Доброго времени суток!!!
В прошлом посте мы установили и настроили cisco ASA 5520 в GNS3. Сегодня я предлагаю подключить и настроить ASDM для этой модели. Конечно, опытным людям он может и не понадобиться, но это удобный инструмент, с помощью которого можно сделать очень много разных настроек. Ну а если потребуются более «тонкие» настройки, тогда можно и перейти ко всеми любимой консоли :).
Приглашаю всех под кат…
Для начала, вам необходимо получить этот самый ASDM (в нашем случае я буду использовать asdm-625). Скачать его можно в интернете. Вот вам google в помощь :). Елсли вы раздобыли ASDM 5-ой версии и он у вас не запустился на вашей windows, то поставьте себе 5-ую версию Java. (спасибо Buzy за информацию).
Для реализации наших планов я буду использовать следующую схему:
На схеме видно, что cisco ASA подключена к облаку через свитч (SW1). Это специфика подключения PIX и ASA в GNS3. Напрямую, как роутеры, у вас не получится подключиться к облаку, которое, в свою очередь, подключено на VMWare Network Adapter VMnet1.
Как настраивать подключение GNS3 к реальному компьютеру или сети (подключение к VMWare Workstation осуществляется так же, только надо выбрать не loopback – интерфейс в настройках облака, а VMWare Network Adapter VMnet1) можно посмотреть тут.
Как вы уже поняли, в качестве рабочего места администратора :) я буду использовать виртуальную машину с windows XP.
Приступаем к работе :).
Настроим наше устройство (cisco ASA). Запускаем его и заходим по консоли. Конфигурация следующая:
- ciscoasa> en
- Password:
- ciscoasa# conf t
- ciscoasa(config)# hostname ASA – задаем название устройству;
- ASA(config)# enable password cisco – ставим пароль на enable;
- ASA(config)# username admin password ciscocisco privilege 15 – создаем локальную учетную запись администратора с полными правами (понадобится при подключении через ASDM);
- ASA(config)# int ethernet 0/0
- ASA(config-if)# nameif inside – называем интерфейс;
INFO: Security level for "inside" set to 100 by default. - ASA(config-if)# ip address 192.168.1.254 255.255.255.0 – назначаем ему IP – адрес;
- ASA(config-if)# no shutdown
- ASA(config-if)# exit
- ASA(config)# http server enable – включаем HTTPS сервер (именно HTTPS, слушается порт 443);
- ASA(config)# http 192.168.1.0 255.255.255.0 inside – прописываем, кому можно ходить на hhtps;
- ASA(config)# access-list ADMIN extended permit ip 192.168.1.0 255.255.255.0 any – создаем список доступа (специфика устройств безопасности);
- ASA(config)# access-group ADMIN in interface inside – применяем список доступа на In интерфейса inside;
- ASA(config)# copy run disk0:/.private/startup-config – сохраняем настройки;
- ASA(config)# class-map inspection_default
- ASA(config-cmap)# match default-inspection-traffic
- ASA(config-cmap)# policy-map type inspect dns preset_dns_map
- ASA(config-pmap)# parameters
- ASA(config-pmap-p)# message-length maximum 512
- ASA(config-pmap-p)# policy-map global_policy
- ASA(config-pmap)# class inspection_default
- ASA(config-pmap-c)# inspect dns preset_dns_map
- ASA(config-pmap-c)# inspect ftp
- ASA(config-pmap-c)# inspect h323 h225
- ASA(config-pmap-c)# inspect h323 ras
- ASA(config-pmap-c)# inspect rsh
- ASA(config-pmap-c)# inspect rtsp
- ASA(config-pmap-c)# inspect esmtp
- ASA(config-pmap-c)# inspect sqlnet
- ASA(config-pmap-c)# inspect skinny
- ASA(config-pmap-c)# inspect sunrpc
- ASA(config-pmap-c)# inspect xdmcp
- ASA(config-pmap-c)# inspect sip
- ASA(config-pmap-c)# inspect netbios
- ASA(config-pmap-c)# inspect tftp
- ASA(config-pmap-c)# service-policy global_policy global
- ASA(config)#
- 1 – IP–адрес VMWare Network Adapter VMnet1 на локальной (физической) машине;
- 2 – IP–адрес виртуальной машины в VMWare Workstation.
Я буду использовать 3CDaemon (старенький, но какой есть :)). Запускаем его на виртуальной машине, настраиваем ему рабочую папку:
Теперь кладем в рабочую папку наш ASDM и запускаем tftp – сервер.
