Monday, October 3, 2016

Ibilex , ialex






+

Tag Archives: ASAV E 'questo breve post che passerà attraverso i passi di configurazione di accesso ASDM su un dispositivo ASA. Userò l'apparecchio ASAV 9.5.2 appena configurato per GNS3 nel post precedente. Copiare l'immagine ASDM per ASAV apparecchio In primo luogo, abbiamo bisogno di copiare un'immagine ASDM compatibile ASAV memoria interna. Perciò: Vai a Cisco portale di download del software a Prodotti & gt; Sicurezza & gt; Firewall & gt; Firewall Management & gt; Adaptive Security Device Manager e scarica un immagine ASDM compatibile per il vostro dispositivo ASA. Per il download del successo è necessario un contratto di servizio associato al profilo cisco. com altrimenti provare una semplice ricerca su Internet per un'immagine trapelato. Verificare la compatibilità consultando l'articolo compatibilità Cisco ASA (link). Per il mio ASAV versione 9.5.2 una versione 7.5.2.153 ASDM volontà compatibile e sufficienti. In GNS3, costruire un semplice topologia che collegherà ASAV a qualche rete esterna. Per fare questo, collegare un interfaccia da ASAV a un oggetto nuvola configurato per essere collegato ad una delle interfaccia host & ndash; A tal fine Di solito utilizzare un adattatore loopback semplice (per modalità di installazione di un tale, leggere questo articolo di TechNet. riavvio richiesto). Perché la ASA can & rsquo; t collegano direttamente a una nuvola oggetto un interruttore sintetico di transito deve essere aggiunto. A questo punto, la topologia dovrebbe essere simile a questo: Note0. Ethernet0 su ASA così come presentato dal GNS3 corrispondono a Mangement0 / 0 intf visto dall'interno del dispositivo. Nota 1. Per un aspetto migliore, cambiato il simbolo / nome host utilizzato per la rappresentazione cloud. Sul computer host avviare il demone TFTP preferito (per questo scopo io uso Tftpd32 da tftpd32.jounin. net. Configurare la directory daemon e l'interfaccia di ascolto, inoltre verificare ospitate firewall per consentire il protocollo TFTP. Avviare il dispositivo ASAV e aprire la console seriale. Configurare le impostazioni IP interfaccia, verificare la connettività e copiare l'immagine ASDM per ASAV memoria interna: Un processo di copia deve ora cominciare. Il progresso sembra essere meno rapida del previsto (nel mio caso un top è stato il 60kbps) che potrebbero essere causa di stato senza licenza di ASAV. In sostanza non è un grosso problema, basta aspettare 3-5 minuti per il completamento dell'operazione. Per la conferma fare un comando dir: Configurare ASAV per l'accesso ASDM Ora & rsquo; s il tempo per configurare ASAV per l'accesso ASDM. Eseguire i seguenti comandi: Le prime due linee di configurare l'autenticazione, in questo caso particolare rispetto al database utenti locale, secondo gruppo di due comandi abilitare HTTPS server e l'accesso da 192.168.49.0/24 rete tramite interfaccia Mgmt (Management0 / 0) un l'ultimo comando dire il firewall per usare immagine ASDM-752-153.bin per l'accesso ASDM. Avanti, passare al browser e provare ad aprire https per l'interfaccia di gestione https://192.168.49.100. Se tutto è ok, un errore di certificato di sicurezza dovrebbe apparire nel tuo browser, confermare l'eccezione del certificato di andare avanti. Si dovrebbe vedere una pagina come questa: Da questo punto si hanno due opzioni: (a) tramite Java Plugin o (b) tramite ASDM Launcher. La mia preferenza è quella di utilizzare il ASDM Launcher. Per prima cosa installare il ASDM Launcher & ndash; dopo fare clic su Installa ASDM Launcher e l'autenticazione con successo un file di installazione sarà reso disponibile per il download, seconda partenza ASDM Launcher (icona sul desktop dovrebbe essere già presente). Nella finestra di autenticazione ASDM Launcher, inserire l'indirizzo IP ASAV e le credenziali di autenticazione. Infine, dopo aver caricato la configurazione ASAV, applicazione ASDM dovrebbe iniziare: Recentemente sono andato attraverso una interessante esperienza di configurazione