Лига Сисадминов

Первое - логин на Huawei по ssh ключу. И сразу это ввергло меня в поиск. То есть, в документации такая фича есть, но ключ он принимает только в HEX виде и никакие популярные команды преобразования, которые на раз гуглятся, не привели ключ в тот вид, чтобы его сожрал Huawei.

Сначала генерируем ключ на сервере (у меня хуавей принял только 1024 бита, но поскольку ssh открыт только с белого списка адресов, я сочла это приемлемым. вы же можете поэкспериментировать с битностью). На вопрос о парольной фразе просто нажмите enter.

ssh-keygen -f ~/.ssh/id_rsa -t rsa -b 1024

А теперь делаем магию. Я нашла нужную команду в самом конце комментов под заплюсованным ответом на stackoverflow. Команда из заплючованного ответа не работала и кто-то скромно написал, что не работает, но вот для моего хуавея делаю вот так и работает, тысяча плюсов в карму этому господину.

ssh-keygen -e -m pem -f ~/.ssh/id_rsa.pub | sed '1d;$d' | tr -d '\n' | base64 -d | xxd -c 24 -g 4 -u | sed -e "s/^.*: //" -e "s/.\{25\}$//g"

на выводе вы получите примерно вот такую простыню, нужно будет сохранить (не переживайте за меня, это тестовый ключ)

Дальше заводим ключ на Huawei. Ключ надо будет копировать в команды прямо так, как он вам вывелся на предыдущем этапе. На Huawei AR6120 команды следующие (если у вас белый список на логин по ssh не забудьте также разрешить ip вашего сервера логиниться):

Внимание, вот ссылка на весь код и команды текстом, я не изверг, просто пикабу не позволяет нормально вставлять код. В конце продублирую ссылку.

На коммутатор Huawei S5735 команда чуть-чуть отличается, есть по ссылке в конце.

Для обращения к устройствам из скрипта я завела БД на sqlite, но вы можете брать информацию из текстовых файлов или ещё откуда. Поле пароля в базе будет пустым, оно оставлено для устройств, которые не поддерживают логин по ключу (вдруг такие будут)

Структура базы:

Вставка происходит примерно так:

`insert into netdev (hostname,ip,login,pass,tag,model) values ( 'ufa-ar6120-2', '10.2.100.2','backuper','','huawei','AR6120');`

Теперь про скрипт. И на цисках, и на микротиках, и на D-Link прекрасно работала следующая схема:

На хуавее же логин при такой схеме происходит, в логах это видно, но никакие команды, переданные таким способом, не выполняются. Никакие манипуляции c -i -T -t не работают. Я закопалась в процессе в логи ssh, в переменные окружения и прочее. Примерно понятно, что открытый терминал не считается терминалом и это даже нормально, но никакие опции, которые туда должны впихать команды, не работают. Моего скилла победить эту конструкцию не хватило. Пришлось использовать expect.
Кстати, если кто может нормально описать почему оно не работает и как это побеждать - будет здорово. А то я как собачка - вроде частично понимаю, а нормально написать не могу.

Всего использоваться будут 5 скриптов (напомню, код текстом по ссылке в конце).

Первый скрипт разбирает базу и запускает бэкап для каждого устройства в параллель.

Сначала у меня был один скрипт expect на все устройства (команды то одинаковые), но на коммутаторах он в 20% случаев не успевал с первой командой, так как на них очень-очень долгая загрузка после логина. А на роутерах наоборот, он завершался, не успев получить вывод от tftp и завершал сессию. Пришлось расставить костыли в виде sleep и разделить на два скрипта.

Для роутеров вот, для коммутаторов по ссылке в конце.

У Huawei и cisco немного по-разному сделан текущий конфиг.

Текущий конфиг (аналог running-config) по команде save сохраняется на Huawei в vrpcfg.zip. Как уже писалось выше, при попытке сохранять это по tftp/ftp это падает всегда zip архивом и при распаковке у конфига внутри архива всегда одно и тоже имя. То есть, на такие автоматические бэкапы всё равно надо накручивать скрипт распаковки и переименования. НО! Конфиг можно сохранить в текстовом виде с любым именем .cfg и уже его сливать.

