Drugie życie IOSa? IOS Shell.

[miboo]

Wczoraj pojawił się nowy IOS. 15.1(4)M
Wprowadza jedną "dość" ciekawą funkcjonalność, która z czasem (IMO) zmieni delikatnie pracę z IOSem.

IOS Shell

Poniżej zrobiony przed chwilą screen z dwiema dość ciekawymi komendami
http://twitpic.com/4dfvx1

[pakarod]

z jednej strony mocno sie ciesze, a z drugiej chyba konczy sie pewien etap Wiadomo czy beda takie funkcjonalnosci na ASA ?

[lbromirs]

z jednej strony mocno sie ciesze, a z drugiej chyba konczy sie pewien etap Wiadomo czy beda takie funkcjonalnosci na ASA ?

IOS Shell był już od pewnego czasu, ale niewiele się o tym mówiło. Na ASA nie ma planowanych takich funkcjonalności obecnie, możliwe jednak że sam parser zostanie rozszerzony o pewne funkcje. Na ASA zdecydowanie stawiamy na ASDMa i generalnie - zarządzanie via GUI.

[horac]

z jednej strony mocno sie ciesze, a z drugiej chyba konczy sie pewien etap Wiadomo czy beda takie funkcjonalnosci na ASA ?

IOS Shell był już od pewnego czasu, ale niewiele się o tym mówiło. Na ASA nie ma planowanych takich funkcjonalności obecnie, możliwe jednak że sam parser zostanie rozszerzony o pewne funkcje. Na ASA zdecydowanie stawiamy na ASDMa i generalnie - zarządzanie via GUI.

Lukasz raczysz zartowac z tym ASDM, w 99% gdy trafia ASA do teamu utrzymujacego, nie ma dostepu via GUI, bo serwery terminalowe zapewniajace dostep do wszystkich urzadzen w sieci sa postawione zazwyczaj na unixach bez xow. Na produkcji nie widzialem ASDMA nigdy.

[lbromirs]

z jednej strony mocno sie ciesze, a z drugiej chyba konczy sie pewien etap Wiadomo czy beda takie funkcjonalnosci na ASA ?

IOS Shell był już od pewnego czasu, ale niewiele się o tym mówiło. Na ASA nie ma planowanych takich funkcjonalności obecnie, możliwe jednak że sam parser zostanie rozszerzony o pewne funkcje. Na ASA zdecydowanie stawiamy na ASDMa i generalnie - zarządzanie via GUI.

Lukasz raczysz zartowac z tym ASDM, w 99% gdy trafia ASA do teamu utrzymujacego, nie ma dostepu via GUI, bo serwery terminalowe zapewniajace dostep do wszystkich urzadzen w sieci sa postawione zazwyczaj na unixach bez xow. Na produkcji nie widzialem ASDMA nigdy.

To pewnie zależy od tego, do czego ta ASA służy. Tam gdzie jest dużo reguł filtrujących ruch i generalnie - niezbyt oczywista konfiguracja, nie ma innej opcji tylko zarządzać przez GUI. CSM lub ASDM. U moich klientów jest dokładnie odwrotne, w SMB czy małym Enterprise pewnie da się wszystko robić z CLI, tam gdzie skala rośnie, to proszenie się o pomyłki i problemy.

[horac]

ja nie mowie ze ASDM jest zly, bo jest fajny, ale ja mam takei ASY gdzie jest i po 1k linii regul itrzeba sobie z tym radzic via CLI, poniewaz nie ma zadnych serwerow dostepowych wspierajacych system okienkowy i jave.

Dobrze by bylo gdyby ASA zostala w koncu zwirtualizowana, wtedy bedzie ja sie instalowac na serwerach a co za tym idzie i bedzie dostep via ASDM.

[garfield]

... poniewaz nie ma zadnych serwerow dostepowych wspierajacych system okienkowy i jave.

ale to już kwestia nieprzemyślanej architektury sieci, nie ma większego problemu ze zrobieniem w pełni bezpiecznych stacji MGMT posadowionych na Microsofcie z których odpalałbyś np putty, ASDM, IDM, CSM itd
A to np wszystko jeszcze nagrywane dla bezpieczeństwa

...
Dobrze by bylo gdyby ASA zostala w koncu zwirtualizowana, wtedy bedzie ja sie instalowac na serwerach a co za tym idzie i bedzie dostep via ASDM.

ale jak asa będzie obrazem np vmware'a a nie nie fizycznym 1U to i tak jakąś stację z okienkami będziesz musiał mieć

W dużym korpie o obsłudze FW przez CLI zapomnij, za duże prawdopodobieństwo zrobienia sobie kuku

Swoją drogą fajnie, że Cisco idzie w 100% obsługę FW przez GUI - konkurencja jakiś czas temu poszła w tą stronę i klienci zadowoleni

[horac]

Zgodze sie dlatego jedno i drugie trzeba znac, w zaleznosci od tego jakie mamy mozliwosci dostepowe tak sie trzeba dopasowac.

[lbromirs]

ja nie mowie ze ASDM jest zly, bo jest fajny, ale ja mam takei ASY gdzie jest i po 1k linii regul itrzeba sobie z tym radzic via CLI

Ja pracuje w dużej mierze z tego typu klientami. Ale nawet dla 500 reguł które definiowane są przez object-groupy i w dodatku chcesz jeszcze wiedzieć co konkretnie teraz dzieje się na pudełku... GUI + NSEL jest po prostu jedynym sensownym wyjściem. Co innego np. troubleshooting samej platformy.

Dobrze by bylo gdyby ASA zostala w koncu zwirtualizowana, wtedy bedzie ja sie instalowac na serwerach a co za tym idzie i bedzie dostep via ASDM.

Soon. Ale jedno z drugim nie ma nic wspólnego - to gdzie ASA fizycznie jest i to w jaki sposób nią zarządzasz.

[horac]

Soon. Ale jedno z drugim nie ma nic wspólnego - to gdzie ASA fizycznie jest i to w jaki sposób nią zarządzasz.

Mi chodzilo bardziej o to, ze gdy ASA bedzie zwirtualizowana i dostepna np na vmware, to wtedy juz nic nie bedzie przeszkadzalo temu by zainstalowac Java na tym samym fizycznym serwerze i zarzadzac przez ASDM.

Nie do konca jednak powiedzialem prawde, byly sporadyczne przypadki gdy w danym kontrakcie ASA byla via ASDM dostepna, tylko ze serwer dostepowy tak zamulal ze szkoda bylo w ogole zawracac sobie gitare ASDmem, druga sprawa to stary ASDM w wiekszosci, ktory bardziej SDM przypominal w swoich poczatkach istnienia.

Widzialem tez te rozwiazania CSM, ale nie wiem czemu (strzelam ze wina dostepowej maszyny) zamula tak ze hej.

[pakarod]

mysle, ze nie ma co prowadzic dyskusji pt CLI vs GUI. Kazdy ma swoje zdanie doswiadczenia, ja moge jedynie przytoczyc slawetne powiedznie
"zadna baba, zadna lala nie zastapi terminala". Niestety byly czasy kiedy nie wszystko dalo sie zrobic z ASDMa, teraz sa czasy, ze nie wszystko mozna zrobic z CLI. Proste rzeczy lepiej konfigurowac z CLI. Ja moge dodac, ze niestety przy mocno rozbudowanej konfiguracji na FWSMie zdarzaly sie cyrki typu zle odczytane informacje o interfejsach i pozniej po zmianach ich wymieszanie.

Nie mniej jednak ciesze sie, ze w koncu pojawila sie taka funkcjonalnosc, nie patrzac daleko w tyl, w czwartek podczas jednej z sesji mialem awarie VPNow i podejrzenia padly na przepelniona pule dhcp. Z konsoli musialem recznie kopiowac do excela, ktory zliczyl i potwierdzil ilosc sesji. Majac narzedzie typu "wc" nie byloby tego problemu.
Zapytalbym czy istnieje jakakolwiek szansa na takie zmiany w galezi 12.4 ale chyba niestety znam odpowiedz

[lbromirs]

Zapytalbym czy istnieje jakakolwiek szansa na takie zmiany w galezi 12.4 ale chyba niestety znam odpowiedz

12.4M i 12.4T są już EoS. 12.4M jest dodatkowo EoL, 12.4(15)T jest ostatnią i jedyną długoterminowo utrzymywaną wersją oprogramowania w linii 12.4T. A jakie platformy masz do dyspozycji?

[pakarod]

A jakie platformy masz do dyspozycji?

Podchwytliwe pytanie ;P Wiem wiem jesli sa rozwijane to moge przejsc na 15.X Pytam raczej prewencyjnie gdyby ktos nie chcial przechodzic na serie 15.X

[sobolaqe1]

. Na ASA zdecydowanie stawiamy na ASDMa i generalnie - zarządzanie via GUI.

Lukaszu a kiedy sie pojawi do ASA jakis fajny tool mgmtowy ?
cos na wzor SCSa CheckPointowego plus syslog(cos jak tracker).

ja teraz mecze troche SCSa R71 + SmartReporter + SmartEvent no i niestety z przykroscia musze powiedziec ze ciezko znalesc cos podobnego dla Cisco.

jak by bylo to bym pewnie i znalazl na to kase, ale niema. nawet sensownego modulu do logowania niema. troche szkoda bo tu jest powazne pole do popisu.
powaznie mysle nad zakupem Cisco Works, ale po tym jak mu sie jeden modul przywiesil a po restarcie wywalil mi z konfiga 30 testowych urzadzen to zaczynam ze spora rezerwa do tego podchodzic

wiem ze marudze troche na OT ale tak mi sie skojarzylo jak powiedziales ze sie na ASDM skupiacie a bardzo by mi sie przydal jakis sensowny globalny tool do mgmt dla ASA

[lbromirs]

. Na ASA zdecydowanie stawiamy na ASDMa i generalnie - zarządzanie via GUI.

Lukaszu a kiedy sie pojawi do ASA jakis fajny tool mgmtowy ?
cos na wzor SCSa CheckPointowego plus syslog(cos jak tracker).

CSM 4.1 już jest, można zamawiać oraz ściągać triala:
http://www.cisco.com/en/US/prod/collate ... 47451.html