Cisco ASA in GNS3. Devo dire che è stata una vera sfida, ma alla fine, non è un compito impossibile. C'è un sacco di particolarità si deve prendere in considerazione, tutti a seconda dalla versione ASA a rilascio GNS3. In questo post, mi concentrerò su come configurare un firewall ASAV per l'esecuzione come un QEMU VM in new 1.4.x. Suite versione GNS3 Alla data in cui scriviamo sono stato in grado di accedere a immagine ASAV versione 9.5 (2.204) e la messa a punto GNS3 1.4.5. La suite 1.4.x di GNS3 è relativamente nuovo che appare nella scena, e come è tipico con le nuove versioni del software, sicuramente ci si attende di avere alcuni bug e / o incompatibilità. Che & rsquo; s il motivo per cui i miei primi tentativi sono stati fatti nel precedente suite di software di versione 1.3.x (in realtà 1.3.13 versione). E 'stato un modo sbagliato, perché come ho capito presto, per ASAV da configurare, una console VNC deve essere collegato, o in 1.3.13 I didn & rsquo; t trovato come fare (non è escluso che ho perso qualcosa). Di conseguenza, sono passato rapidamente al più recente GNS3 versione 1.4.5. Il testo che segue assume una nuova configurazione di GNS3 versione 1.4.5 senza ulteriori impostazioni, tranne forse solo per la posizione predefinita per il progetto e le immagini binarie cartella & ndash; Preferisco riconfigurare questi su C: \ GNS3 \ Progetti e rispettivamente C: \ GNS3 \ Immagini. Cisco ASA appliance virtuale (ASAV) Cisco ASAV è una versione ri-immaginato di Cisco ASA specificamente progettato per funzionare come una macchina virtuale sulla cima di alcuni hypervisor. Infatti, lo stesso codice ASA è in esecuzione, ma in diverso formato. Ci sono versioni per vSphere, Hyper-V e KVM. Solo perché GNS3 utilizzare QEMU come un emulatore di VM utilizzeremo l'immagine KVM di ASAV. Tra l'altro, ASAV è l'immagine uso di Cisco nella loro notevole laboratori virtuali VIRL. Non tutte le versioni ASA sono disponibili in un formato di VM - Suppongo che solo quelli che iniziano con 9.x, quindi se volete provare alcune versioni meno recenti, ad esempio popolare ASA 8.4 (2), sarà necessario provare un altro approccio (un nuovo articolo dedicato a questo tema dovrebbe venire). E & rsquo; s la pena notare che i ASAV hanno alcune limitazioni rispetto alla ASA classica, in particolare si wouldn & rsquo; t essere in grado di costruire cluster di firewall (failover o A / A), test a risposta multipla caratteristica modalità di contesto o giocare con Etherchannel. Per questo gli scenari, io uso un usualy 8.4 (2) installazione di ASA & ndash; che, per il modo in cui deve essere eseguito solo in QEMU 0.11.0, che a sua volta può & rsquo; t essere avviato in GNS 1.4.x, solo nel precedente 1.3.x. Suite Quindi, prima di iniziare abbiamo bisogno di ottenere un po 'l'immagine ASAV. Se siete abbastanza fortunati da avere accesso al download di Cisco (un contratto di servizio associato è necessaria tuo profilo) poi basta andare a cisco. com - Tutti i - Prodotti & ndash; Sicurezza & ndash; Firewall - Appliances Adaptive Security (ASA) - appliance Adaptive Security virtuale (ASAV) e scaricare l'immagine qcow2 (KVM) del ASAV per la versione preferita. Nel caso in cui non si ha accesso ai download ufficiali di Cisco, ma vi consiglio di provare una semplice ricerca su Internet, sono buone possibilità di trovare da qualche parte un immagine trapelata (quando arrivavano su alcune risorse Cina). Per essere onesti, posso & rsquo; t capire perché Cisco limitare download a questo tipo di software, in ogni caso, la prossima dopo l'installazione avrete bisogno di una chiave di licenza di andare oltre i limiti di stato senza licenza di apparecchio (limitazione larghezza di banda a 100kbps). Sarebbe bene se Cisco avrebbe permesso il download e l'uso gratuito di elettrodomestici in stato senza licenza, rispettivamente, per l'utilizzo di produzione di una licenza adeguata dovrebbe essere acquistato. Configurazione modello ASAV su GNS3 Una guida passo passo seguente: Inizia nuova procedura