GNS3를 사용하여 VirtualBox의 실제 및 가상 머신과 통신합니다. Cisco ASAv 가상 방화벽 기능, 배포 및 구성 VMware vSphere 웹 클라이언트를 사용하여 ASAv 배포

친구 여러분, 독자들의 기사를 게시하기 시작했음을 발표하게 되어 기쁩니다.
팟캐스트 게스트인 Alexander 일명 Sinister의 오늘 자료입니다.

============================
특히 linkmeup 프로젝트를 위해

Cisco Systems 장비용 시뮬레이터와 에뮬레이터는 상당히 많습니다.
이 짧은 리뷰에서는 이 문제를 해결하는 모든 기존 도구를 보여주려고 노력할 것입니다.
이 정보는 네트워크 기술을 연구하고, Cisco 시험을 준비하고, 문제 해결 랙을 수집하고, 보안 문제를 조사하는 사람들에게 유용할 것입니다.

먼저 몇 가지 용어입니다.
시뮬레이터 - 특정 명령 집합을 모방합니다. 기본적으로 제공되며 넘어가는 즉시 오류 메시지가 표시됩니다. 전형적인 예는 Cisco Packet Tracer입니다.
반대로 에뮬레이터를 사용하면 종종 눈에 보이는 제한 없이 실제 장치의 이미지(펌웨어)를 재생(바이트 변환 수행)할 수 있습니다. GNS3/Dynamips가 그 예입니다.

먼저 Cisco Packet Tracer를 살펴보겠습니다.

시스코 패킷 추적기

이 시뮬레이터는 Windows 및 Linux 모두에서 사용할 수 있으며 Cisco Networking Academy 학생은 무료로 사용할 수 있습니다.
6번째 버전에는 다음과 같은 것들이 있었습니다.

아이폰 OS 15
HWIC-2T 및 HWIC-8A 모듈
3개의 새 장치(Cisco 1941, Cisco 2901, Cisco 2911)
HSRP 지원
최종 장치 설정(데스크톱)의 IPv6

느낌은 새 릴리스가 CCNA 시험을 버전 2.0으로 업데이트할 때 딱 맞았다는 것입니다.

그것의 장점은 인터페이스의 친화성과 논리입니다. 또한 DHCP/DNS/HTTP/SMTP/POP3, NTP 등 다양한 네트워크 서비스의 동작 확인이 편리합니다.
그리고 가장 흥미로운 기능 중 하나는 시뮬레이션 모드로 전환하고 시간 팽창에 따라 패킷이 어떻게 이동하는지 확인하는 기능입니다.
같은 매트릭스가 생각났습니다.

단점:

CCNA 범위를 벗어나는 거의 모든 것은 수집할 수 없습니다. 예를 들어 EEM은 완전히 없습니다.
또한 때때로 프로그램을 다시 시작해야만 처리되는 다양한 결함이 나타날 수 있습니다. STP 프로토콜은 특히 유명합니다.

우리는 무엇으로 끝납니까?
- Cisco 장비를 이제 막 접하기 시작한 사람들에게 좋은 도구입니다.

GNS3

다음은 dynamips 에뮬레이터용 GUI(Qt)인 GNS3입니다.

Linux, Windows 및 Mac OS X에서 사용할 수 있는 무료 프로젝트입니다.
GNS 프로젝트 웹사이트 - www.gns3.net/
그러나 대부분의 성능 향상 기능은 Linux(동일한 펌웨어를 많이 사용할 때 작동하는 고스트 IOS)에서만 작동하며 64비트 버전도 Linux 전용입니다.
현재 GNS의 현재 버전은 0.8.5입니다.
이것은 실제 IOS 펌웨어와 함께 작동하는 에뮬레이터입니다. 사용하기 위해서는 펌웨어가 있어야 합니다. Cisco 라우터를 구입했다고 가정해 보겠습니다.
VirtualBox 또는 VMware Workstation 가상 머신을 여기에 연결하고 매우 복잡한 구성표를 만들 수 있습니다. 원하는 경우 더 나아가 실제 네트워크로 릴리스할 수 있습니다.
또한 Dynamips는 이전 Cisco PIX와 악명 높은 Cisco ASA(버전 8.4까지)를 모두 에뮬레이트할 수 있습니다.

그러나이 모든 것에는 많은 단점이 있습니다.

플랫폼의 수는 엄격하게 제한되어 있습니다. dynamips 개발자가 제공하는 섀시만 시작할 수 있습니다.
7200 플랫폼에서만 iOS 15 버전 실행이 가능합니다.
Catalyst 스위치를 완전히 사용하는 것은 불가능합니다. 이는 특정 집적 회로를 많이 사용하기 때문에 에뮬레이션하기가 매우 어렵기 때문입니다. 라우터용으로 네트워크 모듈(NM)을 사용해야 합니다.
많은 수의 장치를 사용하면 성능이 저하됩니다.

마른 찌꺼기에는 무엇이 있습니까?
- 꽤 복잡한 토폴로지를 만들고 CCNP 수준 시험을 준비할 수 있는 도구입니다.

보손 넷심

최근 버전 9로 업데이트된 Boson NetSim 시뮬레이터에 대한 몇 마디.

Windows에서만 사용할 수 있으며 가격은 CCNA의 경우 $179에서 CCNP의 경우 $349입니다.
시험 주제별로 그룹화된 실험실 작업 모음입니다.
스크린샷에서 볼 수 있듯이 인터페이스는 여러 섹션으로 구성됩니다. 작업 설명, 네트워크 맵, 왼쪽에는 모든 랩 목록이 있습니다.
완료되면 결과를 확인하고 모든 작업이 완료되었는지 확인할 수 있습니다.
일부 제한 사항이 있는 고유한 토폴로지를 만들 수 있습니다.

시스코 CSR

이제 상당히 최근의 Cisco CSR을 고려하십시오.
비교적 최근에 가상 Cisco Cloud Service Router 1000V가 등장했습니다.

데이터 센터 트랙을 준비하는 모든 사람에게 적합합니다.
몇 가지 특이점이 있습니다. 전원을 켠 후 부팅 프로세스가 시작되고 (CSR의 경우 Linux도 표시됨) 중지됩니다. 모든 것이 얼어붙은 것 같지만 그렇지 않습니다.
이 에뮬레이터에 대한 연결은 명명된 파이프를 통해 이루어집니다.

명명된 파이프는 프로세스 간 통신 방법 중 하나입니다.
유닉스 계열 시스템과 Windows 모두에 존재합니다.

연결하려면 예를 들어 퍼티를 열고 직렬 연결 유형을 선택하고 지정하십시오. \\.\pipe\vmwaredebug.

GNS3 및 QEMU(Windows용 GNS3와 함께 제공되는 경량 OS 에뮬레이터)를 사용하면 Nexus 스위치를 사용할 토폴로지를 구축할 수 있습니다. 그리고 다시 이 가상 스위치를 실제 네트워크로 해제할 수 있습니다.

시스코 IOU

마지막으로 유명한 Cisco IOU(UNIX의 Cisco IOS)는 공식적으로 전혀 배포되지 않은 독점 소프트웨어입니다.

Cisco가 IOU를 사용하는 사람을 추적하고 식별할 수 있다는 의견이 있습니다.
시작할 때 xml.cisco.com 서버에 대해 HTTP POST 요청이 시도됩니다.
전송되는 데이터에는 호스트 이름, 사용자 이름, IOU 버전 등이 포함됩니다.

Cisco TAC는 IOU를 사용하는 것으로 알려져 있습니다.
에뮬레이터는 CCIE를 준비하는 사람들에게 매우 인기가 있습니다.
처음에는 Solaris에서만 작동했지만 시간이 지남에 따라 Linux로 포팅되었습니다.
그것은 l2iou와 l3iou의 두 부분으로 구성되며 이름으로 첫 번째는 링크 계층과 스위치를 에뮬레이트하고 두 번째는 네트워크와 라우터를 에뮬레이트한다고 추측할 수 있습니다.

구성은 텍스트 구성 파일을 편집하여 수행되지만 얼마 전에 이를 위한 그래픽 인터페이스인 웹 프런트엔드도 개발되었습니다.

인터페이스는 매우 직관적이어서 거의 모든 작업을 수행할 수 있습니다.

이러한 토폴로지를 실행하면 CPU 사용률이 20%에 불과합니다.

그런데 이것이 CCIE를 준비하기 위한 토폴로지입니다.

다이어그램의 모든 장치에 연결하려면 해당 장치를 클릭하면 퍼티가 즉시 열립니다.

IOU의 가능성은 정말로 매우 큽니다.
단점이 없는 것은 아니지만 데이터 링크 계층에는 여전히 몇 가지 문제가 있습니다.
예를 들어 일부에서는 양면 인쇄가 불가능하지만 이것들은 모두 사소한 일입니다. 모든 주요 기능이 작동하고 잘 작동합니다.

웹 인터페이스의 작성자는 Andrea Dainese입니다.
그의 웹사이트: www.routeroreflector.com/cisco/cisco-iou-web-interface/
사이트 자체에는 IOU나 펌웨어가 없으며, 또한 저자는 웹 인터페이스가 IOU를 사용할 권리가 있는 사람들을 위해 만들어졌다고 말합니다.

그리고 마지막에 약간의 요약

결과적으로 현재 Cisco 장비의 에뮬레이터 및 시뮬레이터는 상당히 광범위합니다.
이를 통해 다양한 트랙(클래식 R/S, 서비스 제공업체 및 데이터 센터)의 시험을 거의 완벽하게 준비할 수 있습니다.
약간의 노력으로 다양한 토폴로지를 수집 및 테스트하고 취약성 조사를 수행하며 필요한 경우 에뮬레이트된 장비를 실제 네트워크에 릴리스할 수 있습니다.

(샌프란시스코와 보물섬을 연결하는 베이 브리지는 시스코 스위치를 이용해 세계 최대 규모의 조명 조형물로 탈바꿈했다.)

===========================

eucariot에서 추가.

Huawei 장비 시뮬레이터에 대해 말씀 드리고 싶습니다.

eNSP

엔터프라이즈 네트워크 시뮬레이션 플랫폼은 엔터프라이즈 수준의 라우터, 스위치 및 엔드포인트를 시뮬레이션합니다. 실제로 Cisco Packet Tracer에 더 가깝고 명확한 그래픽 인터페이스가 있으며 단지 시뮬레이터일 뿐입니다.

완전 무료 배포 - 사이트에 등록하십시오.

그것은 실제 장비의 수많은 기능을 구현하며 실제로는 매우 구체적인 기능만 구현할 수 없습니다. MSTP, RRPP, SEP, BFD, VRRP, 다양한 IGP, GRE, BGP, MPLS, L3VPN을 사용할 수 있습니다.
멀티캐스트를 시작할 수 있습니다. 즉, 서버에서 비디오 파일을 선택하고 구성된 네트워크를 통해 클라이언트에서 비디오를 볼 수 있습니다(멀티캐스트에 대한 SDSM 문제에서 확실히 사용할 것입니다).

wireshark로 패킷을 캡처할 수 있습니다.

많이 작업하지는 않았지만 결함이 발견되지 않았고 프로세서 부하는 상당히 허용됩니다.

그리고, 그들은 말한다 Huawei TAC가 사용하는 고급 라우터의 모든 기능을 완벽하게 구현하는 특별한 초강력 Huawei 에뮬레이터가 있지만 이것이 단지 소문이라는 것은 모두가 알고 있습니다.

자신의 컴퓨팅 인프라를 구축하기 위해 다양한 목적을 위해 설계된 특수 장비를 사용하고 구매 또는 임대에 추가 비용을 지출해야 한다는 것은 비밀이 아닙니다. 그리고 이것은 인프라 관리에 대한 전체 책임이 회사 자체의 어깨에 떨어졌기 때문에 서사시의 시작일뿐입니다.

가상화 기술의 출현과 컴퓨팅 시스템의 성능, 가용성 및 안정성에 대한 요구가 증가함에 따라 기업은 점점 더 신뢰할 수 있는 IaaS 공급자의 클라우드 솔루션과 가상 사이트를 선택하기 시작했습니다. 그리고 이것은 이해할 수 있습니다. 많은 조직에서 요구 사항이 증가했으며 대부분은 유연한 솔루션이 가능한 한 빨리 배포되는 것을 보고 동시에 인프라 관리와 관련하여 문제가 발생하지 않기를 원합니다.

이 접근 방식은 오늘날 새로운 것이 아니며 오히려 효과적인 엔터프라이즈/인프라 관리를 위한 점점 더 일반적인 전술이 되고 있습니다.

무엇보다도 물리적 사이트에서 가상 사이트로 대부분의 워크로드를 재분배하고 전송하려면 보안 구현 문제를 개발해야 합니다. 물리적 관점과 가상 관점 모두에서 보안은 항상 최우선 순위에 있어야 합니다. 물론 IT 시장에는 가상 환경에 대한 높은 수준의 보호를 제공하고 보장하도록 설계된 많은 솔루션이 있습니다.

비교적 최근에 발표된 가상 방화벽에 대해 자세히 살펴보겠습니다. 시스코ASAv, Cisco ASA 1000v 클라우드 방화벽을 대체했습니다. Cisco는 공식 웹 사이트에서 Cisco ASA 1000v에 대한 판매 및 지원 종료를 발표하고 이를 Cisco ASAv 제품 전면에 있는 클라우드 가상 인프라용 플래그십 보호 도구로 대체한다고 발표했습니다.

일반적으로 최근 몇 년 동안 Cisco는 가상화 부문에서 활동을 늘려 가상화 제품으로 하드웨어 솔루션 라인을 보완했다는 점에 주목할 가치가 있습니다. Cisco ASAv의 등장은 이에 대한 또 다른 확인입니다.

Cisco ASAv(Cisco 적응형 보안 가상 어플라이언스)는 앞서 언급한 바와 같이 가상 방화벽. 가상 환경에서 작업하는 데 중점을 두고 다중 컨텍스트 모드 및 클러스터링을 제외하고 "철" Cisco ASA의 기본 기능을 갖습니다.

Cisco ASAv 개요

Cisco ASAv는 데이터 센터 및 클라우드 환경에서 데이터를 보호하기 위한 방화벽 기능을 제공합니다. Cisco ASAv는 트래픽을 처리하기 위해 가상 "스위치"와 상호 작용하는 VMware ESXi를 비롯한 다양한 하이퍼바이저에서 실행할 수 있는 가상 머신입니다. 가상 방화벽은 Cisco Nexus 1000v, VMware dvSwitch 및 vSwitch를 비롯한 다양한 가상 스위치와 함께 작동할 수 있습니다. Cisco ASAv는 물리적 Cisco ASA 어플라이언스와 마찬가지로 사이트 간 VPN, 원격 액세스 VPN 및 클라이언트리스 VPN 원격 액세스의 구현을 지원합니다.

그림 1 Cisco ASAv 아키텍처

Cisco ASAv는 고객이 사용하는 Cisco ASAv 가상 인스턴스의 배포, 관리 및 모니터링을 크게 단순화하는 Cisco Smart Licensing을 사용합니다.

Cisco ASAv의 주요 기능 및 이점

단일 도메인 간 보안 계층

Cisco ASAv는 여러 하이퍼바이저를 사용할 수 있는 기능을 통해 물리적 사이트와 가상 사이트에서 단일 보안 계층을 제공합니다. IT 인프라를 구축하는 맥락에서 고객은 애플리케이션 중 일부가 회사의 물리적 인프라에 맞게 조정되고 다른 하나는 여러 하이퍼바이저가 있는 가상 사이트에 맞게 조정되는 하이브리드 모델을 사용하는 경우가 많습니다. Cisco ASAv는 물리적 장치와 가상 장치 모두에 단일 보안 정책을 적용할 수 있는 통합 구축 옵션을 사용합니다.

관리 용이성

Cisco ASAv는 일반 HTTP 인터페이스를 기반으로 하는 REST API(Representational State Transfer) API를 사용하여 장치 자체를 관리하고 보안 정책을 변경하고 상태를 모니터링할 수 있습니다.

배포 용이성

사전 구성된 Cisco ASAv는 매우 짧은 시간 내에 구축할 수 있습니다.

Cisco ASAv는 다음 모델로 제공되는 제품군입니다.

그림 2. Cisco ASAv 제품군

Cisco ASAV 사양

	시스코 ASAv5	시스코 ASAv10	시스코 ASAv30
상태 저장 대역폭(최대)	100Mbps	1Gbps	2Gbps
상태 저장 대역폭(다중 프로토콜)	50Mbps	500Mbps	1Gbps
VPN 사용 시 대역폭(3DES/AES)	30Mbps	125Mbps	300Mbps
초당 연결 수	8 000	20 000	60 000
동시 세션 수	50 000	100 000	500 000
VLAN(가상 근거리 통신망) 수	25	50	200
호스트 간 및 IPsec 클라이언트와의 사용자 VPN 세션 수	50	250	750
클라이언트 프로그램이 없는 사용자 VPN AnyConnect 세션 또는 액세스 수	50	250	750
Cisco Cloud Web Security 클라우드 보호 시스템 사용자 수	250	1 000	5 000
고가용성 지원	활성/대기	활성/대기	활성/대기
하이퍼바이저 지원	VMware ESX/ESXi 5.X, KVM 1.0	VMware ESX/ESXi 5.X, KVM 1.0	VMware ESX/ESXi 5.X, KVM 1.0
vCPU 수	1	1	4
메모리	2GB	2GB	8GB
HDD	8GB	8GB	16 기가 바이트

ASAv에서 지원되는 VMware 기능

기능	설명	지원(예/아니오)
콜드 클로닝	복제 중 가상 시스템 종료	예
DRS	동적 자원 계획 및 분산 용량 관리에 사용	예
뜨거운 추가	추가 리소스가 추가되는 동안 가상 머신은 계속 실행됩니다.	예
핫 클론(핫 클로닝)	가상 시스템은 복제 중에 계속 실행됩니다.	아니요
핫 제거(Hot Removal)	리소스를 삭제하는 동안에도 가상 머신은 계속 실행됩니다.	예
스냅샷	가상 머신이 몇 초 동안 일시 중지됨	예
일시 중지 및 재개	가상 머신이 일시 중지된 후 다시 시작됩니다.	예
vCloud 관리자	가상 머신의 자동 배포 허용	아니요
가상 머신 마이그레이션	마이그레이션 중 가상 머신 종료	예
v모션	가상 머신의 라이브 마이그레이션이 사용됩니다.	예
VMware FT(지속적 가용성 기술)	가상 머신의 고가용성을 위해 사용	아니요
VM웨어 HA	물리적 하드웨어 장애로 인한 손실을 최소화하고 장애 발생 시 클러스터의 다른 호스트에서 가상 머신을 재시작합니다.	예
VMware vSphere 독립 실행형 Windows 클라이언트		예
VMware vSphere 웹 클라이언트	가상 머신 배포에 사용	예

VMware vSphere Web Client로 ASAv 구축

IaaS 공급자의 원격 사이트 또는 다른 가상화된 사이트에 ASAv를 구축하기로 결정한 경우 예기치 않은 비작동 순간을 피하기 위해 추가 요구 사항 및 제한 사항에 즉시 주의를 기울여야 합니다.

ova 파일에서 ASAv를 배포하는 것은 현지화를 지원하지 않습니다. 환경의 VMware vCenter 및 LDAP 서버가 ASCII 호환 모드를 사용하는지 확인해야 합니다.
ASAv를 설치하고 가상 머신 콘솔을 사용하기 전에 미리 정의된 키보드 레이아웃(미국 영어)을 설정해야 합니다.

VMware vSphere Web Client를 사용하여 ASAv를 설치할 수 있습니다. 이렇게 하려면 에서 미리 정의된 링크를 사용하여 연결해야 합니다. 기본적으로 포트 9443이 사용되지만 구성의 세부 사항에 따라 값이 다를 수 있습니다.

VMware vSphere Web Client에 처음 접속하는 경우 인증 창에서 직접 다운로드할 수 있는 플러그인(클라이언트 통합 플러그인)을 설치해야 합니다.
성공적으로 설치한 후 VMware vSphere Web Client에 다시 연결하고 사용자 이름과 암호를 사용하여 로그인해야 합니다.
Cisco ASAv 설치를 시작하기 전에 http://cisco.com/go/asa-software에서 ASAv OVA 파일을 다운로드하고 구성된 vSphere 네트워크 인터페이스가 하나 이상 있는지 확인해야 합니다.
VMware vSphere Web Client의 탐색 창에서 패널로 전환해야 합니다. vCenter그리고 로 이동 호스트그리고클러스터. Cisco ASAv를 설치하기로 결정한 위치에 따라 데이터 센터, 클러스터 또는 호스트를 클릭하여 OVF 템플릿 구축 옵션( )을 선택합니다. 배포OVF주형).

그림 3. OVF 템플릿 ASAv 구축

OVF 템플릿 배포 마법사 창의 섹션에서 원천 Cisco ASAv 설치 OVA 파일을 선택해야 합니다. 상세 보기 창( 검토 세부)는 ASAv 패키지에 대한 정보를 표시합니다.

그림 4. ASAv 설치 세부 정보 개요

페이지에서 라이선스 계약에 동의함으로써 수용하다 EULA에서 Cisco ASAv 인스턴스의 이름과 가상 머신 파일의 위치를 결정하는 단계로 이동하겠습니다.
구성 선택 말( 선택하다 구성) 다음 값을 사용해야 합니다.
- 독립형 구성의 경우 1(또는 2, 3, 4) vCPU 독립형을 선택합니다.
- 장애 조치 구성의 경우 1(또는 2, 3, 4) vCPU HA 기본을 선택합니다.
스토리지 선택 창( 선택하다 저장) 가상 디스크의 형식을 결정하고 공간을 절약하려면 옵션을 선택하는 것이 유용합니다. 씬 프로비저닝. ASAv를 실행할 스토리지도 선택해야 합니다.

그림 5. 스토리지 선택 창

네트워크 구성 창( 설정 회로망) ASAv가 실행 중일 때 사용할 네트워크 인터페이스를 선택합니다. 네트워크 인터페이스 목록이 알파벳순으로 지정되어 있지 않아 원하는 요소를 찾기 어려운 경우가 있습니다.

그림 6. 네트워크 설정 창

ASAv 인스턴스를 구축할 때 네트워크 설정 편집 대화 상자를 사용하여 네트워크 설정을 변경할 수 있습니다. 그림 7은 네트워크 어댑터 ID와 ASAv 인터페이스 ID 간의 매핑 예를 보여줍니다.

그림 7 네트워크 어댑터 및 ASAv 인터페이스 매핑

모든 ASAv 인터페이스를 사용할 필요는 없지만 vSphere Web Client에서는 모든 인터페이스에 네트워크를 할당해야 합니다. 사용할 계획이 없는 인터페이스는 상태로 전환해야 합니다. 장애가 있는(비활성화) ASAv 설정에서. ASAv가 vSphere Web Console에 배포되면 Edit Settings 대화 상자( 편집하다 설정).
템플릿 사용자 지정 창( 커스터마이징 주형) IP 주소, 서브넷 마스크 및 기본 게이트웨이 매개변수 구성을 포함하여 여러 주요 설정을 수행해야 합니다. 마찬가지로 ASDM 액세스가 허용되는 클라이언트의 IP 주소를 설정하고 클라이언트와 통신하기 위해 별도의 게이트웨이가 필요한 경우 해당 IP 주소를 설정합니다.

그림 8. 템플릿 사용자 지정 창

또한 배포 유형 옵션( 배포 유형) 가능한 세 가지 옵션(Standalone, HA Primary, HA Secondary) 중에서 ASAv 설치 유형을 선택해야 합니다.

그림 9 적절한 ASAv 설치 유형 선택

완료 준비 창에서( 준비가 된 에게 완벽한)는 Cisco ASAv 구성의 요약을 표시합니다. 배포 후 실행 옵션 활성화( 힘 ~에 ~ 후에 전개) 마법사가 완료되면 가상 머신을 시작할 수 있습니다.

작업 콘솔에서 ASAv OVF 템플릿의 구축 프로세스와 완료된 작업의 상태를 모니터링할 수 있습니다( 일 콘솔).

그림 10. OVF 템플릿 배포 상태

ASAv 가상 머신이 아직 시작되지 않은 경우 시작 옵션( 힘 ~에 그만큼 가상 기계). ASAv는 처음 시작할 때 OVA 파일에 설정된 매개변수를 읽고 이를 기반으로 시스템 값을 구성합니다.

그림 11. ASAv 가상 머신 시작

ASAv 설치를 요약하면 패키지 다운로드, 배포 및 실행에서 전체 프로세스가 15-20분을 넘지 않는다는 유쾌한 사실에 주목하지 않을 수 없습니다. 동시에 VPN과 같은 후속 설정은 시간 비용이 적다는 특징이 있지만 물리적 ASA 설정에는 훨씬 더 많은 시간이 걸립니다. Cisco ASAv는 또한 원격으로 배포할 수 있으므로 원격 사이트를 사용하는 회사에 프로세스 유연성과 편의성을 제공합니다.

설치에서 ASAv 관리까지

ASAv를 관리하기 위해 그래픽 사용자 인터페이스가 있는 편리한 솔루션인 기존 ASDM(Adaptive Security Device Manager) 도구를 사용할 수 있습니다. ASAv 배포 프로세스는 다양한 구성, 모니터링 및 문제 해결을 수행하는 데 사용할 수 있는 ASDM에 대한 액세스를 정의합니다. 배포 프로세스 중에 IP 주소가 지정된 클라이언트 시스템에서 향후 연결이 이루어집니다. ASDM에 액세스하려면 ASAv의 IP 주소 값을 지정하는 웹 브라우저가 사용됩니다.

ASDM 시작

ASDM 클라이언트로 지정된 머신에서 브라우저를 실행하고 ASAv 값을 https://asav_ip_address/admin 형식으로 지정하면 다음 옵션이 포함된 창이 나타납니다.

ASDM Launcher를 설치하고 ASDM을 시작합니다.
ASDM을 시작합니다.
시작 마법사를 시작합니다.

그림 12. ASDM 툴 실행 예

설치하다ASDM실행기 및 실행ASDM

설치 프로그램을 시작하려면 "ASDM Launcher 설치 및 ASDM 실행"을 선택합니다. "사용자 이름" 및 "비밀번호" 필드(새로 설치하는 경우)에 값을 남기지 않고 "확인"을 클릭할 수 있습니다. HTTPS 인증을 구성하지 않으면 자격 증명을 지정하지 않고도 ASDM에 액세스할 수 있습니다. HTTPS 인증이 활성화된 경우 사용자 이름과 암호를 지정해야 합니다.

설치 프로그램을 로컬에 저장하고 설치를 시작합니다. 설치가 완료되면 ASDM-IDM Launcher가 자동으로 실행됩니다.
ASAv IP 주소를 입력하고 확인을 클릭합니다.

달리다ASDM

Java Web Start를 사용하여 설치하지 않고 직접 ASDM을 시작할 수도 있습니다. "Launch ASDM" 옵션을 선택하면 ASDM-IDM Launcher 창이 열립니다.

그림 13. ASDM-IDM Launcher를 사용하여 ASAv에 연결

시작 마법사 시작

Run Startup Wizard 옵션을 선택하면 다음 ASAv 구성 매개변수를 설정할 수 있습니다.

호스트 이름(호스트 이름)
도메인 이름
관리 비밀번호
인터페이스
IP 주소
정적 경로
DHCP 서버(DHCP 서버)
NAT 규칙
기타(및 기타 설정…)

콘솔 사용VM웨어 vSphere

VMware vSphere Web Client에서 사용할 수 있는 ASAv 콘솔을 사용하여 초기 구성, 문제 해결을 수행하고 명령줄 인터페이스(CLI)에 액세스할 수 있습니다.

중요한! ASAv 콘솔을 사용하려면 플러그인(클라이언트 통합 플러그인)을 설치해야 합니다.

라이센스가 설치될 때까지 100kbps의 대역폭 제한이 있습니다. 프로덕션 환경에서 전체 기능을 사용하려면 라이센스가 필요합니다. 라이선스 정보는 ASAv 콘솔에 표시됩니다.

그림 15. 라이센스 정보 표시 예

ASAv 콘솔에 연결하면 여러 모드에서 작업할 수 있습니다.

특권 모드

모수 시스코사>콘솔 창의 는 기본 명령만 사용할 수 있는 EXEC 모드에서의 작업을 나타냅니다. 특권 EXEC 모드로 전환하려면 다음 명령을 실행해야 합니다. 시스코사>~할 수 있게 하다, 그 후에 비밀번호 (비밀번호)를 입력해야합니다. 비밀번호가 설정되어 있으면 비밀번호가 설정되어 있지 않으면 Enter를 누르십시오.
값 출력 ciscoasa#콘솔 창에서 특권 모드로의 전환을 나타냅니다. 비 구성 명령을 사용할 수 있습니다. 구성 명령을 실행하려면 구성 모드로 전환해야 합니다. 특권 모드에서 전환할 수도 있습니다.
권한 모드를 종료하려면 다음 명령을 사용하십시오. 장애를 입히다, 출구또는 그만두다.

글로벌 구성 모드

글로벌 구성 모드로 전환하려면 다음 명령을 사용하십시오.

ciscoasa#구성하다단말기

구성 모드로 성공적으로 전환하면 다음과 같은 글로벌 구성 모드 준비 표시기가 표시됩니다.

시스코사 (설정)#

가능한 모든 명령 목록을 불러오려면 다음 도움말을 참조하십시오.

시스코사 (설정)#돕다?

그런 다음 사용 가능한 모든 명령 목록이 그림 16과 같이 알파벳순으로 표시됩니다.

그림 16. 전역 구성 모드에서 명령을 표시하는 예

글로벌 구성 모드를 종료하려면 다음 명령을 사용하십시오. 출구,그만두다또는 끝.

아시다시피 가끔 블로그에 우리 좋은 친구들의 글이 올라오곤 합니다.

오늘 Eugene은 Cisco 라우터 가상화에 대해 알려줄 것입니다.

액세스 수준(SW1, SW2, SW3), 배포 수준(R1) 및 글로벌 네트워크 가입(R2)과 같은 고전적인 네트워크 구성 체계가 있습니다. 통계 수집은 R2 라우터에 구성되고 NAT가 구성됩니다. R2와 R3 사이에 트래픽 필터링 및 라우팅 기능을 갖춘 하드웨어 방화벽을 설치한다(Scheme 1).

얼마 전까지만 해도 전체 네트워크를 대체 게이트웨이(R4)로 마이그레이션하는 작업이 설정되었습니다. 새 게이트웨이에는 클러스터 기능이 있으며 클러스터 노드 수를 늘려 수평적으로 확장할 수 있습니다. 커미셔닝 계획에 따르면 특정 기간 동안 네트워크에 두 개의 게이트웨이가 동시에 있어야 합니다. 이전 게이트웨이(R2)는 모든 클라이언트 네트워크에 대해, 새 게이트웨이(R4)는 새로운 게이트웨이의 테스트에 참여하는 네트워크(계획 2).

내부 라우터(R1)에서 PBR(정책 기반 라우팅)을 구현하려는 시도가 실패하여 트래픽이 루프되었습니다. 추가 장비 요청에 대한 관리가 거부되었습니다. 시간이 지났고 라우터가 없었고 작업이 멈췄습니다 ...

그리고 나서 Cisco 라우터에서 라우팅 테이블의 격리에 대해 이야기하는 인터넷 기사가 제 눈을 사로 잡았습니다.

기존 장비를 기반으로 독립적인 라우팅 테이블이 있는 라우터를 추가로 구입하기로 했습니다. 이 문제를 해결하기 위해 PBR 기능이 있는 추가 라우터가 있음을 의미하는 새 프로젝트가 작성되었습니다(Scheme 3).

R1과 R5 사이의 연결 네트워크:

네트워크: 172.16.200.0 /30

R1의 인터페이스: 172.16.200.2 /30

R5의 인터페이스: 172.16.200.1 /30

VLANID: 100 - 이전 라우터

VLANID: 101 - 새 라우터

참고: R5는 R3(Cisco IOS 소프트웨어, C2900 소프트웨어(C2900-UNIVERSALK9_NPE-M), 버전 15.0(1)M1, RELEASE SOFTWARE(fc1)) 기반의 가상 라우터를 사용합니다.

R3 라우터에는 3개의 기가비트 이더넷 포트가 장착되어 있으며 인터페이스 Gi0/0은 내부 라우팅에 사용되며 Gi0/1은 하드웨어 방화벽에 연결하는 데 사용되며 Gi0/2는 외부 공급자에 연결하는 데 사용됩니다.

R5 라우터 구성으로 넘어 갑시다.

구성 모드로 이동:
R3(config)#ip vrf zone1
이 명령은 라우터에 격리된 라우팅 테이블을 만듭니다. 이름 구역1관리자가 선택했습니다. ID와 설명을 할당할 수도 있습니다. 자세한 내용은 설명서에서 확인할 수 있습니다. 완료되면 명령을 사용하여 구성 모드로 돌아갑니다. 출구.

네트워크 인터페이스 설정:
R3(config)#interface GigabitEthernet0/0.100

R3(config-subif)#캡슐화 dot1Q 100
R3(config-subif)#ip 주소 172.16.100.2 255.255.255.252
R3(config-subif)#exit
R3(config)#interface GigabitEthernet0/0.101
R3(config-subif)#ip vrf 전달 영역1
R3(config-subif)#캡슐화 dot1Q 101
R3(config-subif)#ip 주소 172.16.100.6 255.255.255.252
R3(config-subif)#exit
R3(config)#interface GigabitEthernet0/0.1000
R3(config-subif)#ip vrf 전달 영역1
R3(config-subif)#캡슐화 dot1Q 1000
R3(config-subif)#ip 주소 172.16.200.1 255.255.255.252
R3(config-subif)#exit
이제 PBR을 구성해야 합니다. 이를 위해 다음 규칙에 따라 ACL을 구성합니다. ACL에 속하는 모든 사람은 이전 게이트웨이를 통해 라우팅되고 나머지는 새 게이트웨이를 통해 라우팅됩니다.
R3(config)#access-list 101 거부 IP 호스트 192.168.3.24 모두
R3(config)#access-list 101 거부 IP 호스트 192.168.3.25 모두
R3(config)#access-list 101 거부 IP 호스트 192.168.3.26 모두
R3(config)#access-list 101 allow ip any any
경로 지도 만들기:
R3(config)#route-map gw1 허가 50
R3(config-route-map)#match ip 주소 101
R3(config-route-map)#set ip vrf zone1 다음 홉 172.16.100.1
R3(config-route-map)#exit
인터페이스에 적용합니다.
R3(config)#interface GigabitEthernet0/0.1000
R3(config-subif)#ip 정책 경로 맵 gw1
R3(config-subif)#exit
라우팅 테이블에 기본 경로 추가 구역1:
R3(config)#ip route vrf zone1 0.0.0.0 0.0.0.0 GigabitEthernet0/0.101 172.16.100.5
그리고 라우팅 테이블을 확인 구역1
R3#show ip 경로 vrf zone1
라우팅 테이블:zone1
코드: L - 로컬, C - 연결됨, S - 정적, R - RIP, M - 모바일, B - BGP
D - EIGRP, EX - EIGRP 외부, O - OSPF, IA - OSPF 내부 영역
N1 - OSPF NSSA 외부 유형 1, N2 - OSPF NSSA 외부 유형 2
E1 - OSPF 외부형 1, E2 - OSPF 외부형 2
i - IS-IS, su - IS-IS 요약, L1 - IS-IS 레벨-1, L2 - IS-IS 레벨-2
ia - IS-IS 영역 간, * - 후보 기본값, U - 사용자별 정적 경로
o - ODR, P - 정기적으로 다운로드되는 정적 경로, + - 복제된 경로

마지막 수단의 게이트웨이는 네트워크 0.0.0.0에 대한 172.16.100.5입니다.

172.16.100.5를 통한 S* 0.0.0.0/0, GigabitEthernet0/0.101
172.16.0.0/16은 가변 서브넷, 6개 서브넷, 2개 마스크
C 172.16.100.0/30은 직접 연결, GigabitEthernet0/0.100
L 172.16.100.2/32는 직접 연결, GigabitEthernet0/0.100
C 172.16.100.4/30은 직접 연결, GigabitEthernet0/0.101
L 172.16.100.6/32는 직접 연결, GigabitEthernet0/0.101
C 172.16.200.0/30은 직접 연결, GigabitEthernet0/0.1000
L 172.16.200.1/32는 직접 연결, GigabitEthernet0/0.1000
클라이언트 네트워크의 트래픽을 서로 다른 게이트웨이로 나누는 작업이 해결되었습니다. 결정의 단점 중 글로벌 네트워크에 연결된 라우터는 하드웨어 방화벽을 우회하여 로컬 네트워크에 직접 연결되기 때문에 라우터 하드웨어의 부하 증가와 보안 약화에 주목하고 싶습니다.

안녕하세요.

한때 나는 Cisco와 거래해야했습니다. 오랫동안은 아니지만 여전히. Cisco와 관련된 모든 것이 이제 매우 인기가 있습니다. 한때 저는 지역 대학에서 지역 Cisco 아카데미 개설에 참여했습니다. 1 년 전에 저는 ""코스에있었습니다. 그러나 우리는 특히 공부하는 동안 항상 장비 자체에 접근할 수 있는 것은 아닙니다. 에뮬레이터가 구출됩니다. 시스코용도 있습니다. 저는 Boson NetSim으로 시작했고 이제 거의 모든 학생들이 Cisco Packet Tracer를 사용하고 있습니다. 그럼에도 불구하고 시뮬레이터 세트는 이 두 가지 유형으로 제한되지 않습니다.

얼마 전 "가장 작은 네트워크" 주기에서 우리는 Cisco Packet Tracer보다 우리의 요구에 더 잘 맞는 GNS3 에뮬레이터로 전환했습니다.

그러나 우리에게는 어떤 대안이 있습니까? 아직 Habré에 대한 계정이 없는 Alexander 일명 Sinister가 그들에 대해 말할 것입니다.

Cisco Systems 장비용 시뮬레이터와 에뮬레이터는 상당히 많습니다. 이 짧은 리뷰에서는 이 문제를 해결하는 모든 기존 도구를 보여주려고 노력할 것입니다. 이 정보는 네트워크 기술을 연구하고, Cisco 시험을 준비하고, 문제 해결 랙을 수집하고, 보안 문제를 조사하는 사람들에게 유용할 것입니다.

약간의 용어.

시뮬레이터- 그들은 특정 명령 세트를 모방하고, 꿰매어지고 넘어 가면 즉시 오류 메시지가 나타납니다. 전형적인 예는 Cisco Packet Tracer입니다.

에뮬레이터반대로 실제 장치의 이미지(펌웨어)를 눈에 보이는 제한 없이 재생(바이트 변환 수행)할 수 있습니다. GNS3/Dynamips가 그 예입니다.

먼저 Cisco Packet Tracer를 살펴보겠습니다.

1.Cisco 패킷 추적기

이 시뮬레이터는 Windows 및 Linux 모두에서 사용할 수 있으며 Cisco Networking Academy 학생은 무료로 사용할 수 있습니다.

6번째 버전에는 다음과 같은 것들이 있었습니다.

아이폰 OS 15
HWIC-2T 및 HWIC-8A 모듈
3개의 새 장치(Cisco 1941, Cisco 2901, Cisco 2911)
HSRP 지원
최종 장치(데스크톱) 설정의 IPv6.

느낌은 새 릴리스가 CCNA 시험을 버전 2.0으로 업데이트할 때 딱 맞았다는 것입니다.

그것의 장점은 인터페이스의 친화성과 논리입니다. 또한 DHCP/DNS/HTTP/SMTP/POP3, NTP 등 다양한 네트워크 서비스의 동작 확인이 편리합니다.

그리고 가장 흥미로운 기능 중 하나는 시뮬레이션 모드로 전환하고 시간 팽창으로 패킷의 움직임을 볼 수 있는 기능입니다.

같은 매트릭스가 생각났습니다.

CCNA 범위를 벗어나는 거의 모든 것은 수집할 수 없습니다. 예를 들어 EEM은 완전히 없습니다.
또한 때때로 프로그램을 다시 시작해야만 처리되는 다양한 결함이 나타날 수 있습니다. STP 프로토콜은 특히 유명합니다.

우리는 무엇으로 끝납니까?

Cisco 장비를 이제 막 접하기 시작한 사람들에게 좋은 도구입니다.

다음은 dynamips 에뮬레이터용 GUI(Qt)인 GNS3입니다.

Linux, Windows 및 Mac OS X에서 사용할 수 있는 무료 프로젝트입니다. GNS 프로젝트 웹사이트는 www.gns3.net입니다. 그러나 대부분의 성능 향상 기능은 Linux(동일한 펌웨어를 많이 사용할 때 작동하는 고스트 IOS)에서만 작동하며 64비트 버전도 Linux 전용입니다. 현재 GNS의 현재 버전은 0.8.5입니다. 이것은 실제 IOS 펌웨어와 함께 작동하는 에뮬레이터입니다. 사용하기 위해서는 펌웨어가 있어야 합니다. Cisco 라우터를 구입했다고 가정해 보겠습니다. VirtualBox 또는 VMware Workstation 가상 머신을 여기에 연결하고 매우 복잡한 구성표를 만들 수 있습니다. 원하는 경우 더 나아가 실제 네트워크로 릴리스할 수 있습니다. 또한 Dynamips는 이전 Cisco PIX와 악명 높은 Cisco ASA(버전 8.4까지)를 모두 에뮬레이트할 수 있습니다.

그러나이 모든 것에는 많은 단점이 있습니다.

플랫폼의 수는 엄격하게 제한되어 있습니다. dynamips 개발자가 제공하는 섀시만 시작할 수 있습니다. iOS 15 버전 실행은 7200 플랫폼에서만 가능합니다. Catalyst 스위치를 완전히 사용하는 것은 불가능합니다. 이는 특정 집적 회로를 많이 사용하기 때문에 에뮬레이트하기가 매우 어렵기 때문입니다. 라우터용으로 네트워크 모듈(NM)을 사용해야 합니다. 많은 수의 장치를 사용하면 성능이 저하됩니다.

마른 찌꺼기에는 무엇이 있습니까?

꽤 복잡한 토폴로지를 만들고 CCNP 레벨 시험을 준비할 수 있는 도구입니다.

3.보손 넷심

최근 버전 9로 업데이트된 Boson NetSim 시뮬레이터에 대한 몇 마디.

Windows에서만 사용할 수 있으며 가격은 CCNA의 경우 $179에서 CCNP의 경우 $349입니다.

시험 주제별로 그룹화된 실험실 작업 모음입니다.

스크린샷에서 볼 수 있듯이 인터페이스는 여러 섹션으로 구성됩니다. 작업 설명, 네트워크 맵, 왼쪽에는 모든 랩 목록이 있습니다. 완료되면 결과를 확인하고 모든 작업이 완료되었는지 확인할 수 있습니다. 일부 제한 사항이 있는 고유한 토폴로지를 만들 수 있습니다.

Boson NetSim의 주요 기능:

라우터 42개, 스위치 6개 및 기타 장치 3개 지원
가상 패킷 기술을 사용하여 네트워크 트래픽을 시뮬레이션합니다.
Telnet 모드 또는 콘솔 연결 모드의 두 가지 브라우징 스타일을 제공합니다.
단일 토폴로지에서 최대 200개의 장치 지원
자체 랩을 만들 수 있습니다.
SDM 시뮬레이션을 지원하는 실험실 포함
TFTP 서버, TACACS+ 및 패킷 생성기와 같은 비 Cisco 장치를 포함합니다(아마도 동일한 3개의 다른 장치일 것입니다).

Packet Tracer와 동일한 단점이 있습니다.

어느 정도 아쉬워하지 않고 동시에 자신의 토폴로지를 이해하고 만들고 싶지 않고 시험 전에 연습하고 싶은 분들은 많은 도움이 될 것입니다.

공식 웹사이트는 www.boson.com/netsim-cisco-network-simulator입니다.

4. 시스코 CSR

이제 상당히 최근의 Cisco CSR을 고려하십시오.

비교적 최근에 가상 Cisco Cloud Service Router 1000V가 등장했습니다.

Cisco 공식 웹 사이트에서 사용할 수 있습니다.

이 에뮬레이터를 다운로드하려면 사이트에 등록하기만 하면 됩니다. 무료로. Cisco와의 계약은 필요하지 않습니다. Cisco는 이전에 모든 방법으로 에뮬레이터와 싸웠고 장비 대여만 권장했기 때문에 이것은 실제로 이벤트입니다. 예를 들어 RedHat 또는 그 파생물인 가상 머신인 OVA 파일을 다운로드할 수 있습니다. 가상 머신은 시작할 때마다 iso 이미지를 로드하며 그 안에 실제 펌웨어인 CSR1000V.BIN을 찾을 수 있습니다. 음, Linux는 래퍼, 즉 호출 변환기 역할을 합니다. 사이트에 나열된 요구 사항 중 일부는 DRAM 4096MB 플래시 8192MB입니다. 오늘날의 능력으로는 문제가 되지 않습니다. CSR은 GNS3 토폴로지에서 또는 Nexus 가상 스위치와 함께 사용할 수 있습니다.

CSR1000v는 하이퍼바이저에서 클라이언트 인스턴스로 실행되고 일반 ASR1000 라우터의 서비스를 제공하는 가상 라우터(Quagga와 같지만 Cisco의 IOS)로 구현됩니다. 기본 라우팅 또는 NAT와 같은 간단한 것부터 VPN MPLS 또는 LISP와 같은 것까지 다양할 수 있습니다. 결과적으로 우리는 Cisco ASR 1000의 거의 본격적인 공급자를 보유하고 있습니다. 작업 속도가 상당히 빠르고 실시간으로 작동합니다.

단점이 없는 것은 아닙니다. 평가판 라이센스는 60일 동안만 무료로 사용할 수 있습니다. 또한 이 모드에서는 대역폭이 10, 25 또는 50Mbps로 제한됩니다. 이러한 라이센스가 종료되면 속도가 2.5Mbps로 떨어집니다. 1년 라이센스 비용은 약 $1000입니다.

5. 시스코 넥서스 티타늄

Titanium은 NX-OS라고도 하는 Cisco Nexus 스위치용 운영 체제의 에뮬레이터입니다. Nexus는 데이터 센터의 스위치로 포지셔닝됩니다.

이 에뮬레이터는 내부용으로 Cisco에서 직접 제작했습니다.

얼마 전에 VMware를 기반으로 구축된 Titanium 5.1.(2)의 이미지가 공개 도메인에 포함되었습니다. 그리고 얼마 후 Cisco Nexus 1000V가 나타났습니다. 이 제품은 별도로 또는 Vmware vSphere Enterprise Plus 에디션의 일부로 합법적으로 구입할 수 있습니다. 웹사이트 www.vmware.com/ru/products/cisco-nexus-1000V/에서 확인할 수 있습니다.

데이터 센터 트랙을 준비하는 모든 사람에게 적합합니다. 몇 가지 특이점이 있습니다. 전원을 켠 후 부팅 프로세스가 시작되고 (CSR의 경우 Linux도 표시됨) 중지됩니다. 모든 것이 얼어붙은 것 같지만 그렇지 않습니다. 이 에뮬레이터에 대한 연결은 명명된 파이프를 통해 이루어집니다.

명명된 파이프는 프로세스 간 통신 방법 중 하나입니다. 유닉스 계열 시스템과 Windows 모두에 존재합니다. 연결하려면 예를 들어 Putty를 열고 직렬 연결 유형을 선택하고 \\.\pipe\vmwaredebug를 지정하십시오.

6. 시스코 IOU

마지막으로 유명한 Cisco IOU(UNIX의 Cisco IOS)는 공식적으로 전혀 배포되지 않은 독점 소프트웨어입니다.

Cisco가 IOU를 사용하는 사람을 추적하고 식별할 수 있다는 의견이 있습니다.

시작할 때 xml.cisco.com 서버에 대해 HTTP POST 요청이 시도됩니다. 전송되는 데이터에는 호스트 이름, 사용자 이름, IOU 버전 등이 포함됩니다.

Cisco TAC는 IOU를 사용하는 것으로 알려져 있습니다. 에뮬레이터는 CCIE를 준비하는 사람들에게 매우 인기가 있습니다. 처음에는 Solaris에서만 작동했지만 시간이 지남에 따라 Linux로 포팅되었습니다. 그것은 l2iou와 l3iou의 두 부분으로 구성되며 이름으로 첫 번째는 링크 계층과 스위치를 에뮬레이트하고 두 번째는 네트워크와 라우터를 에뮬레이트한다고 추측할 수 있습니다.

웹 인터페이스의 작성자는 Andrea Dainese입니다. 그의 웹사이트는 www.routeroreflector.com/cisco/cisco-iou-web-interface/입니다. 사이트 자체에는 IOU나 펌웨어가 없으며, 또한 저자는 웹 인터페이스가 IOU를 사용할 권리가 있는 사람들을 위해 만들어졌다고 말합니다.

그리고 마지막에 약간의 요약.

결과적으로 현재 Cisco 장비의 에뮬레이터 및 시뮬레이터는 상당히 광범위합니다. 이를 통해 다양한 트랙(클래식 R/S, 서비스 제공업체 및 데이터 센터)의 시험을 거의 완벽하게 준비할 수 있습니다. 약간의 노력으로 다양한 토폴로지를 수집 및 테스트하고 취약성 조사를 수행하며 필요한 경우 에뮬레이트된 장비를 실제 네트워크에 릴리스할 수 있습니다.