Возвращаемся на cisco ASA и скачиваем с tftp – сервера файл во flash. Для этого выполняем команду
- ASA(config)# copy tftp: flash:
- 1 – IP–адрес tftp-сервера (находится на виртуальной машине);
- 2 – название файла ASDM на tftp-сервере;
- 3 – название файла ASDM во flash cisco ASA;
Все готово. Теперь перейдем на нашу виртуальную машину и попробуем запустить наш ASDM. Запускаем браузер и вводим адрес устройства (https://192.168.1.254). Должно открыться окно с предупреждением безопасности о недоверенном соединении.
Со всем соглашаемся (устанавливаем (получаем) сертификат и добавляем источник в исключения). Нажимаем на «Подтвердить исключение безопасности» и у вас откроется следующее окно:
Нажимаем «Run ASDM». У вас появится уведомление, что сейчас будет открыт Java файл.
Нажимаем «OK». Если у вас вдруг не запустилось, то проверьте настройки Java у вас на виртуальной машине. Вполне возможно, что она устарела или не установлена вообще. Тогда надо либо установить новую, либо обновить имеющуюся. У меня установлена Java 6.
Если с Java все в порядке, то у вас должно появиться следующее окно:
Отмечаем пункт «Always trust content from this publisher» и нажимаем «Yes». Откроется следующее окно:
Здесь вводим наш username и password, которые мы настроили ранее на устройстве. Нажимаем «OK» и ВУАЛЯ!!!!
Наш ASDM заработал!!!!! Поздравляю вас!!!!
Пользуйтесь на здоровье!!!!
На этом я хочу закончить этот пост. Надеюсь, он был полезным, любопытным и интересным для вас :).
Жду вас в следующих постах!!! Если возникли вопросы или комментарии, то смело пишите!!! С радостью отвечу!!!!
С уважением, Ant0ni0n.
Очень Великолепные статьи! Большое Вам спасибо, теперь Packet Tracer для детей)))) в песочнице
ОтветитьУдалитьСпасибо за теплый отзыв, буду стараться и дальше :)
ОтветитьУдалитьДобавьте как дополнительную информацию - что если ASDM 5 версии не запускается, что бы поставили 5ую Яву. Я пробовал на Win2k8, 7, XP - не работает и все. Пока не поставил 5ую яву.
ОтветитьУдалитьСпасибо за информацию, добавил в тело поста :).
ОтветитьУдалитьСпасибо за отличные статьи!!!!
ОтветитьУдалитьПожалуйста, пользуйтесь на здоровье!!! :)
УдалитьЗаходите еще!!!
Спасибо за хорошую статью! У меня вопрос, можно ли настроить доступ для asa из gns3 к физической среде , через loopback adapter (схема примерно, такая ASA => SWITCH => CLOUD (loopback) ) ? Тем самым , я бы получил доступ к физ. среде.
ОтветитьУдалитьПожалуйста!!!
УдалитьЗаходите еще!!!
Да, такую схему можно реализовать. Принцип тот же, что и в посте. Только вместо VMware Net adapter настройте облако использовать заранее созданный loopback на вашем физ компьютере (убедитесь, что loopback интерфейс был в "UP", тогда он будет виден в списке настроек облака). Назначаете ему IP-адрес из сети с интерфейсом ASA и все готово :)
С уважением, Ant0ni0n
Спасибо, за статью. Очень помогает в изучении cisco. Я бы даже рекомендовал заняться продажей этих статей или написании книги. Каждый труд должен оплачиваться. Лично я бы купил.
ОтветитьУдалитьСпасибо за отзыв!!! Заходите еще!!!
УдалитьНасчет издания пособия я уже задумываюсь конечно :), но пока только личные благодарности от поситителей. Как говориться, рекламные блоки есть, номера кошельков тоже :) Так что кто хочет, может поблагодарить.
Добрый вечер. Не подскажите в чем может быть проблема...
ОтветитьУдалитьзапускаю cisco asa, все прекрасно работает, однако при просмотри свободной памяти получается следующее
ciscoasa# show mem
Free memory: 5372552 bytes ( 4%)
Used memory: 128845176 bytes (96%)
------------- ----------------
Total memory: 134217728 bytes (100%)
ciscoasa# show flash:
--#-- --length-- -----date/time------ path
487 0 Apr 01 2012 17:07:10 .private
497 0 Apr 01 2012 17:07:10 .private/DATAFILE
496 0 Apr 01 2012 17:07:09 .private/mode.dat
0 bytes total (0 bytes free)
соответственно я ни то что не могу закачать asdm, я даже конфиг не могу сохранить, т.к. пишет что недостаточно памяти
%Error copying system:/running-config (Not enough space on device)
заранее благодарен за ответы
От себя могу добавить: НИКОГДА НЕ НАЖИМАЙТЕ КНОПКУ SAVE В ASDM!!! А если нечаянно нажали, то быстро бегите в консоль и либо copy run disk0:/.private/startup-config либо wr (если у вас настроен command alias). А то будет вам сюрприз при следующей загрузке ASA.
