Le 29/07/2009 15:36, Romain LE DISEZ a écrit :
Salut à tous,
nous sommes en train de terminer le déploiement de deux pare-feu Cisco
ASA 5520. Notre architecture étant redondante, ils doivent avoir tous
les deux les même règles de filtrage afin que la reprise en cas de panne
se passe bien.
Petite question ? pourquoi vouloir se faire du mal avec des cisco ASA
qui sont vraiment relou à configurer alors que vous aviez une solution
qui marchait avant ? pas assez cher ?
Nous utilisions auparavant des OpenBSD avec pf. Avec un petit make et
quelques commandes (SCP, pfctl), nous pouvions facilement répliquer la
configuration.
Nous cherchons le moyen d'avoir un fonctionnement similaire avec les
Cisco. Par exemple, un fichier texte de ce type :
<adresse ip> <group>
qui nous permette, en une commande, de construire les groupes (auxquels
nous appliquons les ACL) et de les pousser sur les deux pare-feu.
Avant que l'on commence à scripter, connaissez vous une solution de ce
type ? Comment faites vous pour bien gérer vos ASA ?
Normalement les ASA peuvent se gérer en cluster automatiquement et
répliquer la conf (voir les sessions) pour basculer automatiquement.
=>
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00807dac5f.shtml#cmd
Je crois par contre que c'est optionnel et payant.
Merci.
--
raf
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
