ACL Management tool voor Cisco Nexus 6k

vrijdag 22 mei 2015 16:30

Acties:

0Henk 'm!

Ik kan met geen mogelijkheid software vinden die uitsluitend het acl management van een paar Cisco Nexus switches op zich kan nemen. De 6000 serie nexus switches ondersteunen geen object georienteerde acl's en daardoor wordt het al snel een zooitje op de commandline. Fwbuilder snapt geen nexus en wil ook veel te veel zelf regelen: het gaat echt alleen om het acl beheer. De bekende dcnm cisco software doet niets object georienteerds en dat schiet dus ook niet op..dan kan ik het beter direct in de console inkloppen.... Het idee is eigenlijk om in de tool object groepen voor acl's te definieren en de tool vervolgens een platte acl uit te laten spugen.... Die ik dan vervolgens weer copy/paste in de console.... Wie o wie kent een dergelijk product?

zondag 24 mei 2015 02:03

Acties:

+1Henk 'm!

Bl@ckbird

Maak even een account aan en probeer het even hier:
https://supportforums.cis...9038031/server-networking

Veel mensen van Cisco zitten daar ook. Mocht je niet verder komen DM mij als reminder, dan gooi ik even een balletje op.

~ Voordelig Leren Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

zondag 24 mei 2015 10:43

Acties:

0Henk 'm!

Dafjedavid

interessant topic. Ben ook al tijden op zoek naar een ACL tool voor Nexus/6500 en het is een gat in de markt als iemand een fatsoenlijke tool maakt die alleen ACL's doet.

Heb er voor de 6500 wel een paar gevonden, waaronder CyberACL en Google Capirca. Met die eerste ga ik testen, in ieder geval voor de 6500. Die tweede is een command-line dingetje onder python. Heb ik naar gekeken maar vond/vind het wat te omslachtig en weet niet of het op de lange termijn handig blijft....

Mocht je een mooie tool vinden, hoop ik dat je dat hier laat weten

[Voor 18% gewijzigd door Dafjedavid op 24-05-2015 10:44]

Who Needs Windows...

dinsdag 26 mei 2015 11:08

Acties:

0Henk 'm!

StAvOx

Topicstarter

Google Capirca had ik idd ook gezien, maar leek mij ook wat omslachtig. Ik post mijn vraag wel ff op het cisco forum. Had al eea op cisco-nsp gezet, maar daar kwam niet echt respons op.

[Voor 22% gewijzigd door StAvOx op 26-05-2015 11:08]

dinsdag 26 mei 2015 11:40

Acties:

+1Henk 'm!

Bl@ckbird

Wat ik van Cisco krijg:

Based on the resources I checked, I found that there is no current Cisco product specifically designed to manage switch ACLs, either as a point solution or as a feature in a larger scope product. In the third party arena, SolarWinds also offers the Firewall Security manager (former Athena FirePAC product).

NX-OS zie ik er zo niet bij staan, maar je kan eens kijken naar de demo:
http://www.solarwinds.com/firewall-security-manager.aspx

NX-OS heeft een XML API waartegen je kan programmeren. Misschien kan je daar wat mee doen.

~ Voordelig Leren Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

dinsdag 26 mei 2015 13:05

Acties:

0Henk 'm!

StAvOx

Topicstarter

Thx! Ik heb net gekeken, maar solarwinds doet niet wat ik nodig heb. Alles lijkt template driven en ik zie geen echte acl editor die met objecten overweg kan. Zelf iets bouwen is idd ook mogelijk. Maar raar dat een dergelijk product nog niet lijkt te bestaan...

dinsdag 26 mei 2015 13:38

Acties:

0Henk 'm!

Bl@ckbird

Cisco geeft momenteel flink gas op ACI met de Nexus 9300 / 9500, wat het beheer van ACL's volledig vervangt. Kan me voorstellen dat commerciële organisaties geen geld meer willen stoppen in de ontwikkeling van een tool die ACL's beheerd.

