Поиск...

четверг, 16 июня 2011 г.

Подключение и настройка ASDM на cisco ASA в GNS3

Доброго времени суток!!!


В прошлом посте мы установили и настроили cisco ASA 5520 в GNS3. Сегодня я предлагаю подключить и настроить ASDM для этой модели. Конечно, опытным людям он может и не понадобиться, но это удобный инструмент, с помощью которого можно сделать очень много разных настроек. Ну а если потребуются более «тонкие» настройки, тогда можно и перейти ко всеми любимой консоли :).
Приглашаю всех под кат…


Для начала, вам необходимо получить этот самый ASDM (в нашем случае я буду использовать asdm-625). Скачать его можно в интернете. Вот вам google в помощь :). Елсли вы раздобыли ASDM 5-ой версии и он у вас не запустился на вашей windows, то поставьте себе 5-ую версию Java. (спасибо Buzy за информацию).
Для реализации наших планов я буду использовать следующую схему:



На схеме видно, что cisco ASA подключена к облаку через свитч (SW1). Это специфика подключения PIX и ASA в GNS3. Напрямую, как роутеры, у вас не получится подключиться к облаку, которое, в свою очередь, подключено на VMWare Network Adapter VMnet1.
Как настраивать подключение GNS3 к реальному компьютеру или сети (подключение к VMWare Workstation осуществляется так же, только надо выбрать не loopback – интерфейс в настройках облака, а VMWare Network Adapter VMnet1) можно посмотреть тут.
Как вы уже поняли, в качестве рабочего места администратора :) я буду использовать виртуальную машину с windows XP.
Приступаем к работе :).
Настроим наше устройство (cisco ASA). Запускаем его и заходим по консоли. Конфигурация следующая:
  • ciscoasa> en
  • Password:
  • ciscoasa# conf t
  • ciscoasa(config)# hostname ASA – задаем название устройству;
  • ASA(config)# enable password cisco – ставим пароль на enable;
  • ASA(config)# username admin password ciscocisco privilege 15 – создаем локальную учетную запись администратора с полными правами (понадобится при подключении через ASDM);
  • ASA(config)# int ethernet 0/0
  • ASA(config-if)# nameif inside – называем интерфейс;
    INFO: Security level for "inside" set to 100 by default.
  • ASA(config-if)# ip address 192.168.1.254 255.255.255.0 – назначаем ему IP – адрес;
  • ASA(config-if)# no shutdown
  • ASA(config-if)# exit
  • ASA(config)# http server enable – включаем HTTPS сервер (именно HTTPS, слушается порт 443);
  • ASA(config)# http 192.168.1.0 255.255.255.0 inside – прописываем, кому можно ходить на hhtps;
  • ASA(config)# access-list ADMIN extended permit ip 192.168.1.0 255.255.255.0 any – создаем список доступа (специфика устройств безопасности);
  • ASA(config)# access-group ADMIN in interface inside – применяем список доступа на In интерфейса inside;
  • ASA(config)# copy run disk0:/.private/startup-config – сохраняем настройки;
Если у вас не запустились стандартные политики безопасности на устройстве, то следующие команды помогут вам это сделать вручную (сделаем это для полноты картины :)):
  • ASA(config)# class-map inspection_default
  • ASA(config-cmap)# match default-inspection-traffic
  • ASA(config-cmap)# policy-map type inspect dns preset_dns_map
  • ASA(config-pmap)# parameters
  • ASA(config-pmap-p)# message-length maximum 512
  • ASA(config-pmap-p)# policy-map global_policy
  • ASA(config-pmap)# class inspection_default
  • ASA(config-pmap-c)# inspect dns preset_dns_map
  • ASA(config-pmap-c)# inspect ftp
  • ASA(config-pmap-c)# inspect h323 h225
  • ASA(config-pmap-c)# inspect h323 ras
  • ASA(config-pmap-c)# inspect rsh
  • ASA(config-pmap-c)# inspect rtsp
  • ASA(config-pmap-c)# inspect esmtp
  • ASA(config-pmap-c)# inspect sqlnet
  • ASA(config-pmap-c)# inspect skinny
  • ASA(config-pmap-c)# inspect sunrpc
  • ASA(config-pmap-c)# inspect xdmcp
  • ASA(config-pmap-c)# inspect sip
  • ASA(config-pmap-c)# inspect netbios
  • ASA(config-pmap-c)# inspect tftp
  • ASA(config-pmap-c)# service-policy global_policy global
  • ASA(config)#
Теперь давайте проверим сетевую доступность всех наших устройств:


  • 1 – IP–адрес VMWare Network Adapter VMnet1 на локальной (физической) машине;
  • 2 – IP–адрес виртуальной машины в VMWare Workstation.
Видно, что связь присутствует. На этом, необходимые настройки на cisco ASA мы сделали. Теперь нам надо положить на устройство ASDM, скачанный ранее. Для этого будем использовать любой tftp – server.
Я буду использовать 3CDaemon (старенький, но какой есть :)). Запускаем его на виртуальной машине, настраиваем ему рабочую папку:



Теперь кладем в рабочую папку наш ASDM и запускаем tftp – сервер.
Возвращаемся на cisco ASA и скачиваем с tftp – сервера файл во flash. Для этого выполняем команду
  • ASA(config)# copy tftp: flash:

  • 1 – IP–адрес tftp-сервера (находится на виртуальной машине);
  • 2 – название файла ASDM на tftp-сервере;
  • 3 – название файла ASDM во flash cisco ASA;
Проверим наличие файла во flash устройства и посмотрим, чтобы файл ASDM был подключен:




Все готово. Теперь перейдем на нашу виртуальную машину и попробуем запустить наш ASDM. Запускаем браузер и вводим адрес устройства (https://192.168.1.254). Должно открыться окно с предупреждением безопасности о недоверенном соединении.



Со всем соглашаемся (устанавливаем (получаем) сертификат и добавляем источник в исключения). Нажимаем на «Подтвердить исключение безопасности» и у вас откроется следующее окно:



Нажимаем «Run ASDM». У вас появится уведомление, что сейчас будет открыт Java файл.



Нажимаем «OK». Если у вас вдруг не запустилось, то проверьте настройки Java у вас на виртуальной машине. Вполне возможно, что она устарела или не установлена вообще. Тогда надо либо установить новую, либо обновить имеющуюся. У меня установлена Java 6.
Если с Java все в порядке, то у вас должно появиться следующее окно:



Отмечаем пункт «Always trust content from this publisher» и нажимаем «Yes». Откроется следующее окно:



Здесь вводим наш username и password, которые мы настроили ранее на устройстве. Нажимаем «OK» и ВУАЛЯ!!!!



Наш ASDM заработал!!!!! Поздравляю вас!!!!
Пользуйтесь на здоровье!!!!

На этом я хочу закончить этот пост. Надеюсь, он был полезным, любопытным и интересным для вас :).

Жду вас в следующих постах!!! Если возникли вопросы или комментарии, то смело пишите!!! С радостью отвечу!!!!


С уважением, Ant0ni0n.

24 комментария:

  1. Анонимный10 июля 2011 г., 12:32

    Очень Великолепные статьи! Большое Вам спасибо, теперь Packet Tracer для детей)))) в песочнице

    ОтветитьУдалить
  2. Спасибо за теплый отзыв, буду стараться и дальше :)

    ОтветитьУдалить
  3. Добавьте как дополнительную информацию - что если ASDM 5 версии не запускается, что бы поставили 5ую Яву. Я пробовал на Win2k8, 7, XP - не работает и все. Пока не поставил 5ую яву.

    ОтветитьУдалить
  4. Спасибо за информацию, добавил в тело поста :).

    ОтветитьУдалить
  5. Спасибо за отличные статьи!!!!