Если вам нужно добавить дату - можно добавить её в имя конфига, который будет падать по tftp (чтоб на роутере память не занимать - там всегда сохраняем с одинаковым именем). Я не добавляю дату, так как всё падает в git, там версионность поддерживается и так.

Далее идет скрипт для оценки того, что у нас накопировалось - хочется понимать, что успешно, что нет. А также коммит, пуш и отсылка отчета на почту.

Зачем каждый раз выбирать ключ ssh? Huawei сожрал только 1024 бита, а gitea хотела минимум 2048. Так что пришлось завести два и менять - один для логина, другой для коммитов.

Теперь сам анализатор логов analyse_result. Он простой как валенок, тут ваша фантазия может разгуляться. Я просто смотрю что написано success на сохранении и на копировании. Заметьте, у роутеров и коммутаторов строчки вывода разные.

Я в таких вспомогательных скриптах придерживаюсь понятного стиля написания, не гоняясь за умещением всего в одну строчку (чтоб потом вспомнить, что там вообще было), так что стиль такой не просто так)

Ну и пихаем в cron чтоб выполнялся каждый день:

Изменения в Gitea выглядят примерно вот так

Сколько времени на это ушло? Ну вот столько:

9 дней работы от 30 минут до 3х часов в день или 19 коммитов. Больше всего я боролась с логином по ключу и с удаленным выполнением команд.

Весь код текстом тут.

Осталось раскатать это на 260 устройств :) Потом можно что угодно раскатывать сразу на все, используя эти наработки. Например, в планах составить рамочный access-list (он как бы есть, но слишком пошли различия от филиала к филиалу, хочется причесать). Ну а пока - залогиниться на каждое устройство ручками и вписать пользователя с ключом.

Занималась я этим чтобы немного размять мозги и проветриться от бумажек с отчетами, что с успехом достигнуто. Ну и для рабочей пользы.

Понятное дело, сейчас Huawei такого типа (малый офис, скажем так) не очень распространены в РФ. Уже не домашний роутер, ещё не энтерпрайз. Однако, он завозится активно, а материалов хрен да нихрена. Надеюсь, кому-то когда-то пригодится.

Варианты, что с этим делать были следующие:

1. тендер на замену этого на одну телефонию

2. почти своими силами на fusionPBX

3. своими силами на Asterisk

4. ничего не делать

Вариант "всё в облако" не рассматривался - мы привыкли управлять своей инфраструктурой (ну и там всякая хтонь по персданным есть, которая, впрочем, при желании обходится).

Fusion - это канадская телефония, распространяется опенсорсно, денежку берут за возможность задать вопросы разрабам, причем типа 5 баксов в месяц, гуманно. По сути это freeswitch с веб-мордой. За фьюжн топил наш чувак, который поддерживал цискофонию по сложным вопросам - говорил, что дико производительная штука, стильно-модно-молодежно. Беда в том, что чувак был в Америке и уезжать обратно к нам не собирался. Понятно, ему не хотелось терять заработок, когда мы уйдем от циски, а также чесались руки раскатать действительно большую инсталляцию этой хрени и потестить. Но:

• у него была основная работа и мы были по остаточному принципу (надо сказать и за божеский ценник, тут не придраться)

• фьюжн, что он поставил для теста, постоянно глючил - терял коннекты с провайдерами, у него не сохранялись в веб морде регулярки, регулярки применялись не так, как вроде выглядело бы логично. Периодически внутри него падал freeswitch и его службу надо было ребутать.

• в России штука малопопулярная, в Америке только набирала популярность. Форумы, сообщество - ну так себе

• чувак, не смотря на многократные просьбы и напоминания, не спешил писать хоть минимальную документацию на то, что он раскатал

• Поскольку это веб-морда, то дебаг этой хтони... ну такой себе

• спеца в России хуй найдёшь, хотя порог входа низкий, типа можно и самому научиться

Почему я сразу не послала его нахер? Он долго рассказывл про плюсы, по полчаса и более звонки, звучало здорово. Также его прогнозы были, что астериск может не вывезти по производительности, а эта штука точно вывезет. А еще у нас приятельские отношения и мне не хотелось слать его нахер нецензурно.