Niet specifiek ACL management, maar met EEM kan je op de 6500 het één en ander automatiseren.

~ Voordelig Leren Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

dinsdag 26 mei 2015 15:08

Acties:

0Henk 'm!

StAvOx

Topicstarter

Van die 9300's heb ik ook een paar maar die doen ook object georienteerde acl's ;-)

dinsdag 26 mei 2015 15:10

Acties:

0Henk 'm!

StAvOx

Topicstarter

Doe zelf vrij veel met sdn, maar als ik een apparaat heb waar ook voor de controlplane supersnelle asics inzitten ga ik het latency probleem niet opzoeken zeg maar :-)

dinsdag 26 mei 2015 17:17

Acties:

0Henk 'm!

StAvOx

Topicstarter

Ben nu naar Capirca aan het kijken: ziet er op zich netjes gestructureerd uit. Beter dan ik eerst dacht. Met sed ed kan ik de ios specifieke dingen wel omzetten naar nx.

woensdag 27 mei 2015 10:53

Acties:

0Henk 'm!

Dafjedavid

Laat je de vorderingen en bevindingen weten? Zoals gezegd blijf ik dit topic volgen

Ben benieuwd hoeveel tijd te er mee kwijt bent om het geheel in te richten?

Who Needs Windows...

woensdag 27 mei 2015 16:35

Acties:

+1Henk 'm!

StAvOx

Topicstarter

Capirca kost aardig wat tijd maar het levert wel een erg duidelijk gestructureerd geheel op. Ik heb de objecten nu ingericht zoals ik wil en met een simpel script wordt de uitgespuugde cisco output 'geconverteerd' naar Nexus in config-sync mode (dwz met regelnummers). Ik heb nog maar twee acl's van de tig omgezet en kwam een aardigheid tegen van capirca: automagische host subnet summerization. In een paar objecten had ik een aantal /30's volledig uitgeschreven. Capirca maakt daar zelf weer netjes een /30 van :-)
Jammer dat het project voor de rest redelijk mors is. In de source tree gebeurt nog heel af en toe wat, maar veel is het niet...

donderdag 28 mei 2015 10:15

Acties:

0Henk 'm!

Uberprutser

Ik heb jaren geleden een tooltje gebouwd (met php/mysql) om op een GUI achtige wijze configs te kunnen maken en wijzigen. Ik zal eens kijken of ik het nog ergens kan terug vinden en aanpassen zodat het ook werkt op nieuwere apparatuur (gebouwd voor 6500's en 4500's).

Hoeveel ACL's hebben we het eigenlijk over?

As you may already have guessed, following the instructions may break your system and you are on your own to fix it again.

donderdag 28 mei 2015 11:01

Acties:

0Henk 'm!

StAvOx

Topicstarter

Ben nu druk bezig met capirca en op zich werkt het best aardig. Voordeel is dat je een beetje gedwongen wordt om gestructureerd te werken. Maar het gaat op het systeem waar ik nu op bezig ben om een stuk of 100 acl's.

vrijdag 29 mei 2015 13:53

Acties:

0Henk 'm!

Dafjedavid

Ballebek schreef op donderdag 28 mei 2015 @ 10:15:
Ik heb jaren geleden een tooltje gebouwd (met php/mysql) om op een GUI achtige wijze configs te kunnen maken en wijzigen. Ik zal eens kijken of ik het nog ergens kan terug vinden en aanpassen zodat het ook werkt op nieuwere apparatuur (gebouwd voor 6500's en 4500's).

Hoeveel ACL's hebben we het eigenlijk over?

Voor de 6500 en 4500 ben ik ook op zoek naar een ACL tool. Mocht je je tool nog vinden/gebruiken, zou ik hem graag eens willen testen/hebben? Als het Nexus doet is het mooi meegenomen

Who Needs Windows...

dinsdag 3 januari 2017 19:45

Acties: