linguaggio di scripting su router cisco

[kobaiachi]

Salve a tutti,

ragazzi sapete se sui router cisco esiste un linguaggio di scripting che permette di fare dei costrutti tipo :

Ping ip X
If ping count is less of 30% do azione X else do azione Y

o anche

Controlla se il tunnel X e attivo
se è attivo invia i pacchetti sul tunnel X
altrimenti metti in up il tunnel Y.

(sto cercando di implementare attraverso il policy nat una configurazione VPN ipsec tra due sedi remote che hanno stessi indirizzi locali, pero se si usa il policy nat bisogna usare due tunnel per render possibile l'istaurazione della vpn da ambedue le sedi. )

Saluti Kobaiachi

[andrewp]

Esiste il pearl su linux e scripti quello che ti serve..

[Wizard]

(sto cercando di implementare attraverso il policy nat una configurazione VPN ipsec tra due sedi remote che hanno stessi indirizzi locali, pero se si usa il policy nat bisogna usare due tunnel per render possibile l'istaurazione della vpn da ambedue le sedi. )

Questa cosa non la ho capita...
Basta che configuri il policy nat in una delle 2 sedi, e in quel FW nella crypto acl, basta che metti come network sorgente la network nattata

[kobaiachi]

LOL

cmq adesso mi e venuta in mente una procedura per farlo senza script anche se sarebbe stato molto instruttivo farlo (ma me lo lascio come laboratorio da fare a casa)

PS ragazzi avete visto che sul forum Hacki sono riusciti ad virtualizzare gli ASA !!!!



Saluti Kobaiachi

[Wizard]

PS ragazzi avete visto che sul forum Hacki sono riusciti ad virtualizzare gli ASA !!!!

Cioè?

[kobaiachi]

cioe usando qemu (una versione da loro patchata) si riescono ad emulare pure gli asa come I pix Firewall con pemu, tra l'altro ho letto che l'autore di dynampis sta lavorando per riuscire a far emulare i 6500.

[Wizard]

In sostanza l'obiettivo è usare un PC o server con n schede di rete con sopra una "emulazione" della ios degli asa?!

Di sicuro molto utile in fase di studio.

[kobaiachi]

non e necessario che il pc abbia n schede di rete si possono fare reti completamente virtuali all interno dello stesso pc composte da pix, asa, router dalla serie 1700 alla 7200, client basati su vmware (o quemu o netkit o virtualbox) etc .

poi se vuoi hai la possibilita di interfacciarle alla rete reale tramite le schede di rete dell host reale su cui sono virtualizzate .

il bello di tutto questo giochino e che se hai piu pc puoi creare reti complesse, distribuirle su piu pc e cotrollarle tutte da una unica console di comando (dynagen).

[kobaiachi]

(sto cercando di implementare attraverso il policy nat una configurazione VPN ipsec tra due sedi remote che hanno stessi indirizzi locali, pero se si usa il policy nat bisogna usare due tunnel per render possibile l'istaurazione della vpn da ambedue le sedi. )

Questa cosa non la ho capita...
Basta che configuri il policy nat in una delle 2 sedi, e in quel FW nella crypto acl, basta che metti come network sorgente la network nattata

si ok ma se invece di iniziare la vpn dal firewall vuoi iniziarla dall altro capo come fai ?
il firewall si ritroverebbe a non sapere a quale host interno nattare l'indirizzo

a questo punto puoi fare due cose o mettere una delle statice cosi da avere un nat 1-1 per tutti quegli host che devono essere raggiungibili tramite vpn o altrimenti devi usare una configurazione speculare su router e sugli estrermi della vpn usi uno script che controlla se e gia stata stabilita la configurazione e su quale tunnel

[Wizard]

a questo punto puoi fare due cose o mettere una delle statice cosi da avere un nat 1-1 per tutti quegli host che devono essere raggiungibili tramite vpn

Io farei così, mi sa un po' molto + affidabile!