guidata Template QEMU VM con i seguenti parametri: Tipo: di default Nome: ASAV-8.5 (2.204) o di qualsiasi titolo significativo Qemu binario: qemu-system-x86_64w. exe (v2.4.0) RAM: 2048 MB Disk Image (HDA): C: \ GNS3 \ immagini \ QEMU \ asav952-204.qcow2 Nota: Vi consiglio di memorizzare le immagini originali del sistema operativo in altra cartella di quella utilizzata da GNS3 per la memorizzazione delle immagini. Quando si specifica un'immagine per essere utilizzato da GNS3 una copia di tale file originale sarà automaticamente copiato GNS3 binario posizione della cartella di immagini. Modifica modello QEMU appena creato: Impostazioni & ndash generali; Simbolo: /symbols/asa. svg Impostazioni & ndash generali; Categoria: Dispositivi di sicurezza Impostazioni & ndash generali; Console Tipo: VNC Note0: nel mio test, ho provato a cambiare CPU virtuali da 1 a 4, ma niente di più di 1514 Illegal Instruction (core dump) ... messaggio di errore ricevuto in ASAV, quindi don & rsquo; t toccare quel valore, ci sarà impostare il numero di CPU virtuali in altro posto per ASAV per essere una macchina virtuale SMP. Nota 1: Il passaggio della console per VNC un tipo di esso & rsquo; s come collegarsi direttamente con una tastiera e un monitor per la macchina virtuale. Configurazione iniziale ASAV don & rsquo; t permettono l'accesso alla porta console seriale così almeno in questa fase, l'unica opzione possibile è VNC. Don & rsquo; t dimenticare, l'ASAV è stato progettato per riprodurre in una VM con una console completa. Anche così, ci sarà configurare porta console seriale per ASAV pure. Network & ndash; Adattatori: 6x (tipo e1000 di default) Impostazioni avanzate & ndash; Impostazioni & ndash supplementare; Opzioni: - cpu Haswell - smp 4, prese = 4, nuclei = 1, fili = 1 Note0: Ho usato con successo questa stringa per tutta la mia CPU Intel. La microarchitettura (Haswell, Nehalem e così via) sembra non importa & ndash; ha funzionato con successo sulla generazione di CPU diversa senza problemi. Per le CPU AMD, comunità consiglia di utilizzare (haven & rsquo; t testato): - cpu Opteron_G5 - smp 4, prese = 4, nuclei = 1, fili = 1 Nota 1: l'opzione & rsquo predefinita; s valore: & ndash; nographic. dovrebbe essere eliminato. Questo sarà garanzia di una apertura console VNC automatica (per funzionamento non-linked modalità VM). (Opzionale) Attivare CPU throttling & ndash; Percentuale di CPU consentita: 80% Impostazioni avanzate & ndash; deselezionare: utilizzare come base collegata VM. Penso che fornire alcuni ingressi aggiuntivi circa l'impostazione di nome: usare come base collegata VM. Per impostazione predefinita, QEMU VM funziona come una macchina virtuale collegata che significa che ogni volta che si crea un nuovo QEMU VM (nel nostro caso ASAV) nel progetto, un disco virtuale collegato viene creato all'immagine qcow2 originale. Tutte le modifiche sono quindi registrati in quel nuovo file, ma ancora non modificato blocco vengono letti dal immagine originale. Grazie a questo, siamo in grado di creare centinaia di nuove macchine virtuali QEMU senza bisogno di clonare il disco virtuale (che & rsquo; s il simile alla tecnologia utilizzata in VDI). Dato che durante la vita di un ASAV VM, modifiche disco sono veramente molto pochi, risulta che il disco sovraccarico creato da ogni nuovo ASAV sono veramente trascurabile. Se si disattiva la modalità collegato VM (deselezionare il: usare come base collegata VM) il QEMU VM interagire direttamente con il disco qcow2 virtuale originale (tutte le scritture verranno registrati qui). Di conseguenza un singolo QEMU VM da questo modello può essere avviato (solo tenta di trascinare e rilasciare un secondo ASAV di spazio di lavoro e verrà visualizzato un messaggio di errore). Perché allora abbiamo volutamente disabilitato modalità VM di base legato? Prima di tutto, abbiamo bisogno di questo solo durante ASAV realizzazione del modello e dopo questo saremo tornare alla modalità collegata. Il nostro interesse è quello di fare