ASA wyslanie aGARPa na wszystkie adresy za jednym razem

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

ASA wyslanie aGARPa na wszystkie adresy za jednym razem

#1

#1 Post autor: mihu »

hejka,

czy wiecie moze czy jest jakas ukryta, badz nie, komenda, ktora pozwoli wyslac z ASy GARPa za jednym zamachem odnosnie wszystkich adresow (NATy) jakie ma skonfigurowane?

uzywam

Kod: Zaznacz cały

debug menu ipaddrutl 6 <ip>
ale to wymaga wyluskania wszystkich adresow recznie, a chcialbym cos takiego

Kod: Zaznacz cały

debug menu ipaddrutl 6 <all_ip>
oszczedziloby to troche czasu.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 400
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

Re: ASA wyslanie aGARPa na wszystkie adresy za jednym razem

#2

#2 Post autor: konradrz »

mihu pisze:uzywam

Kod: Zaznacz cały

debug menu ipaddrutl 6 <ip>
ale to wymaga wyluskania wszystkich adresow recznie, a chcialbym cos takiego

Kod: Zaznacz cały

debug menu ipaddrutl 6 <all_ip>
oszczedziloby to troche czasu.
No, to jeśli '*' nie działa - świetny pomysł na pierwszy skrypt w życiu :) Wiesz, najpierw listujesz sobie adresy z tego NATu, a potem pojedynczo je 'wstrzeliwujesz' do komendy.
A skoro ASA już ma (średniawy ponoć, ale) REST API, to możesz użyć Postmana i jego narzędzie "Runner" - nie musisz nawet nic wtedy o skryptowaniu wiedzieć.

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA wyslanie aGARPa na wszystkie adresy za jednym razem

#3

#3 Post autor: mihu »

konradrz pisze:
mihu pisze:uzywam

Kod: Zaznacz cały

debug menu ipaddrutl 6 <ip>
ale to wymaga wyluskania wszystkich adresow recznie, a chcialbym cos takiego

Kod: Zaznacz cały

debug menu ipaddrutl 6 <all_ip>
oszczedziloby to troche czasu.
No, to jeśli '*' nie działa - świetny pomysł na pierwszy skrypt w życiu :) Wiesz, najpierw listujesz sobie adresy z tego NATu, a potem pojedynczo je 'wstrzeliwujesz' do komendy.
A skoro ASA już ma (średniawy ponoć, ale) REST API, to możesz użyć Postmana i jego narzędzie "Runner" - nie musisz nawet nic wtedy o skryptowaniu wiedzieć.
nie działa, sprawdzałem ;) output: > Gratuitous ARP not sent for 0.0.0.0

super, ale ja nie ukrywam, że próbuję być leniwy ;), a to co proponujesz trochę jest nie po drodze. pomijając Twoją propozycję widzę dwie opcje:
1. zrobić to z palca dla klienta i copy paste
2. jednak zrobić reboot ASy po podminie na nową i sama powinna wysłać GARPy (jest okno serwisowe, więc nie problem)

ale poza opcją leniwą chciałem, żeby bylo elegancko.

pomysłowi się przyjrzę w wolnej chwili, ale to będzie już po projekcie.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 400
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

Re: ASA wyslanie aGARPa na wszystkie adresy za jednym razem

#4

#4 Post autor: konradrz »

mihu pisze:1. zrobić to z palca dla klienta i copy paste
I właśnie tutaj Runner jest bardzo pomocny. (zakładam że masz więcej niż 3-4 klientów/adresy ;)
Najpierw listujesz sobie adresy i zapisujesz w .csv, wyglądać to będzie mniej więcej:

Kod: Zaznacz cały

adres_do_garpa
10.1.2.3
20.2.3.4
30.3.4.5
123.123.123.123
...
a potem Runnerem wysyłasz do Asy coś w stylu

Kod: Zaznacz cały

POST https://coś.tam.coś.tam/jakiś_url
{bla bla komenda='debug menu ipaddrutl 6 {{adres_do_garpa}}' bla bla}
(w Runnerze znacznik {{o_taki}} oznacza zmienną, a jej wartości bierze z kolumny o takiejż nazwie z .csv)

Po pewnym czasie zdenerwuje Cię to całe ręczne robienie .csv i wtedy sobie skrypcik napiszesz który ową zmienną 'adres_do_garpa' będzie brał bezpośrednio z outputu komendy pokazującej.
Tak więc - bycie leniwym właśnie motywuje do skryptowania! ;) (a potem do zmiany pracy na lepszą, jak tu na forum parę osób wspomniało)

No, chyba że to ma być taka jednorazowa akcja (by klient dał piątaka), wtedy być może faktycznie prościej ręcznie. (prościej? tak; ale czy rozwojowo?)

PS. Użyłem słowa "takiejż"! :)

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA wyslanie aGARPa na wszystkie adresy za jednym razem

#5

#5 Post autor: mihu »

denerwuje dlatego pytam ;) dobrze ze taka komenda w ogóle jest do czyszczenia ARPow.
na pewno rozwojowo (moze nie do wymiany na FTD w przyszłości) i zerknę jak wrócę z krótkiego urlopu. za duzo ISE i FP i za mało wymian AS żebym sie wczesnej zmobilizował.

co do pracy - pojęcie "lepsza" jest względne i nie narzekam ;)

pozdro

dzięki Konrad.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

ODPOWIEDZ