Доброго времени суток!!!
Как то понадобилось потренироваться с cisco ASA. Посмотрел, что в GNS3, вроде как, есть такое устройство. Думал его добавить, запустить… Но, не все так просто, как оказалось :).
Кому интересно, добро пожаловать под кат…
С самого начала я начал искать информацию по этому вопросу в интернете. Она есть, но, в основном, на английском языке. Вот я и решил сделать ее доступной и на нашем родном русском языке :).
Как добавлять PIX Firewall, можно посмотреть в этом посте. Добавление этого устройства аналогично добавлению любого роутера, главное указать, какой IOS подгружать в настройках GNS3.
Итак, перейдем к добавлению cisco ASA.
Сразу скажу, что для запуска ASA нам потребуется два файла (в отличие от PIX Firewall). Эмулировать мы будем ASA 802. Нам понадобятся следующие файлы:
- asa802-k8.initrd.gz;
- asa802-k8.kernel.
Итак, запускаем наш GNS3. Переходим на вкладку Edit --> Preferences --> Qemu --> ASA. В итоге, у вас должно открыться вот такое окно:
- 1 – здесь пишем название нашего устройства;
- 2 – прописываем путь к первому файлу asa802-k8.initrd.gz;
- 3 – прописываем путь ко второму файлу asa802-k8.kernel.
Теперь, давайте создадим новый проект. Перезапускаем GNS3, создаем новый проект и добавляем наше устройство:
Запускаем устройство (правой клавишей «Start»). Появится вот такое первое окно:
Не закрывайте его на протяжении вашей работы с устройством. Затем снова нажимаем правой клавишей на устройстве и выбираем пункт «Console». Появится второе окно:
Нажимаем «Enter» и у вас должен появиться значок «#» (как на рисунке). Далее набираем следующие команды:
- # cd /mnt/disk0
- # /mnt/disk0/lina_monitor
Все, теперь можно заходить непосредственно на наше устройство и настраивать его на свое усмотрение :). Но после настроек, понадобится сохранить конфигурацию. Делается это с помощью команды:
- copy run disk0:/.private/startup-config
- ciscoasa> en
- Password: - пароль по умолчанию пустой
- ciscoasa# dir
- Directory of disk0:/
- 6 drwx 4096 11:14:33 Jun 14 2011 .private
- 255320064 bytes total (229826560 bytes free)
- ciscoasa# format flash
- WARNING: Saving activation key file failed. Proceed with operation? [confirm]
- Format operation may take a while. Continue? [confirm]
- Format operation will destroy all data in "flash:". Continue? [confirm]
- Initializing partition - done!
- mkdosfs: /dev/hda1 contains a mounted file system.
- System tables written to disk
- mount: Mounting /dev/hda1 on /mnt/disk0 failed: Device or resource busy
- Format of disk0 complete
- WARNING: Restoring security context mode failed.
- ciscoasa#
Чтобы проверить сохраняется ли конфигурация на нашем устройстве, давайте на него зайдем и что-нибудь изменим, а затем сохраним:
- ciscoasa> en
- Password:
- ciscoasa# conf t
- ciscoasa(config)# hostname ASA
- ASA(config)# exit
- ASA# copy running-config disk0:/.private/startup-config
- Source filename [running-config]?
- Destination filename [/.private/startup-config]?
- Cryptochecksum: d847d487 be2324f6 5058c694 ec96aba7
- 1466 bytes copied in 2.300 secs (733 bytes/sec)open(ffsdev/2/write/41) failed
- open(ffsdev/2/write/40) failed
- ASA#
- 1 – наш файл конфигурации.
Теперь чтобы проверить, давайте остановим наше устройство, сохраним наш проект (не забывайте это делать периодически во время настроек тоже), выйдем из GNS3. Затем, проделаем это все в обратном порядке :) (запускаем GNS3, открываем наш проект, запускаем ASA) и проверим сохранность наших настроек:
Все получилось. Наши настройки сохранились. Поздравляю вас!!!
Теперь вы имеете практически полный функционал cisco ASA на своем компьютере. Пользуйтесь на здоровье :).
На этом я хочу закончить этот пост. Надеюсь, он был полезным, любопытным и интересным для вас :). Написан он по мотивам вот этих источников:
Жду вас в следующих постах!!! Если возникли вопросы или комментарии, то смело пишите!!! С радостью отвечу!!!!
С уважением, Ant0ni0n.
Спасибо за интересную статью, очень помогла. Теперь можно и дома практиковаться в настройке cisco ASA.
