?

Log in

No account? Create an account
 
 
26 February 2011 @ 12:01 pm
Cleanup juniper config  
Лень всё же победила. :)
Вместо того, чтобы в очередной раз руками вычищать из конфига куски, которые перестали использоваться (policy-statements, firewall filters и т.п.) написал для этого перловый скрипт.
Ему параметром или на stdin даётся конфиг, он его анализирует, и на выходе выдаёт команды удаления неиспользуемых policy-statements, prefix-lists, community, as-path, firewall filters, firewall policers. Эти команды удаления можно потом копипастнуть в конфиг. Если используется dynamic-db, динамический конфиг можно дать вторым параметром - тогда скажет, что можно удалить и оттуда.

Сначала подумал, не сделать ли его как junoscript (на commit или как op script), но решил, что это и писать сложнее, и использовать менее удобно.
Написан за час (может, два) на коленке, написан неправильно (парсинг конфига, если по уму, нужно делать совсем не так), сделан исключительно под мои конфиги, так что корректную работу с другими конфигами не обещаю. Но может и сработать. :) У меня отработал и на MX, и на EX. Ловит inactive-части конфига, использование firewall filters как input/output на интерфейсе или вложенные, либо как fail-filter в urpf, полисеры - используемые из фильтров или непосредственно на интерфейсе (input/output/arp), policy-statements - в конфигурации протоколов или вложенные.
Если кому предложит удалить что-то лишнее или наоборот - не предложит удалить то, что надо бы - пишите, поправлю. Это только самая-самая первая версия.

Надо будет и для cisco ios такое тоже сделать.

Или это я велосипед изобретаю, и оно такое давно есть стандартное?
Tags:
 
 
 
девочка, живущая и работающая в сети..ogaika on February 26th, 2011 10:14 am (UTC)
Есть. Я не пользовалась, но оно есть http://www.anticisco.ru/index.php?sn=cf
gul_tech: gulgul_tech on February 26th, 2011 10:52 am (UTC)
Ага, спасибо.
Оно для cisco, проверяет (как я понял) только acl, и самое смешное - для этого нужно непонятно кому показать полностью свой конфиг. Я вот так просто отдать свои конфиги роутеров в формочку на неизвестном сайте вводить не стал бы. Да и ограничение 30K - как-то жёстко.
девочка, живущая и работающая в сети..ogaika on February 26th, 2011 11:33 am (UTC)
тоже поэтому и не пробовала) чищу ручками.
ymondragonymondragon on February 28th, 2011 09:36 am (UTC)
Запустил на одном из своих роутеров (MX) скрипт споткнулся о as-path-group на 610 строчек, который был сгенерирован автоматическим скриптом по БД Ripe. Скрипт предложил так его удалить:

delete policy-options as-path a0
delete policy-options as-path a1
delete policy-options as-path a10
delete policy-options as-path a100
delete policy-options as-path a101
delete policy-options as-path a102
delete policy-options as-path a103
delete policy-options as-path a104
delete policy-options as-path a105
delete policy-options as-path a106
delete policy-options as-path a107
delete policy-options as-path a108
delete policy-options as-path a109
delete policy-options as-path a11
delete policy-options as-path a110
delete policy-options as-path a111
...

Какие куски конфига скинуть и куда?
Pavel Gulchouck: gulgul_kiev on July 30th, 2011 12:45 pm (UTC)
Если не трудно, мне на email из GUL-RIPE.
Какие куски - проще всего весь конфиг с удалёнными конфиденциальными данными. Ну или минимальный кусок, на котором воспроизводится ошибка, как удобнее.
(только сейчас дошли руки глянуть)
(Anonymous) on June 7th, 2011 08:42 pm (UTC)
для CISCO когда то эту тулзу писал snar
http://www.lexa.ru/snar/hclean.html
yk@