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьДобрый день!
УдалитьА какой tftp вы используете? Проверьте, лежит ли файл asdm именно в рабочей папке tftp.
Если все нормально, то проверьте, может блокирует access-list на asa, если он есть.
спасибо за ответ. ниже дописал, что все запустилось только после установки WM.
УдалитьПривет.
ОтветитьУдалитьПытался все запустить по статье, но без использования WMware. подключался напрямую к физ. машине с windows 7.
В итоге ASA не смог подключиться к tftp серверу и что либо с него скачать. хотя пинги в обе стороны проходили.
Пришлось ставить WM с windows XP. все запустилось.
С чем это может быть связано?
Здравствуйте, Антон.
ОтветитьУдалитьВы писали: "Со всем соглашаемся (устанавливаем (получаем) сертификат и добавляем источник в исключения). Нажимаем на «Подтвердить исключение безопасности» и у вас откроется следующее окно:"
У меня окно запуска (Run ASDM) не запускается, а появляется сразу форма для ввода логин/пароля. После ввода (admin/ciscocisco) отображается страница:
404 Not Found
The requested URL https://192.168.1.254/admin/index.html was not found...
Конфигурация и файл образа такие же как в статье. Пробовал на java 5, 6 и 7. Правда запускал я все это на PIX (pix724.bin). Я так понимая, в java затык? Спасибо заранее!
Добрый день!!!
УдалитьДа, интересно, думаю дело все-таки в Java. А какая операционная система у вас на компьютере и каким браузером вы открывали ASDM?
Добавляли ли вы сайт в исключения безопасности. И пришлите мне на почту sh run с PIX. И еще, какая у вас версия ASDM?
Спасибо за внимание.
УдалитьИспользовал win2003 и winXP(sp2) из Virtual Box (Браузеры: firefox 21 и ie 6). Все исключения добавил согласно статье. ASDM, судя по бинарнику (asdm-625.bin), версии 6.2.5.
Конфиг выслал.
По поводу комментария выше.
ОтветитьУдалитьПопробовал те же настройки и конфигурации (ОС, браузеры, ява) c ASA вместо PIX и все заработало нормально. То бишь, косяк именно в PIX.
Хотя в данном посте:
http://www.go-to-easyit.com/2011/08/remote-access-vpn-pix-cisco-vpn-client.html
говорится что настройки ASA применимы для PIX, может быть есть какие-либо ньюансы?
ps. Да, в экспериментах с PIX пробовал разные версии ASDM (asdm-625, 625-53, 631), с тем же результатом (The requested URL admin/index.html was not found...)
Добро утро
ОтветитьУдалитьОпыта в юникси циско по нулям
Приобрел на фирму cisco asa5512-x
Установил в стойку
-Подключился по Management PC. Cisco дала компьютеру ip. Сама циска тоже пингуется. Далее открываю как в мануале https://192.168.1.1/admin но реакции никакой. Лезу в инет, нахожу ролик в ютубе и вашу статью.
Из статьи мне стало ясно чтобы заработал веб интерфейс необходимо установить ASDM (он кстати есть на диске версия asdm-702.bin)
-Далее подключаюсь по ком порту и перезагружаю циску забиваю по инструкции.
en
Password:
conf t
hostname ASA
enable password cisco
username admin password СВОЕ privilege 15
-Далее указываем сетевой интерфейс и задаем настройки (здесь я как понял я могу выбрать любой разъем для настройки или мне нужно обязательно выбрать для настройки Management PC - MGMT)
Так Вот что у меня есть:
ASA Version 9.0(1)
!
interface GigabitEthernet0/0
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/1
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/5
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
management-only
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
Для циски я бы хотел дать адрес 192.168.2.1 и маску 255.255.0.0/
Скажите какой порт именно надо настраивать?
Добрый день!!
УдалитьДа, вы можете назначить любой интерфейс, только security-level поставьте 100. А так, для заливки ASDM можно использовать и интерфейс management. Только установите себе tftp на компьютер и далее как я описывал... Только на реальном оборудовании для сохранения конфигурации используйте команду "wr"...
FWSM image has a version number 8.0(2) wich is not supported by ASDM 6.4.
ОтветитьУдалитьПробовал ставить ASDM 7.1.5 - тоже самое.
И главное, я помню, что 2 года назад все это ставил без проблем.
В чем засада?
Как соединить облако и ПК(виртуалбокс) ?
ОтветитьУдалить