Scale IPSec config over cisco router

最新推荐文章于 2024-10-11 20:06:22 发布
最新推荐文章于 2024-10-11 20:06:22 发布
阅读量700 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Networking Python 文章标签: python IPSec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wunderup/article/details/51383978
本文介绍了一种使用Python脚本自动生成Cisco路由器IPSec配置的方法,特别适用于需要创建大量站点到站点隧道的情况。该脚本支持IKEv2,并能为两台路由器A和B生成对应的配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


Cisco Router 的IPSec配置很复杂,如果需要生成多条tunnel的配置的时候,需要很大的工作量


简单写了一个脚本来生成,看看结果如何把


Limitation:

1. 支持IKEv2

2. 只能在Cisco IOS router上运行

3. Topology: site to site


Benifit:

同时生成A和B两个router的配置,赞吧?


运行方法:

[asr@30_208 ~]$ python ikev2_config_scale.py 2 ikev2


from xml.dom import minidom
from ftplib import FTP
import telnetlib
import sys
import time
import logging
import os
import re
import platform
import string

class IPSecConfigScale:
    def __init__(self, tunnel, mode):
        self.__tunnel_number__ = int(tunnel)
        self.__mode__ = mode
        
        self.__vlan_start__ = 2000
        
        self.__ip_wan_A__ = '50.1.'
        self.__ip_wan_B__ = self.__ip_wan_A__
        self.__ip_lan_A__ = '172.16.'
        self.__ip_lan_B__ = '172.17.'
        self.__netmask__ = '255.255.255.0'
        self.__wildcard__ = '0.0.0.255'
        self.__interface_lan_A__ = 'GigabitEthernet2.'
        self.__interface_wan_A__ = 'GigabitEthernet3.'
        self.__interface_lan_B__ = 'GigabitEthernet2.'
        self.__interface_wan_B__ = 'GigabitEthernet3.'
        
        self.__vlan_lan_A__ = 2000
        self.__vlan_wan__ = 3000
        self.__vlan_lan_B__ = 4000
        
        self.__eigrp_as__ = 1000
        
        return
        
    def run(self):
    	print 'tunnel is %s' % self.__tunnel_number__
    	print 'mode is %s' % self.__mode__
    	
    	if self.__tunnel_number__ >= 255:
    	    print 'ERROR, %s is not supported' % self.__tunnel_number__

    	if mode == 'ikev2':
    		self.__scale_ikev2_config__(ip_lan_local_in = self.__ip_lan_A__, 
    		    ip_wan = self.__ip_wan_A__, 
    		    ip_lan_remote_in=self.__ip_lan_B__, 
    		    interface_lan = self.__interface_lan_A__, 
    		    interface_wan = self.__interface_wan_A__, 
    		    vlan_lan_in=self.__vlan_lan_A__, 
    		    vlan_wan_in=self.__vlan_wan__, 
    		    role=1)
    		self.__scale_ikev2_config__(ip_lan_local_in = self.__ip_lan_B__, 
    		    ip_wan = self.__ip_wan_B__, 
    		    ip_lan_remote_in=self.__ip_lan_A__, 
    		    interface_lan = self.__interface_lan_B__, 
    		    interface_wan = self.__interface_wan_B__, 
    		    vlan_lan_in=self.__vlan_lan_B__, 
    		    vlan_wan_in=self.__vlan_wan__, 
    		    role=2)
    	else:
    		print '%s is not supported'
    		
    	return
    	    	
    def __scale_ikev2_config__(self, ip_lan_local_in='172.16.', 
            ip_wan='50.1.', 
            ip_lan_remote_in='60.1.', 
            interface_lan='GigabitEthernet2.', 
            interface_wan='GigabitEthernet3.', 
            vlan_lan_in=2000, 
            vlan_wan_in=3000, 
            role=1):
    	
    	print '###################################'
    	print '###################################'
    	print '# config for Cisco Router(role: %s):' % role
    	print 'configure terminal'
    	for it in range(0, self.__tunnel_number__):
    	    proposal = 'IKEv2Proposal%s' % it
    	    policy = 'IKEv2Policy%s' % it
    	    key = 'KEY%s' % it
    	    peer = 'PEER%s' % it
    	    profile = 'IKEv2Profile%s' % it
    	    transform_set = 'TS%s' % it
    	    map = 'CMAP%s' % it

    	    vlan_lan = vlan_lan_in + it
    	    vlan_wan = vlan_wan_in + it
    	        	    
    	    if role == 1:
    	        ip_wan_local =  '%s%s.1' % (ip_wan, it) 
    	        ip_wan_remote = '%s%s.2' % (ip_wan, it) 
    	    else:
    	        ip_wan_local =  '%s%s.2' % (ip_wan, it) 
    	        ip_wan_remote = '%s%s.1' % (ip_wan, it) 
    	        