    ОтветитьУдалить
    Ответы
    1. Пожалуйста, пользуйтесь на здоровье!!! :)
      Заходите еще!!!

      Удалить
  6. Спасибо за хорошую статью! У меня вопрос, можно ли настроить доступ для asa из gns3 к физической среде , через loopback adapter (схема примерно, такая ASA => SWITCH => CLOUD (loopback) ) ? Тем самым , я бы получил доступ к физ. среде.

    ОтветитьУдалить
    Ответы
    1. Пожалуйста!!!
      Заходите еще!!!
      Да, такую схему можно реализовать. Принцип тот же, что и в посте. Только вместо VMware Net adapter настройте облако использовать заранее созданный loopback на вашем физ компьютере (убедитесь, что loopback интерфейс был в "UP", тогда он будет виден в списке настроек облака). Назначаете ему IP-адрес из сети с интерфейсом ASA и все готово :)

      С уважением, Ant0ni0n

      Удалить
  7. Спасибо, за статью. Очень помогает в изучении cisco. Я бы даже рекомендовал заняться продажей этих статей или написании книги. Каждый труд должен оплачиваться. Лично я бы купил.

    ОтветитьУдалить
    Ответы
    1. Спасибо за отзыв!!! Заходите еще!!!
      Насчет издания пособия я уже задумываюсь конечно :), но пока только личные благодарности от поситителей. Как говориться, рекламные блоки есть, номера кошельков тоже :) Так что кто хочет, может поблагодарить.

      Удалить
  8. Добрый вечер. Не подскажите в чем может быть проблема...
    запускаю cisco asa, все прекрасно работает, однако при просмотри свободной памяти получается следующее

    ciscoasa# show mem
    Free memory: 5372552 bytes ( 4%)
    Used memory: 128845176 bytes (96%)
    ------------- ----------------
    Total memory: 134217728 bytes (100%)

    ciscoasa# show flash:
    --#-- --length-- -----date/time------ path
    487 0 Apr 01 2012 17:07:10 .private
    497 0 Apr 01 2012 17:07:10 .private/DATAFILE
    496 0 Apr 01 2012 17:07:09 .private/mode.dat

    0 bytes total (0 bytes free)

    соответственно я ни то что не могу закачать asdm, я даже конфиг не могу сохранить, т.к. пишет что недостаточно памяти
    %Error copying system:/running-config (Not enough space on device)

    заранее благодарен за ответы

    ОтветитьУдалить
  9. От себя могу добавить: НИКОГДА НЕ НАЖИМАЙТЕ КНОПКУ SAVE В ASDM!!! А если нечаянно нажали, то быстро бегите в консоль и либо copy run disk0:/.private/startup-config либо wr (если у вас настроен command alias). А то будет вам сюрприз при следующей загрузке ASA.

    ОтветитьУдалить
  10. Этот комментарий был удален автором.

    ОтветитьУдалить
    Ответы
    1. Добрый день!
      А какой tftp вы используете? Проверьте, лежит ли файл asdm именно в рабочей папке tftp.
      Если все нормально, то проверьте, может блокирует access-list на asa, если он есть.

      Удалить
    2. спасибо за ответ. ниже дописал, что все запустилось только после установки WM.

      Удалить
  11. Привет.
    Пытался все запустить по статье, но без использования WMware. подключался напрямую к физ. машине с windows 7.
    В итоге ASA не смог подключиться к tftp серверу и что либо с него скачать. хотя пинги в обе стороны проходили.
    Пришлось ставить WM с windows XP. все запустилось.
    С чем это может быть связано?

    ОтветитьУдалить
  12. Анонимный18 июля 2013 г., 15:37

    Здравствуйте, Антон.
    Вы писали: "Со всем соглашаемся (устанавливаем (получаем) сертификат и добавляем источник в исключения). Нажимаем на «Подтвердить исключение безопасности» и у вас откроется следующее окно:"

    У меня окно запуска (Run ASDM) не запускается, а появляется сразу форма для ввода логин/пароля. После ввода (admin/ciscocisco) отображается страница:
    404 Not Found
    The requested URL https://192.168.1.254/admin/index.html was not found...
    Конфигурация и файл образа такие же как в статье. Пробовал на java 5, 6 и 7. Правда запускал я все это на PIX (pix724.bin). Я так понимая, в java затык? Спасибо заранее!

