Поиск...

четверг, 7 июня 2012 г.

Запускаем ASA c IOS 8.4.(x) и ASDM в GNS3 на Windows 7

Доброго времени суток!!!

Сразу хочу немного извиниться за паузу в постах, но есть замечательная причина – я стал папой!!!!! Так что, приятных хлопот прибавилось, но, думаю, время для написания новых и интересных постов я буду находить и впредь :).
Надеюсь, последние посты по VoIP и MPLS (1 и 2) вам понравились. Обещаю, будут еще!!!
А сегодня я хотел бы обратить свой и ваш взор на запуск cisco ASA с версией IOS 8.4.(x) и ASDM для нее в среде GNS3. Для многих не секрет, что начиная с версии 8.3.(x) для линейки устройств безопасности ASA компания cisco пересмотрела подходы к конфигурированию оборудования (NAT, ACL и так далее). Плюс ко всему, были добавлены новые «фичи». Думаю, практиковать переход со старых принципов конфигурирования на новые и изучать эти «фичи», где-то надо :).
Так что, кто заинтересовался, добро пожаловать под кат…

Как запустить ASA в GNS3 со старой версией IOS я описывал вот тут, как подключить и настроить ASDM – вот тут.
    Итак, что нам понадобиться на сегодня:
  • - установленный GNS3 (последнюю версию можно скачать вот здесь);
  • - IOS версии 8.4.2 с ASDM (скачать можно вот здесь).
После скачивания архива, копируем его содержимое в папку с образами. Запускаем GNS3:


В первом окне придумываем название новому проекту, указываем папку, куда он будет сохраняться (если необходимо), отмечаем нужные галочки и нажимаем «OK».
Далее, идем в настройки GNS3 («Edit» -- «Preferences»). В открывшемся окне выбираем пункт «Qemu» и закладку «ASA». В итоге, вы должны видеть вот такое окно:


Как вы можете заметить, у меня есть одна настроенная ASA, но она с IOS версии 8.0.2. Добавим теперь более новую версию. Я приведу сразу результирующее окно и дам к нему пояснения:


    Итак, что мы имеем:
  • 1 – любое, придуманное, название;
  • 2 – выставляем размер RAM равным 1024 Мб (так как данная версия требует большее количество ресурсов и на реальном оборудовании должно быть как минимум 1024 Мб памяти);
  • 3 – в закладке «Qemu Options» прописываем следующие параметры: -vnc none -vga none -m 1024 -icount auto -hdachs 980,16,32
  • 4 – для параметра «Initrd» прописываем путь к файлу asa842-initrd.gz;
  • 5 – для параметра «Kernel» прописываем путь к файлу asa842-vmlinuz;
  • 6 – в закладке «Kernel cmd line» прописываем следующие параметры: -append ide_generic.probe_mask=0x01 ide_core.chs=0.0:980,16,32 auto nousb console=ttyS0,9600 bigphysarea=65536
Затем нажимаем «Save». Должно появиться уведомление об успешном сохранении новых параметров для ASA, и новое устройство должно появиться в списке ниже. Нажимаем на уведомлении «OK». Затем нажимаем «Apply» и «OK» в основном окне.
Все, с настройками закончили. Теперь попробуем запустить устройство. Для этого, добавляем его на рабочую область путем перетаскивания значка устройства «ASA firewall» из левого меню. Если у вас, как и у меня, два устройства ASA, то, как только вы отпустите левую клавишу мыши, программа должна предложить вам выбор:


Из выпадающего списка выбираем нужное устройство и нажимаем «OK». Устройство появится в рабочей области. Запускаем его (правой клавишей мыши – «Start»). После запуска устройства, запускаем консоль (правая клавиша мыши – «Console»).
В консоли нажимаем «ввод». Заходим в привилегированный режим (пароль пустой) и посмотрим версию (show version):


Ну что же, нужная версия у нас есть, но, как вы можете заметить, многие «плюшки» выключены. Для их включения необходимо ввести ключ активации. Для этого вводим следующие команды:

ciscoasa#conf t
ciscoasa(config)#activation-key 0x4a3ec071 0x0d86fbf6 0x7cb1bc48 0x8b48b8b0 0xf317c0b5 – или можно еще этот: activation-key 0xb23bcf4a 0x1c713b4f 0x7d53bcbc 0xc4f8d09c 0x0e24c6b6;
ciscoasa(config)#wr – сохраняем конфигурацию;
ciscoasa(config)#exit


При вводе команд вам сначала предложат включить автоматическую отсылку сообщений об ошибках в службу поддержки (отказываемся), а затем появятся всякие предупреждающие сообщения. Не обращайте на них внимание. После выхода, закрываем консоль, сохраняем проект и выключаем устройство.
Снова запускаем устройство («Start») и затем консоль. Загрузка устройства может занять несколько минут, так что не пугайтесь, если нажатие клавиши «ввод» не будет приносить успеха некоторое время. Просто подождите еще немного (у меня на 4-х ядерном компьютере с 8 Гб памяти и windows 7 x64 устройство грузилось около 1-2 минут).
Снова выполним команду «show version»:


Как видно, некоторые «плюшки» появились (различные виды VPN, 2 security context-а и так далее). Ключ активации, соответствует тому, что мы вводили ранее. Можно начинать тренировки :).
Теперь подключим к нашему устройству ASDM. Для этого, нам необходимо подключить устройство к реальной сети (как это делается можно посмотреть здесь), загрузить ASDM на ASA и затем зайти по https.
Начнем. Добавляем «облако» на рабочую область и настраиваем его на использование сетевого адаптера «замыкания на себя windows» (Loopback):


Добавляем встроенный свитч и делаем подключение ASA к облаку через него, так как напрямую у вас не получится. Возьмем IP – адресацию из сети 192.168.10.0/24. В итоге, схема у вас должна быть приблизительно такая:


Поставим соответствующий IP-адрес на сетевом адаптере windows loopback (192.168.10.100/24). Затем зайдем на ASA и настроим IP-адрес интерфейсе (192.168.10.1/24):

ASA> en
Password:
ASA# conf t
ASA(config)# int gigabitEthernet 0 – заходим в режим настройки интерфейса;
ASA(config-if)# ip address 192.168.10.1 255.255.255.0 – задаем ему IP-адрес;
ASA(config-if)# nameif management – задаем ему название;
ASA(config-if)# security-level 100 – устанавливаем ему security-level (по умолчанию ASA поставит «0»);
ASA(config-if)# no shutdown – на всякий случай включаем интерфейс;
ASA(config-if)# exit
ASA(config)# http 192.168.10.0 255.255.255.0 management – разрешаем ходить по https только из сети 192.168.10.0/24 и только с интерфейса «management»;
ASA(config)# http server enable – включаем доступ по https;
ASA(config)# username admin password cisco privilege 15 – заводим локального администратора (его мы будем использовать для входа через ASDM);
ASA(config)# exit
ASA# wr – сохраняем конфигурацию;
ASA#


Проверим сетевую доступность:


Связь есть. Теперь запускаем на физической машине какой-нибудь tftp-сервер, кладем в его рабочую папку образ ASDM (asdm-647.bin, есть в скаченном архиве). Возвращаемся обратно на ASA и скачиваем этот образ на устройство с помощью команды:

ASA# conf t
ASA(config)# copy tftp: flash:
Address or name of remote host []? 192.168.10.100 – указываем IP-адрес tftp-сервера;
Source filename []? asdm-647.bin – указываем имя файла на tftp-сервере;
Destination filename [asdm-647.bin]? – указываем, как файл будет называться во flash нашей ASA.


После этого пойдет процесс загрузки. По ее окончанию посмотрим, чтобы ASDM лежал во flash:


Все на месте. По ходу настроек, не забывайте сохранять не только конфигурацию ASA, но и сам проект.
Ну что же, все готово к проверке. Открываем браузер и вводим адрес нашего устройства (не забудьте, что надо использовать https, несмотря на то, что мы использовали команду enable http server). Вполне возможно, появится вот такое окно:


Выбираем пункт «Продолжить открытие этого веб-узла (не рекомендуется)». Должно открыться уже, надеюсь, знакомое окно:


Выбираем пункт «Run ASDM». Должна запуститься Java машина и появиться следующее окно:


Ставим галочку «всегда доверять контенту от этого поставщика» и нажимаем «Yes». Появится следующее окно:


Снова отмечаем галочку о доверии и нажимаем «Run» для запуска приложения:


Вводим логин и пароль локального администратора, созданного ранее. Нажимаем «OK». При загрузке основного окна ASDM, если у вас включен firewall на физической машине, может появиться вот такое окно:


Разрешите доступ приложению. И, наконец, вы увидите долгожданное окно:


Ну что же, стенд для тренировок подготовлен! Можете практиковаться :). Я же в свою очередь, в ближайшем будущем постараюсь написать пост об отличиях в конфигурировании старой и новой версий IOS для cisco ASA с примерами. Так что ждите и заходите!!!
А на этом, я хочу закончить этот пост. Как всегда надеюсь, что он был вам интересен и познавателен. Хочу поблагодарить вас за внимание.

По всем возникающим вопросам обращайтесь ко мне через комментарии или лично. Координаты можно найти вот тут.


С нетерпением жду вас в следующих постах!!!

С уважением, Ant0ni0n

45 комментариев:

  1. Анонимный12 июля 2012 г., 22:13

    Вот это зачет тебе.... Надеюсь работать будет без глюков :)

    ОтветитьУдалить
  2. Поздравляем с пополнением! и как только все успеваете :)) Малышу крепкого здоровья, родителям хоть немного сна ночью ;))

    ОтветитьУдалить
    Ответы
    1. Спасибо большое за поздравления!!!!!
      А время немного есть, когда сынуля спит :)

      Удалить
  3. Громаднейшее спасибо)
    Буквально на днях наткнулся на баг, что невозможно было настраивать контексты в гнс с иос асой 8,02. А тут всё запахало) Отдельный грац за скомпиленное продолжение рода ;)
    Если не против, попозже спионерю интересные статьи перекину себе в бложик с пометкой откуда и кто написал)

    ОтветитьУдалить
  4. Анонимный30 июля 2012 г., 20:45

    Все получилось!!!!!!!!!
    Спасибо

    ОтветитьУдалить
  5. А для чего лицензия на ASA нужна в GNS ? Вроде и так работает...

    ОтветитьУдалить
    Ответы
    1. Лицензия нужна для активирования функций Failover и VPN. Без активации лицензии данные возможности отсутствуют.

      Удалить
    2. Вот кстати, вопрос. Пытался сделать в GNS3 между двумя асами туннель. Все настроил, но, никаких попыток соединения даже нет, тупо трафик не ходит. Ключи вроде добавил, ничего что один и тот же ключ я на две асы добавил?

      Удалить
    3. Ну не совсем информативный вопрос :)
      Какой и как (через ASDM или CLI) IPsec вы настроили? Как вы генерируете трафик для проверки?
      Какой ключ вы имеете ввиду? Если preshare key, то он д.б. одинаковый с двух сторон.

      Удалить
    4. Через asdm визардом site-to-site VPN и вручную тоже пробовал. Ключи конечно одинаковые. На реальных железках у меня оно работает, хотел в GNS кое-чего смоделировать, но вот такая беда)) Причем в логах нету ничего, как-будто, шифрованый трафик не пытается ходить... Могу выслать топологию с конфигами...

      Удалить
    5. Ну присылайте мне на email схему и конфиги, посмотрю что там у вас :)
      Данные можете найти в закладке "Обратная связь".

      Удалить
  6. Спасибо, хороший пост, у меня пока все получилось

    ОтветитьУдалить
  7. Здравствуйте,
    сделал все по инструкции, ASA запустилась и ушла в непрерывную перезагрузку
    Traceback output aborted.
    Flushing first exception frame:
    core0 same core snap_count=2 signo=11 EIP=95a21c4
    REBOOT: open message queue fail: No such file or directory/2
    REBOOT: enforce reboot...
    core0 same core snap_count=3 signo=6 EIP=ffffe430
    Aborted (core dumped)

    Как это можно исправить?

    ОтветитьУдалить
    Ответы
    1. Добрый день!!
      А ASA сама по себе ушла в перезагрузку или вы давали команду reboot? Просто команду reboot из консоли не надо давать, не пройдет.
      И еще, вы скачивали IOS для ASA по моей ссылке?

      Удалить
    2. Здравствуйте,
      все эксперименты я делал на работе, сегодня попробовал на домашнем ПК - все работает, перезагрузок нет. Единственное отличие - на рабочем ПК я поставил патч для QEMU (скачал с сайта), поскольку ASA вообще не хотела запускаться. Но потом оказалось что проблема была в путях, а патч я удалять уже не стал - образы лежали в директории с названием на русском языке.

      Удалить
  8. Здравствуйте!
    Спасибо за статью. Вот только у меня странная проблемка...
    Дошел я до добавления облака. Захожу в настройки С1 - а у меня нет ни одного сетевого адаптера... т.е. вообще.
    ОС - Win7-64 Ultimate. Винда в домене, пробовал запускаться в режиме админа домена, в режиме локального админа... - одинаково.

    как сюда картинку вставить?

    ОтветитьУдалить
    Ответы
    1. отвечаю сам себе - надо было установить WinPCAP. Наверное... Во всяком случае dynamips ругалась на отсутствие winpcap.dll, которая входит в состав указанного пакета...
      Всем спасибо :)

      Удалить
  9. А может такое быть. что ASDM не работает, если на ASA нет ключа активации?

    ОтветитьУдалить
  10. после настройки и подключения к облаку ушла в постоянную перезагрузку и пишет такую надпись
    REBOOT: open message queue fail: No such file or directory/2
    REBOOT: enforce reboot...

    ОтветитьУдалить
  11. REBOOT: open message queue fail: No such file or directory/2
    REBOOT: enforce reboot...
    Restarting system.
    machine restart
    перезапуск делал не помогает

    ОтветитьУдалить
  12. Ссылка для скачивания ASA не действует говорит кончился хостинг

    ОтветитьУдалить
    Ответы
    1. Спасибо за информацию!!!
      Перезалил на другой хостинг :)

      Удалить
  13. А нет ли обновленной версии. Так сказать для ASA 9.0? Хочется потестить перед продакшном.
    //Александр

    ОтветитьУдалить
    Ответы
    1. Добрый вечер!!
      Нет, пока таких обновлений нет. Но как только появится поддержка 9.0 в GNS3, то сразу напишу пост об этом :)

      Удалить
  14. С загрузкой одного ядра на 100% от qemu бороться как-то можно?)
    Idle PC не предлагать, это из другой оперы
    GNS3 ver 0.8.3.1

    ОтветитьУдалить
    Ответы
    1. Ну у меня нет такой проблемы. Версия GNS3 такая же.. Знаю, что GNS3 на linux точно таких проблем не имеет и работеат намного быстрее чем на Win. Скоро напишу пост об установке GNS3 на Linux.

      Удалить
    2. У меня на Linux другая проблема. Когда нажимаешь старт АСА стартует работает и т.д. но когда надо ее выключить нажимаешь "stop" в GNS ASA маркируется как выключенная, но в консоли ASA все равно работает, т.е. она не выключается, процесс qemu не отключается и продолжаеь функцонировать. убирать приходится через kill.
      Не сталкивался с таким?
      Дистрибутив kubuntu 12.10 образ АSA 8.4.2 из этой статьи

      Удалить
  15. Анонимный29 мая 2013 г., 23:34

    Добрый день! Огромное спасибо за ваши статьи!
    Пожалуйста, помогите решить проблему...
    Делаю все по шагам, QEMU загружается, а консоль никак ... выдает ошибку "connection refused"... В чем может быть проблема?
    Заранее спасибо!