una serie di modifiche alla configurazione (primo avvio, console seriale, ASDM immagine di upload) nel file immagine originale che vogliamo tenere a tutti i nuovi casi ASAV create da questo modello. Sicuramente, gli stessi risultati possono essere raggiunti rendendo il modello in modalità collegata (linked qcow2 disco virtuale) e poi commettere tutte le modifiche apportate all'immagine qcow2 originale tramite il tool qemu-img. exe, ma, penso che sia più difficile. Proprio la disattivazione e la successiva riattivazione del VM & rsquo; impostazioni della modalità S legate sembra essere molto più facile ... a voi la scelta. Per controllare il disco virtuale che viene montato su QEMU VM basta trascinare un nuovo ASAV a un progetto vuoto, fare clic destro dispositivo ASAV & ndash; e scegliere Mostra nel file manager. Una finestra di Explorer per qcow2 immagine si apre & ndash; con modalità collegata disabilitato questo sarebbe il asav952-204.qcow2 immagine modello si trova nella cartella di immagine binaria, mentre per la modalità collegata questo sarebbe un immagine qcow2 (da qualche parte nel progetto & rsquo; s cartella) legata all'originale modello - immagine disco virtuale di base. Inoltre, additionaly è possibile controllare quali immagini sono coinvolti tramite risorse di Windows Monitor & ndash qcow2; CPU & ndash; Maniglie associati & ndash; filtrare da stringa QEMU. Trascinare una nuova istanza di ASAV 9,5 (2.204) per lo spazio di lavoro su un progetto vuoto in GNS3. No topologia sono necessari per continuare, semplicemente unico dispositivo ASAV non collegati. dispositivo ASAV appena creata un'istanza Power-On (tasto destro del mouse - start) e subito aprire la console (tasto destro del mouse - console). Nel terminale di VNC aperto può Pe osservato un avanzamento del caricamento (Linux). Sulla fase di boot loader scegliere l'opzione: Bootflash: /asa952-204-smp-k8.bin senza carico di configurazione (in ogni caso nessuna configurazione esiste ancora). Nel frattempo, sarebbe interessante fare qualche analisi in Monitor risorse. In primo luogo, per confermare la natura SMP di iniziare sguardo QEMU VM al numero di thread / CPU associati con QEMU-sistema-x86_64w. exe di processo (CPU - Processes) & ndash; dovrebbe essere più di 4x filo / CPU in uso, e in secondo luogo, per confermare la modalità non-Linked di funzionamento per l'ASAV VM fare una ricerca in Associated Maniglie da una chiave qemu (CPU-Associated Maniglie) & ndash; in modalità non-Linked, la VM deve interagire direttamente l'immagine qcow2 originale: asav952-204.qcow2 (uno schermo è inserito sotto). Al prompt dei comandi il numero di vCPU può essere controllato dal commmad spettacolo utilizzo della CPU: ciscoasa # sh utilizzo della CPU utilizzo della CPU per 5 secondi = 1%; A 1 minuto: 1%; 5 minuti: 0% piattaforma virtuale risorse della CPU ------------------------------ Numero di CPU virtuali. 4 Numero di CPU virtuali consentite. 0 vCPU Stato. Non conforme: Over-provisioning Se si traccia con attenzione i progressi boot vedrete che l'apparecchio si scopre che inizia per la prima volta (avvio iniziale rilevata ...) e per le variabili di sistema da applicare un riavvio automatico verrà. Quindi prima volta avvio finirà con un riavvio automatico. Al secondo avvio, scegliere anche l'opzione senza carico di configurazione nella finestra di dialogo Bootloader. Primo e secondo tempo di avvio potrebbe richiedere un certo tempo per progredire in modo da essere paziente e attendere per completare & ndash; A volte può sembrare che l'apparecchio appeso, cercate di attendere alcuni minuti prima di fare un forzato lo spegnimento. Se tutto va liscio, dopo il secondo avvio, si dovrebbe raggiungere la tradizionale linea di comando suggeritore Cisco (password vuota per la modalità privilegiata). In questa fase, potremo consentire la console seriale per l'apparecchio. Per impostazione predefinita, l'ASAV funziona solo con la console tradizionale VM (monitor / tastiera collegata direttamente al hardware