Сначала я решила попробовать быстро отыграть тендер так, чтобы выиграли ребята, которые внедряют и поддерживают астериск пакетно (в РФ такие есть). У нас даже было заложено немножко денег. Но тут включилась головная компания с идеей тендера на все дочерние компании, со своими хотелками и резким непрятием опенсорса. Стало понятно, что это надолго. А без тендера купить мы ничего не можем.

Почему я не орала сразу "давайте астериск внедрим сами, нахуй всех"?

• Собственно, головная компания нас резко отговаривала, это ж не энтерпрайз, вы что, никто не делает так в больших компаниях! А как же поддержка вендора?!

• было непонятно, что там с прошивкой sccp телефонов, будут ли они поддерживать все функции?

• С новыми 7821 понятно только то, что они прошиты в sip - опять же будут ли все функции? А цветные VIP телефоны с панельками как?

• непонятно, потянет ли по нагрузке астериск. Через всех знакомых и знакомых знакомых - самая большая инсталляция, которую я нашла - это 800 телефонов. Что будет на 2000? На 3000? Не будет ли при этом проблем с ivr, с записью разговоров? Сколько мощностей на это будет надо? Как будет скейлиться? При этом со всем нашим текущим компотом собрать данные по типу "сколько одновременных звонков совершается" не представлялось возможным.

• Сможем ли мы замутить отказоустойчивость?

• А что там с безопасностью - мы сможем обеспечить сами?

• у меня единственный спец по астериску. Я, по сути, ставлю всё на него и на то, что он сможет

• А ещё его не заставить писать нормальную документацию

• У нас есть не только sip, куча Е1, которые приходят по цискам на местах, а также несколько филиалов с аналогом. Что со всем этим делать?

• Мы вообще потянем это параллельно с внедрением сети?

Фактически, я колебалась между

• "оставить как есть года на 2 и ждать тендер",

• "похуй, внедряем астериск, а там трава не расти",

• "быстро изучить fusion и внедрять его, не полагаясь на чувака из Америки"

• "оставить на год и за это время внедрить сеть, понять что там с астериском и выбить ставку на второго спеца".

При этом тендер всё равно идет своим чередом - его уже головная компания играет.

По фьюжену - я множество раз расписывала минусы и говорила себе "нахуй эту херотень". Потом я думала, ну несложно же научиться. А спец говорит точно потянет. А астер не точно. Потом я думала, что нам к внедрению сети только учиться какой-то ботве не хватает, когда спец по астериску уже есть. И дебаг у фьюжена говно. А потом мне звонил чувак из Америки и расписывал как оно классно будет работать, я переставала быть категоричной и снова по кругу.

Бросать всё как есть и ждать у моря погоды тендера не хотелось. Люди реально страдали, говорили, что хоть какая телефония лучше, чем то, что сейчас. Когда коллеге слева надо звонить по номеру из 4 цифр, а коллеге справа по номеру из 9 цифр, когда в один и тот же филиал разным сотрудникам нужно набирать то 6, то 9 цифр - тут у кого угодно башка взорвётся. К тому же, разные сервера телефонии предполагали разные сети, вланы и разные настройки внутри сети, от чего хотелось уйти.

Пока металась - выдала спецу по астериску три модели циско-телефонов. Тест на месяц. Получится завести все основные функции - внедряем астер прям сейчас. Не получится - откладываем и страдаем. У него получилось. Не думайте, что он только этим месяц занимался, у нас как раз внедрение нового сетевого оборудования ЦОД было, а также регулярно ломался тот телефонический и сетевой монстр, что у нас был.

Да, были сложности. Наш главный согласованный контрагент "рутрекер-орг" не смог поставить нам все нужные прошивки телефонов, особенно на blf-панельки. Пршлось поднимать все связи - нас спас тот самый чувак из Америки. Да, страдала русификация. Да, правилось на лету, допиливались модули и были недовольные. Но когда недовольство в том что "вот у меня подсветка горит, а раньше не горела" или "вот у меня 2 мелодии на выбор, а раньше было 30" - это прям неплохой результат.