ОтветитьУдалитьА можно каким-либо образом скрестить GNS3 с поднятым оборудованием cisco с виртуальной машиной windows server?
ОтветитьУдалитьСпасибо за теплый отзыв. Да, это возможно. Я делал связь между оборудованием, поднятым в GNS3, и доменным контролером на windows server 2003, сервером сертификатов, Cacti (на Ubuntu) и другими серверами. В дальнейших постах, я опишу все это дело :)
ОтветитьУдалитьСоздаешь на хосте две виртуальные сетевые карты. Создаешь в GNS3 "облако", которое цепляешь к первой виртуальной сетевой карте хоста. Ко второй сетевой карте хоста цепляешь виртуальную машину. На хосте включаешь маршрутизацию. Теперь твоя виртуальная машина видит сетевую карту подключенную к эмулируемому в GNS3 оборудованию.
УдалитьОгроменное спасибо! На днях на новой работе столкнулся с тем, что почти во всех энтерпрайзах стоят АСЫ порой даже вместо рутеров, и понял, что мой R&S CCNP, DP.. в топку пойти может. Как бы теперь прошариться по ним за 4 дня и начать конфигурить по-полной!?
ОтветитьУдалитьСпасибо за теплый отзыв!!! Буду стараться и дальше :) А в чем надо прошариться, может смогу чем помочь?
ОтветитьУдалитьВ NAT, фильтрации пакетов (полагаю средствами ACL), active/standby redundancy, site-to-site ipsec vpn. Начал смотреть видосы по SNAF. Концепция АСЫ очень нова для меня, я понимаю, конечно, что есть inside/outside/DMZ, но это вот как-то не так как на рутерах, не просто подсетки, и как все эти зоны взаимодействуют, да и синтаксис отличается, даже для static NAT %/
ОтветитьУдалитьНу там не так все сложно, особенно если есть навыки в настройке оборудования cisco. Я могу это написать в следующих постах, но если нет времени, то можешь прислать конкретное задание мне на мыло, посмотрим чем я смогу помочь. Почта: anton.sheshko@gmail.com
ОтветитьУдалитьили можно прописать алиас
ОтветитьУдалитьcommand-alias exec wr copy running-config disk0:/.private/startup-config
Спасибо за комментарий!!! Очень полезное дополнение!!!
ОтветитьУдалитьСпасибо за статью !!! Очень полезно. Давно пользуюсь GNS3, но как-то до симуляции ASA'ы руки не доходили.
ОтветитьУдалитьВсё же возникла проблема: Когда делаю схему с одной ASA, то всё работает прекрасно. Когда делаю схему с двумя ASA - Active/Standby, то через некоторое время после синхронизации устройств qemu.exe выдает ошибку :)
Кратко: Windows XP SP3 32-bit, GNS3-0.7.4-win32-all-in-one.exe
Спасибо за отзыв!!! Буду стараться и дальше.
ОтветитьУдалитьПо вашему вопросу хотел бы узнать несколько нюансов:
- можно ли увидеть ошибку, которая возникает у вас;
- вы настраивали failover на ASA-ах по моему посту http://go-to-easyit.blogspot.com/2011/08/failover-cisco-pixasa.html?
Жду ответа, можно писать мне на почту, если там много информации.
С уважением, Ant0ni0n
Просто я не собирал failover Active/Standby именно на ASA в GNS3. Я сделал это на PIX-ах 525 с IOS pix723.bin.
ОтветитьУдалитьНо я могу попробовать соединить две ASA у себя на windows 7 64-bit. Потом напишу что получилось..
В общем жду ответа :)
С уважением, Ant0ni0n
сделал по инструкции, аса поднялась, но не могу пропинговать хост, подключенный через виртуальный коммутатор. на хосте запускал tcpdump - полная тишина :(
ОтветитьУдалитьДобрый день!!! Попробуйте посмотреть мой пост о запуске ASDM для ASA, там я описывал подключение хоста к устройству.
ОтветитьУдалитьЕсли не поможет, то поясните пожалуйста:
1. Как подключается хост (через loopback, через VMWare network adapter или вы используете встроенный QemuHost)?
2. Можете ли вы мне сбросить на почту схему вашей сети (или скрин), чтобы было более понятно?
С уважением, Ant0ni0n
>>Ant0ni0n
ОтветитьУдалитьПопробовал в вм-ке с виндой - работает нормально, а вот на хостовой машинке - не работает.
проблема где-то с кему, т.к. если подключить сетевой интерфейс с тому-же свичу - то аса не стартует, после старта подключить линк получается, но он тогда не работает...
ладно, буду изучать в по-поводу gns3 и qemu в линуксе
спс за статью, помогла, но вот незадача, если включена одна asa - все норм. работает, но стоит включить вторую, появляется на мгновение консоль и тухнет, т.е. больше одной asa одновременно работающей не получается запустить...сталкивались ли вы с такой проблемой?
ОтветитьУдалитьДоброго времени суток!!!
ОтветитьУдалитьСпасибо за положительный отзыв :). С вашей проблемой не сталкивался. Только что сам проверил добавление еще одной ASA, при уже работающей. Все нормально прошло.
А у вас появляется и гаснет именно консоль (программа pytty) или окно QEMU, которое появляется при запуске устройства ("Start")?
И какая у вас windows? Может у вас надо запускать программу от имени администратора (уже была одна проблемка у кого то, он решил ее путем запуска программы от имени администратора)...
Поищу в интернете, может кто сталкивался с такой проблемой, если что найду, обязательно напишу.
С уважением, Ant0ni0n
Здравствуйте!
ОтветитьУдалитьПомогите мне пожалуйста, уже и не знаю что делать, опускаются руки. :( Все делаю по вашей инструкции, АСАшка запустилась нормально.
Начинаю рисовать топологию, ставлю дополнительный роутер, подрубаю его к АСА, прописываю айпишники, но пинга между ними нет и все. Уже инет весь перерыл, на буржуйских форумах полазил, не могу найти инфу и все тут. Так же добавлял разрешающие всё аксесс листы, не помогает - АСА рисует вот такую картину:
ciscoasa(config)# ping 192.168.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)
Так с любым хостом, будь то виртуальный роутер, виртуальный хост или же мой комп.
Этот комментарий был удален автором.
ОтветитьУдалитьДобрый день!
ОтветитьУдалитьА не подскажите, в чём может быть дело.
После старта устройства пишет: Ok, booting the kernal.
Но когда открывается консоль в ней ничего не отображается.
Добрый день!!!!
ОтветитьУдалитьДа, такая проблема иногда возникает...
Посмотрите в глобальных настройках Qemu (Edit--Preferences--Qemu--General Settings) параметр "IP/host binding". Он должен иметь значение 127.0.0.1, а не localhost.
С уважением, Ant0ni0n
Слушай, спасибо большое, за то что тратишь время и помогаешь!
ОтветитьУдалитьНо чего-то не принесло результата..
Поменял с localhost на 127.0.0.1.
Теперь на секунду консоль появляется и закрывается.
П.С.Роутеры Cisco работают исправно через консоль.
Juniper через Qemu запускается. Но не через консоль, а после запуска вываливается окно, которое долго грузится, но потом выдаёт приветствие, и внём нельзя ни копировать, ни пользоваться мышкой.
Пожалуйста :) Почему бы и не помочь, если есть время :)
ОтветитьУдалитьМожешь еще попробовать поиграться с портами (на той же закладке). Вполне возможно, что консоль пытается открыться на порту, который занят сторонним процессом каким... Поставь там другой порт и может заработает тогда...
С уважением, Ant0ni0n
Добрый день. А можно ссылочки на файлы обновить, ато не получается скачать. Спасибо))
ОтветитьУдалитьДобрый день!!!
УдалитьТам у меня ссылка на блог, где я их брал. Может там они уже и не доступны. Попробуйте вот тут: http://www.box.com/s/12nsfgme34m7v7h3e554
С уважением, Ant0ni0n
Спасибо!!!
ОтветитьУдалитьСпасибки!
ОтветитьУдалитьСпасибо!!!
ОтветитьУдалитьДобрый день. У меня проблемка )) я еще новичок в этом деле, но мне очень интересно...
ОтветитьУдалитьASA# copy running-config disk0:/.private/startup-config
Source filename [running-config]? y
Destination filename [/.private/startup-config]? y
%Error opening system:y (No such file or directory)
Как я понял такой директории или файла не сушествует? Как мне исправить ситуацию?
Добрый вечер!
УдалитьА что за "y" вы ставите после вопросов? Там ничего писать не надо. Как только вы там что-нибудь написали, то устройство думает, что это название файла и соответственно ничего не находит :)
Просто нажимайте все время ввод и все должно получиться. Если что еще потребуется, пишите мне на почту или в скайп (контакты есть). Думаю, договоримся :)
Please press Enter to activate this console.
ОтветитьУдалить# cd/mnt/disk0
-ash: cd/mnt/disk0: not found
А по-подробнее пожалуйста, как то не совсем понял :)
УдалитьВидимо пропущен пробел после cd.