x86) e ulteriori passi necessari per consentire console tramite le porte seriali. Ulteriori informazioni che potete leggere qui ASAV Guida rapida, 9.5. sezione Configurare una porta seriale della console di rete. Per console seriale di essere in un file chiamato use_ttyS0 dovrebbe esistere in radice di disk0. E 'doesn & rsquo; t importa il contenuto, solo per essere presenti. La modalità più semplice per creare un file è quello di fare una copia di un file & ndash esistente; la documentazione suggerisce per clonare da file coredump. cfg, come illustrato di seguito: ciscoasa (config) # cd coredumpinfo ciscoasa (config) # copia disk0 coredump. cfg: / use_ttyS0 In teoria, qui, possiamo fare anche alcune configurazioni aggiuntive, uno che vogliamo tenere a tutte le istanze ASAV derivati ​​da questo modello. Ad esempio, siamo in grado di copiare qui l'immagine ASDM disk0 di non essere disturbato con che in futuro. In ogni caso, io saltare questo passaggio. Ricarica de apparecchio (tipo di ricarica in modalità privilegiata). Vedrete che il prompt dei comandi can & rsquo; t più accedere tramite console di VNC. Voglio dire, si aprirà la console, ma, ad un certo momento l'interazione sarà passaggio di consegne alla console seriale e non più attività in corso per essere possibile da VNC. L'ultimo messaggio registrato nel VNC di confermare che: Lina utilizzare la porta seriale / dev / ttyS0 per console IO. Ora, dopo tutte le modifiche all'immagine ASAV, siamo in grado di cambiare il modello di nuovo al suo modo originale Collegato di funzionamento. Inoltre, ci sarà cambiare le impostazioni della console di tipo telnet. Fare le modifiche di configurazione in impostazioni del modello, non nel caso ASAV. Il dispositivo ASAV dal nostro progetto temporaneo può essere rimosso sicurezza, ha già fatto il suo lavoro. L'utilizzo del modello appena creato ASAV Per utilizzare il modello ASAV appena creato, basta trascinare l'icona del modello per l'area di lavoro, fare le vostre connessioni e di accensione del dispositivo. È possibile utilizzare più dispositivi ASAV esecuzione simultanea senza alcun problema, sul mio PC (CPU i7-4970s with12GB RAM) ho eseguito cinque istanze simultanee, iniziato tutto ok e divenne utilizzabile a breve (meno di 1 minuto). Solo perché noi don & rsquo; t menzionano & ndash; nographic nel modello & rsquo; s Impostazioni avanzate & ndash; Impostazioni aggiuntive console VNC si aprirà automaticamente ogni volta che si avvia il dispositivo. Se si chiude la finestra, l'apparecchio si spegnimento automatico. Il VNC console don & rsquo; t interferiscono con console seriale, che è possibile aprire tramite il menu contestuale. Se si aggiunge l'opzione - nographic, la VM si avvierà in silenzio, senza una console VNC. Comunque, la mia preferenza è necessario lasciare la console VNC per aprire automaticamente, almeno per il accattonaggio, solo per avere una visibilità addizionale del processo. Dopo aver caricato il dispositivo ASAV, verrà periodicamente resi noti da un messaggio di avviso di licenza mancante: Attenzione: stato ASAV licenza piattaforma è Unlicensed & hellip; E 'perché l'apparecchio don & rsquo; t hanno una chiave di licenza applicato e funziona in stato privo di licenza. Come accennato in precedenza, per scenari di laboratorio e di test, uno stato senza licenza sono più che sufficienti. In questo stato, si ottengono tutte le caratteristiche ASAV, ma allo stesso tempo essere limitato all'interfaccia 100 Kbps di larghezza di banda. E 'interessante vedere quali file dischi virtuali sono coinvolti per un dispositivo ASAV iniziato dal nostro modello completato. Beacause il modello è stato configurato come modalità collegata VM, un disco virtuale collegata più il disco di base dovrebbe essere utilizzato, un fatto confirmet dallo schermo di seguito: Per completare la storia, Bellow mi insterted uno screencast per il processo sopra descritto (youtube link). Godere. tag




Posted by at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)