Итого я приняла решение внедрять Asterisk не смотря на риски, которые я принимаю (и стараюсь уменьшить):

• я доверяю нашему специалисту, который говорит, что сервер по нагрузке вывезет, а также что он допилит напильником так, чтоб работали телефоны полноценно. (А что ели не вывезет? Тогда клеим астериски модульно по столько, сколько вывезет. А что если не допилит? Значит телефоны будут только звонить - уже лучше чем сейчас)

• я принимаю риск того, что по первости всё завязано на одном человеке, но стараюсь это исправить в будущем (пинать его с документацией, изучить и писать документацию самой, озадачить администрированием телефонии ещё минимум одного человека)

Кстати, мне как раз в то время рассказали историю:
Настроил человек в фирме астериск. Фирма росла, человек дорос до начальника, а потом уволился. Прошло ещё пару лет. И что-то сломалось - перестали приниматься все междугородние звонки. А никто не помнит что там настроено. Попытались разобраться - не разобрались. Стали искать того человека. А он уехал в буддийский монастырь монахом постигать истины. А фирме очень надо, она бабло килограммами теряет. В общем, вышли на монастырь и вот на ноутбуке настоятеля бывший админ в келье буддийского монастыря правил конфиг. Поправил - заработало. Мораль - не завязывай на одного человека и пиши, сцука, документацию.

• я принимаю недовольсво людей, которым нужно менять номер телефона и ввожу единый план нумерации, который раньше был на нашей половине компании, на всех

• я начинаю пилить всех провайдеров на предоставление sip (ну там отдельная история, сейчас у нас уже около 40 филиалов приземляют телефонию в ЦОД в Москве, процесс идёт). Если это возможно только со сменой городского номера - значит надо обсуждать с нашим отделом маркетинга , что нам это правда надо. Где ничего нельзя сделать с аналогом - шлюзы Yeastar сконвертируют. Где ничего нельзя сделать с Е1 - циска остается как преобразователь сигнала и больше ничего.

• Я говорю, что внедрение сети и телефонии проходит одновременно - это уменьшало нам работу с сетью, хоть и нагружало работой с телефонией, подготовкой и добавляло работы админам филиала.

Вот так, оглядываясь назад - это было очевидное решение, а раздумья заняли месяца полтора, не считая попыток с первым тендером (там ещё на два). Мне было довольно страшно обрубать все дискуссии и говорить начальству "мы делаем так, trust me". Через год мне высказали несколько неприятных слов про то "а хуле мы в тендере участвовали, когда всё работает". Ну, чувак, во-первых тенедер я хотела маленький и скромный, а его раздули уже не мы, а во-вторых, у меня на старте тендера было три работающих телефона и прогнозировать 100% успех я всё же не могла.

Сейчас всё работает, сервер с 8ГБ оперативной памяти тянет почти 3000 телефонов (недавно расширили, было 4ГБ памяти). Отдельно сервер sbc (тоже на астере) и отдельно под софтфоны - ждём их наплыва, а также он является резервом на телефоны. Функции почти все работают, плюс куча фич, типа интеграции с AD, справочника, back-call, веб-звонилки сделано. Спец уже не один, в какой-то степени телефонией занимаются 4 человека, что немного (совсем капельку) снимает с меня тревогу про то, что это завязано на одном человеке. Готового второго спеца мы не наняли, предложили мне забрать свободного человека и обучить. Благо, курсы по астеру стоят немного, в бюджете организации денег хватило + самообучение + обучение от нашего спеца. Документация кое-как пишется с моими пинками. В целом, спеца по астериску, случить что, найти не так сложно (в отличие от какого-нить энтерпрайзного РТУ телеком). Также можно на аутсорс отдать хорошим ребятам (не собираемся этого делать, но наличие опции греет душу).

А что если бы не заработало? Скорее всего, делали бы в урезанном виде, но единообразно. Выкраивали бы железо, искали бы спецов. На самом деле, переходный период был месяца четыре - когда непонятно, взлетит или нет. Потом уже было ясно, что всё норм.

В этот раз не так интересно и почти очевидно. Если понравится - напишу ещё про что-нибудь из этого периода. А если нет - запилю попозже пост про автобэкапы сетевого оборудования хуавей.