УдалитьДоброго времени суток.
ОтветитьУдалить> Запускаем устройство (правой клавишей «Start»). Появится вот такое первое окно:
У меня никакого окна не появляется, ошибок тоже нет. Индикатор устройства загорается зеленым (запустился, значит), но при открытии консоли — то же самое, то есть ничего не происходит. В чем может быть проблема? Спасибо.
Здравствуйте,спасибо вам за статью. А вы автор в какой версии gns3 делали это задание. У меня тоже не запускается, вернее запускается окно Putty... но дальше пустой черный экран.
ОтветитьУдалитьДобрый день!!!
УдалитьНа тот момент я делал это все в GNS3 версии 0.7.4. Но при переходе на более новую версию (0.8.2), а теперь и на самую последнюю (0.8.3.1) все работает стабильно и нормально запускается. Даже несколько ASA одновременно.
А ошибок тоже не выдает никаких? Проверьте свой фаервол на компе, антивирус и запустите GNS3 от имени администратора.
Всё отлично. Только надо прошивки для ASA менять на более современные ,по возможности )))
ОтветитьУдалитьпомогите с настройкой.
ОтветитьУдалитьВсе перепробовал, но нет пинга между asa и машиной, все делал как в инструкции.
Здравствуйте,возникла проблема ,аса добавляю,все настройки выставил как у вас,но сама АСА правой кнопкой не запускается,а если на панели нажать старт то вылетает ошибка asa: error from server 127.0.0.1:10525:209-unable to start instans 'asa'
ОтветитьУдалитьДобрый день!
УдалитьА можете сбросить мне на почту скриншот ваших настроек GNS3 в разделе QEMU/ASA? И еще, откуда вы скачивали файлы ios для ASA?
Так же проверьте не блокирует ли программу GNS3 ваш фаервол или антивирус на компьютере.
Добрый день столкнулся с такой проблемой, сначала терминал ничего не показывал. Потом скачал другие asa802-k8.initrd.gz и
ОтветитьУдалитьasa802-k8.kernel теперь в терминале выдает ошибку:
ide0 at 0x1f0-0x1f7,0x3f6 on irq 14
hda: max request size: 512KiB
hda: 524288 sectors (268 MB) w/256KiB Cache, CHS=980/16/32
hda: cache flushes supported
hda: unknown partition table
TCP bic registered
NET: Registered protocol family 1
NET: Registered protocol family 17
Using IPI Shortcut mode
Freeing unused kernel memory: 116k freed
Failed to execute /init
Kernel panic - not syncing: No init found. Try passing init= option to kernel.
При запуске никаких ошибок нету. Пробовал:
- менять консольные порты, менял:
- в глобальных настройках Qemu (Edit--Preferences--Qemu--General Settings) параметр "IP/host binding". значение localhost, потом 127.0.0.1.
- скачивал другие образы asa802-k8.initrd.gz и
asa802-k8.kernel, никаких результатов.
Спасибо огромное за ваши посты и помощь наченающему it-шнику)
Добрый день!
УдалитьТак и не скажешь сразу. Вы скачивали файлы по моим ссылкам?
Проверьте еще свой антивирус и фаервол на компьютере, лучше их выключите и проверьте (какая кстати у вас ОС?).
Еще можете мне прислать на почту скриншоты и настроек GNS3, касающиеся ASA?
Добрый день.
ОтветитьУдалитьПервым делом стараюсь сделать все с помощью Ваших вайлов, ну а если не проканало то потом что нить придумываю)
Кстати, если повторно запускать терминал, то просто появляется черное окошко.
Антивирус не установлен, фаервол отключен, ОС W7, версия GNS3 0.8.3.
Высылаю Вам фотки. Спасибо за помощь, а то уже думал придется пропускать уроки по ASA.
Спасибо большое за инструкцию. Очень помогло.
ОтветитьУдалитьЗдравствуйте. Очень помогла ваша статья. Всё получилось. Спасибо.
ОтветитьУдалитьЧуть позже или задам вопрос или поделюсь опытом)
Здравствуйте.
ОтветитьУдалитьНапишите пожалуйста статью по запуску PIX в GNS3. Пусть его и заменила ASA, но интересно попробовать, как это было до неё ;)
PS>не получается запустить PIX525, постоянно выдает ошибку 209.
фуфлянские образы
ОтветитьУдалитьхорош тут хвалить
на образах аса ничерта не работает
достали пустозвоны !