    ОтветитьУдалить
    Ответы
    1. Добрый день!!!
      Да, интересно, думаю дело все-таки в Java. А какая операционная система у вас на компьютере и каким браузером вы открывали ASDM?
      Добавляли ли вы сайт в исключения безопасности. И пришлите мне на почту sh run с PIX. И еще, какая у вас версия ASDM?

      Удалить
    2. Анонимный19 июля 2013 г., 08:34

      Спасибо за внимание.
      Использовал win2003 и winXP(sp2) из Virtual Box (Браузеры: firefox 21 и ie 6). Все исключения добавил согласно статье. ASDM, судя по бинарнику (asdm-625.bin), версии 6.2.5.
      Конфиг выслал.

      Удалить
  13. Анонимный23 июля 2013 г., 16:52

    По поводу комментария выше.
    Попробовал те же настройки и конфигурации (ОС, браузеры, ява) c ASA вместо PIX и все заработало нормально. То бишь, косяк именно в PIX.
    Хотя в данном посте:
    http://www.go-to-easyit.com/2011/08/remote-access-vpn-pix-cisco-vpn-client.html
    говорится что настройки ASA применимы для PIX, может быть есть какие-либо ньюансы?

    ps. Да, в экспериментах с PIX пробовал разные версии ASDM (asdm-625, 625-53, 631), с тем же результатом (The requested URL admin/index.html was not found...)

    ОтветитьУдалить
  14. Добро утро
    Опыта в юникси циско по нулям
    Приобрел на фирму cisco asa5512-x
    Установил в стойку
    -Подключился по Management PC. Cisco дала компьютеру ip. Сама циска тоже пингуется. Далее открываю как в мануале https://192.168.1.1/admin но реакции никакой. Лезу в инет, нахожу ролик в ютубе и вашу статью.
    Из статьи мне стало ясно чтобы заработал веб интерфейс необходимо установить ASDM (он кстати есть на диске версия asdm-702.bin)
    -Далее подключаюсь по ком порту и перезагружаю циску забиваю по инструкции.
    en
    Password:
    conf t
    hostname ASA
    enable password cisco
    username admin password СВОЕ privilege 15

    -Далее указываем сетевой интерфейс и задаем настройки (здесь я как понял я могу выбрать любой разъем для настройки или мне нужно обязательно выбрать для настройки Management PC - MGMT)
    Так Вот что у меня есть:
    ASA Version 9.0(1)
    !
    interface GigabitEthernet0/0
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface GigabitEthernet0/1
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface GigabitEthernet0/2
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface GigabitEthernet0/3
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface GigabitEthernet0/4
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface GigabitEthernet0/5
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Management0/0
    management-only
    nameif management
    security-level 100
    ip address 192.168.1.1 255.255.255.0

    Для циски я бы хотел дать адрес 192.168.2.1 и маску 255.255.0.0/

    Скажите какой порт именно надо настраивать?

    ОтветитьУдалить
    Ответы
    1. Добрый день!!
      Да, вы можете назначить любой интерфейс, только security-level поставьте 100. А так, для заливки ASDM можно использовать и интерфейс management. Только установите себе tftp на компьютер и далее как я описывал... Только на реальном оборудовании для сохранения конфигурации используйте команду "wr"...

      Удалить
  15. FWSM image has a version number 8.0(2) wich is not supported by ASDM 6.4.

    Пробовал ставить ASDM 7.1.5 - тоже самое.

    И главное, я помню, что 2 года назад все это ставил без проблем.
    В чем засада?

    ОтветитьУдалить
  16. Как соединить облако и ПК(виртуалбокс) ?

    ОтветитьУдалить