思路是通过设备的API，添加修改相关条目），传统网工首先还是会先考虑命令行的方式。（PI也能实现命令行的模式添加，就是上面图片中的CLI Templates,由于我比较懒，不愿意去点点点，才选择了自己写个简单的脚本）

转换成命令后放在文件里

    把WLC设备IPlist放在一个文件里，我定义的格式是‘IP DeviceName DeviceModle’,每行一个设备，通过脚本读取。

    下面介绍下脚本的实现，实际上是非常简单的，流程就是从文本读取命令，从文本读取设备IP,然后ssh到设备上执行相关命令。其中的唯一问题就是WLC的ssh，平时登录WLC的时候大家都会发现及时XSHELL或CRT存储了相关的ssh用户名密码还是需要你再次手工输入一次。网络运维也是一个比较历史悠久的工作了，你遇到的问题别人应该也都遇到过，直接上网搜一下就可以看到相关解决方案。

需要的模块及全局变量

登录到WLC并执行命令的函数

读取命令及IP然后执行

执行结果部分截图

    接下来还会继续进行SW相关的部署，流程和思路都是一样的，包括这些项目的检查也都可以采用相同的流程，将检查结果打印，或者输出到表格，再高端一点可以根据检查结果来部署需要的特性，而不是无脑加所有功能。