    	    ip_lan_local = '%s%s.%s' % (ip_lan_local_in, it, 1)
    	    ip_lan_remote = '%s%s.%s' % (ip_lan_remote_in, it, 1)
    	        	        
    	    subinterface_lan = '%s%s' % (interface_lan, vlan_lan)
    	    subinterface_wan = '%s%s' % (interface_wan, vlan_wan)
    	    
    	    traffic_acl = 'traffic_acl_%s' % it
    	    
    	    eigrp_as = 1000 +it

    	    # traffic acl
    	    print '# traffic ACL'
            print 'ip access-list extended %s' % traffic_acl
            print ' permit ip host %s any' % ip_lan_local
            print ' permit ip host %s any' % ip_lan_remote
    	    
    	    # ikev2 proposal
    	    print '# IKEv2 proposal'
            print 'crypto ikev2 proposal %s' % proposal
            print '  encryption 3des'
            print '  integrity sha512'
            print '  group 2'
            
            # ikev2 policy
    	    print '# IKEv2 policy'
            print 'crypto ikev2 policy %s' % policy
            print '  proposal %s' % proposal
            
            # ikev2 keyring
    	    print '# IKEv2 keyring'
            print 'crypto ikev2 keyring %s' % key
            print '  peer %s' % peer
            print '    address %s' % ip_wan_remote
            print '    pre-shared-key local cisco123'
            print '    pre-shared-key remote cisco123'
            
            # ikev2 profile
    	    print '# IKEv2 profile'
            print 'crypto ikev2 profile %s' % profile
            print '  match identity remote address %s 255.255.255.255' % ip_wan_remote
            print '  identity local address %s' % ip_wan_local
            print '  authentication local pre-share'
            print '  authentication remote pre-share'
            print '  keyring local %s' % key
            
            # ipsec transform-set
    	    print '# IPSec transform-set'
            print 'crypto ipsec transform-set %s esp-aes 256 esp-sha256-hmac' % transform_set

            # crypto map
    	    print '# crypto map'
            print 'crypto map %s 10 ipsec-isakmp' % map
            print ' set peer %s' % ip_wan_remote
            print ' set transform-set %s' % transform_set
            print ' set ikev2-profile %s' % profile
            print ' match address %s' % traffic_acl
            
            # subinterface wan
    	    print '# wan subinterface'
            print 'interface %s' % subinterface_wan
            print '  encapsulation dot1q %s' % vlan_wan
            print '  ip address %s %s' % (ip_wan_local, self.__netmask__)
            print '  crypto map %s' % map

            # subinterface lan
    	    print '# lan subinterface'
            print 'interface %s' % subinterface_lan
            print '  encapsulation dot1q %s' % vlan_lan
            print '  ip address %s %s' % (ip_lan_local, self.__netmask__)
            
            # static route
            print 'ip route %s 255.255.255.255 %s' % (ip_lan_remote, ip_wan_remote)
            
            print 'end'
    	return
    	
    	
def printHelp():
    print '\nError running command!\n\n'
    print 'Please run it as following indication:'
    print 'COMMAND <tunnel number> [mode]\n'
    print 'For Example:'
    print '    python IPSecConfigScale.py 10 ikev2\n\n'
    
    return -1

if __name__ == "__main__":
    numargs = len(sys.argv) - 1

    if numargs == 0:
    	tunnel = 10
    	mode = 'ikev2'
    elif numargs == 1:
        tunnel = sys.argv[1]
        mode = 'ikev2'
    elif numargs == 2:
        tunnel = sys.argv[1]
        mode = sys.argv[2]
    else:
    	printHelp()
        sys.exit(1)
        
    scale = IPSecConfigScale(tunnel, mode)
    scale.run()



