Pagina 1 di 1
linguaggio di scripting su router cisco
Inviato: lun 25 ago , 2008 1:23 pm
da kobaiachi
Salve a tutti,
ragazzi sapete se sui router cisco esiste un linguaggio di scripting che permette di fare dei costrutti tipo :
Ping ip X
If ping count is less of 30% do azione X else do azione Y
o anche
Controlla se il tunnel X e attivo
se è attivo invia i pacchetti sul tunnel X
altrimenti metti in up il tunnel Y.
(sto cercando di implementare attraverso il policy nat una configurazione VPN ipsec tra due sedi remote che hanno stessi indirizzi locali, pero se si usa il policy nat bisogna usare due tunnel per render possibile l'istaurazione della vpn da ambedue le sedi. )
Saluti Kobaiachi
Inviato: lun 25 ago , 2008 1:26 pm
da andrewp
Esiste il pearl su linux e scripti quello che ti serve..
Inviato: lun 25 ago , 2008 1:48 pm
da Wizard
(sto cercando di implementare attraverso il policy nat una configurazione VPN ipsec tra due sedi remote che hanno stessi indirizzi locali, pero se si usa il policy nat bisogna usare due tunnel per render possibile l'istaurazione della vpn da ambedue le sedi. )
Questa cosa non la ho capita...
Basta che configuri il policy nat in una delle 2 sedi, e in quel FW nella crypto acl, basta che metti come network sorgente la network nattata
Inviato: lun 25 ago , 2008 1:49 pm
da kobaiachi
LOL
cmq adesso mi e venuta in mente una procedura per farlo senza script anche se sarebbe stato molto instruttivo farlo (ma me lo lascio come laboratorio da fare a casa)
PS ragazzi avete visto che sul forum Hacki sono riusciti ad virtualizzare gli ASA !!!!
Saluti Kobaiachi
Inviato: lun 25 ago , 2008 1:59 pm
da Wizard
PS ragazzi avete visto che sul forum Hacki sono riusciti ad virtualizzare gli ASA !!!!
Cioè?
Inviato: lun 25 ago , 2008 2:03 pm
da kobaiachi
cioe usando qemu (una versione da loro patchata) si riescono ad emulare pure gli asa come I pix Firewall con pemu, tra l'altro ho letto che l'autore di dynampis sta lavorando per riuscire a far emulare i 6500.
Inviato: lun 25 ago , 2008 2:10 pm
da Wizard
In sostanza l'obiettivo è usare un PC o server con n schede di rete con sopra una "emulazione" della ios degli asa?!
Di sicuro molto utile in fase di studio.
Inviato: lun 25 ago , 2008 2:17 pm
da kobaiachi
non e necessario che il pc abbia n schede di rete si possono fare reti completamente virtuali all interno dello stesso pc composte da pix, asa, router dalla serie 1700 alla 7200, client basati su vmware (o quemu o netkit o virtualbox) etc .
poi se vuoi hai la possibilita di interfacciarle alla rete reale tramite le schede di rete dell host reale su cui sono virtualizzate .
il bello di tutto questo giochino e che se hai piu pc puoi creare reti complesse, distribuirle su piu pc e cotrollarle tutte da una unica console di comando (dynagen).
Inviato: lun 25 ago , 2008 3:09 pm
da kobaiachi
Wizard ha scritto:(sto cercando di implementare attraverso il policy nat una configurazione VPN ipsec tra due sedi remote che hanno stessi indirizzi locali, pero se si usa il policy nat bisogna usare due tunnel per render possibile l'istaurazione della vpn da ambedue le sedi. )
Questa cosa non la ho capita...
Basta che configuri il policy nat in una delle 2 sedi, e in quel FW nella crypto acl, basta che metti come network sorgente la network nattata
si ok ma se invece di iniziare la vpn dal firewall vuoi iniziarla dall altro capo come fai ?
il firewall si ritroverebbe a non sapere a quale host interno nattare l'indirizzo
a questo punto puoi fare due cose o mettere una delle statice cosi da avere un nat 1-1 per tutti quegli host che devono essere raggiungibili tramite vpn o altrimenti devi usare una configurazione speculare su router e sugli estrermi della vpn usi uno script che controlla se e gia stata stabilita la configurazione e su quale tunnel
Inviato: lun 25 ago , 2008 3:14 pm
da Wizard
a questo punto puoi fare due cose o mettere una delle statice cosi da avere un nat 1-1 per tutti quegli host che devono essere raggiungibili tramite vpn
Io farei così, mi sa un po' molto + affidabile!