    ОтветитьУдалить
    Ответы
    1. Добрый день!!!
      Пришлите мне скриншот настройки ASA из QEMU configuration на почту: anton.sheshko@gmail.com.
      Еще проверьте, может включен фаервол на компьютере или антивирус. И какая у вас ОС?

      Удалить
    2. Анонимный30 мая 2013 г., 17:08

      Огромное спасибо за помощь!!!
      Все получилось, просто нужно было быть внимательнее ))))

      С уважением, Татьяна.

      Удалить
    3. Скажите, как решили эту проблему? У меня такая же возникла.

      Удалить
  16. Анонимный25 июня 2013 г., 12:31

    Круто! В putty желтым подсвечиваются некоторые части отображаемого текста. Как Вы это делаете?

    ОтветитьУдалить
    Ответы
    1. Добрый день!
      Это не свойство Putty :). Это я в редакторе делал, подсвечивал то что нужно :)

      Удалить
  17. Добрый день, скажите пожалуйста почему нет поддержки Vlan'ов. Нет возможности ввести соответствующие команды. И SVI создавать нельзя. В чем может быть дело?

    ОтветитьУдалить
  18. Добрый день. Имеется такая проблема: когда пытаюсь запустить console , кликая пр кнопкой по значку АСА появляется такое сообщение : 127.0.0.1:3001(asa) - network error: connection refused. Такое случается только с версией 8.4(2), 8.0(2) запускается нормально... Пробовал переустанавливать GNS,не помогло , версия 0.8.6 В чем может быть проблема?

    ОтветитьУдалить
    Ответы
    1. Анонимный15 июля 2015 г., 15:22

      Тоже было такое, весь измучался, в итоге получилось без проблем запустить на виртуалке на абсолютно чистой системе. Видимо с чем-то конфликтует на рабочей машине где много всего установлено.

      Удалить
  19. Анонимный19 мая 2014 г., 18:45

    Спасибо. Только я бы добавил в статью следующее:

    1) Для доступа по ssh, https:

    ciscoasa(config)# crypto key generate rsa general-keys

    2) Если у сервера проблемы с пассивным режимом ФТП:

    ciscoasa(config)# no ftp mode passive

    ОтветитьУдалить
  20. Здравствуйте! Вроде бы всё получилось , вот только asdm клиент выдает
    unable to launch device manager from 192.168.1.10. Что это может быть?

    ОтветитьУдалить
    Ответы
    1. Анонимный15 июля 2015 г., 15:25

      На компе открываем настройки JAVA - Security в пункте Exception Site List добавляем в доверенные сайты наш адрес ASA по https. Ну и саму JAVA лучше обновить.

      Удалить
  21. Анонимный15 июля 2015 г., 15:24

    На компе открываем настройки JAVA - Security в пункте Exception Site List добавляем в доверенные сайты наш адрес ASA по https. Ну и саму JAVA лучше обновить.

    ОтветитьУдалить
  22. Спасибо за статью...
    Все заработало, почти без проблем...

    ОтветитьУдалить
  23. Здравствуёте, у меня такая проблеиа: не пингуется наше облако (Loopback), т.е. я не могу загрузить asdm через tftp во flash. Отключение браундмауера, отключение антивируса и отключение всех стороних сете не помогло. Помоги пожалуйста, мб кто-нибудь сталкивлся.

    ОтветитьУдалить
  24. Никак не могу понять почему-то на шаге Проверим сетевую доступность: (т.е. пингуем наше облако(loopback)) не проходит ping, антивируса в помине нету, брандмауэр отключен... Буду премного благодарен если поможете разобраться

    ОтветитьУдалить