CCIE重认证350-401
stqer的博客
01-04 3191
traffic policing: causes TCP retransmissions when traffic is dropped导致TCP重传时流量下降 introduces no delay and jitter引入无延迟和抖动 drops excessive traffic减少过多的流量 traffic shaping: buffers excessive traffic缓冲过多的流量 introduces delay and jitter引入延迟和抖动 applied on traffic t
CCIE重认证--350-401-补充题库-也是必须的哟
stqer的博客
12-14 2777
实验,选择,拖图题
IPSec scale config script over Cisco Router
跳着Samba的狮子
05-23 788
该脚本支持了SVTI模式的config scale from xml.dom import minidom from ftplib import FTP import telnetlib import sys import time import logging import os import re import platform import string class IPSecC
CISCO技术(1.7万)
热门推荐
08-09 7万+
0 base|以零为基底\r\n 0 disturbed zero output signal|干扰0输出信号\r\n 0parallel communication cable|平行通讯传输缆线\r\n 1 binary operation|二进制运算\r\n 1 di
liunux 查看系统参数、网络参数的命令
哦,原来你也在这里。
10-29 3214
sudo sysctl -a sudo sysctl net.ipv4 具体的用法:sysctl --help 部分参数解析如下: ip_forward - BOOLEAN 0 - disabled (default) not 0 - enabled Forward Packets between interfaces. This variable is special, its change resets all configuration parameters to their default st
01.CCNA 200-301 题库_1-50
JonasWolfxin
08-29 4211
CCNA 考试题库
有史以来最全面最经典的网络技术资料合集
追风客的专栏
04-07 1万+
│ 子网划分工具.exe│ ├─CISCO│ ├─CCNP Lab│ │     AAA实验.pdf│ │     Backup Interface-v2.pdf│ │     BGP TroubleShooting.pdf│ │     BGP1.pdf│ │     BGP第二次实验(简版).pdf│ │
linux 下各个端口及他们的作用
kiwi的专栏
07-28 5万+
# /etc/services: # $Id: services,v 1.48 2009/11/11 14:32:31 ovasik Exp $ # # Network services, Internet style # IANA services version: last updated 2009-11-10 # # Note that it is presently the p
vxlan primer
翟海飞
08-15 5621
 VXLAN Primer-Part 1 http://www.borgcube.com/blogs/2011/11/vxlan-primer-part-1/ There has been a lot of chatter in the bloggersphere about the advent of Virtual eXtensible Local Area Network (
router.config.js
05-05
router.config.js
Cisco路由器IPsec配置.doc
07-12
以下为路由器A的配置,路由器B只需对相应配置作更改即可 1:配置IKE router(config)# crypto isakmp enable #启用IKE(默认是启动的) router(config)# crypto isakmp policy 100 #建立IKE策略,优先级为100 router...
H3C IPsec over GRE VPN 实验
最新发布
M建的博客
10-11 1480
配置 IPsec over GRE VPN 来连通两端内网
GRE over IPSec(基于思科设备)
weixin_34270865的博客
03-24 2233
GRE over IPSec(基于思科设备) GRE是一种最传统的隧道协议,其根本功能就是要实现隧道功能,通过隧道连接的两个远程网络就如同直连,GRE在两个远程网络之间模拟出直连链路,从而使网络间达到直连的效果,为此,GRE需要完成多次封装,总共有3次,换句话说,就是在GRE隧道中传输的数据包都有3个包头,因为我们只谈IP协议,所以GRE中的IP数据包是一层套一层,总共有3个IP地址。GRE在实现...
路由器taildrop丢包原因总结分析
跳着Samba的狮子
11-12 9154
Taildrop在路由器上是一种非常常见的丢包策略。如果路由器进来数据包的总bps超过了路由器能处理的bps,那么,某些数据包就会被丢弃,而丢包原因就是taildrop。 这种情况下的丢包,和路由器过载无法处理(一般是pps达到了路由器处理的上限)是完全不一样的。路由器因为pps过大导致路由器过载而丢包,这样的包很可能都没有丢包原因的。 下面的这个例子,路由器dataplane的处理能
NAT和GRE tunnel在思科路由器上的实现
跳着Samba的狮子
08-05 6909
Topology: Client: 90.1.0.8)
如何让EIGRP支持64bit的Metric
跳着Samba的狮子
11-13 6383
在默认情况下,思科路由器只支持32bit的metric计算方法。如果要让路由器支持64bit的m
一种MSRPC协议Longivity test的方法
跳着Samba的狮子
08-01 5665
MSRPC是Microsoft基于DCE RPC扩展后的一种RPC协议,中间加入了很多
思科ASR1000从ipbase提升到enterprise方法
跳着Samba的狮子
11-05 5094
思科路由器IOS15.5极其以上版本
CSR1000V在XenServer的安装和简单使用
跳着Samba的狮子
07-30 4563
目前主流市场上最火的hyper-v,就是vmware的ESX,Citrix的xenserver, 微软的hyper-v,以及KVM等 虽然国内很多厂家用的都是vmware的虚拟化产品,但是,国外还是很多人在用xenserver。 就尝试着用用xenserver吧 1. 下载ISO 2. 刻录光盘,也可以U盘启动 3. 一步步安装,没有任何悬念,主要就是配置management i
Router(config)router ospf 100
06-08
这是一个配置OSPF协议的命令,其含义为进入OSPF路由器配置模式,并创建一个号码为100的OSPF进程。具体来说,该命令包含以下几个部分: - Router(config):进入全局配置模式,表示要进行配置。 - router ospf:进入OSPF路由器配置模式,表示要对OSPF协议进行配置。 - 100:为创建的OSPF进程指定一个数字标识,这个数字必须在所有OSPF进程中唯一。 在OSPF路由器配置模式中,可以配置OSPF协议的各种参数,例如网络地址、路由器ID、区域等。通过配置OSPF协议,可以实现动态路由的自动学习和更新,提高网络的可靠性和灵活性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值