Folosim GNS3 pentru a comunica cu mașinile reale și virtuale ale VirtualBox. Caracteristici Cisco ASAv Virtual Firewall, implementare și configurare Implementarea ASAv utilizând VMware vSphere Web Client

Prieteni, suntem încântați să vă anunțăm că începem să publicăm articole de la cititorii noștri.
Materialul de astăzi de la invitatul nostru podcast Alexander alias Sinister.

============================
Special pentru proiectul linkmeup

Există un număr destul de mare de simulatoare și emulatoare pentru echipamentele Cisco Systems.
În această scurtă recenzie, voi încerca să arăt toate instrumentele existente care rezolvă această problemă.
Informațiile vor fi utile celor care studiază tehnologiile de rețea, se pregătesc pentru a susține examene Cisco, colectează rafturi de depanare sau cercetează probleme de securitate.

În primul rând, ceva terminologie.
Simulatoare - imită un anumit set de comenzi, este încorporat și de îndată ce trecem dincolo, vom primi imediat un mesaj de eroare. Un exemplu clasic este Cisco Packet Tracer.
Emulatoarele, dimpotrivă, vă permit să redați (efectuând traducerea de octeți) imagini (firmware) ale dispozitivelor reale, adesea fără restricții vizibile. Un exemplu este GNS3/Dynamips.


Să ne uităm mai întâi la Cisco Packet Tracer.

Cisco Packet Tracer


Acest simulator este disponibil atât pentru Windows, cât și pentru Linux, gratuit pentru studenții Cisco Networking Academy.
În a șasea versiune au existat lucruri precum:

  • iOS 15
  • Modulele HWIC-2T și HWIC-8A
  • 3 dispozitive noi (Cisco 1941, Cisco 2901, Cisco 2911)
  • Suport HSRP
  • IPv6 în setările dispozitivului final (desktop-uri)
Sentimentul este că noua versiune a fost tocmai la timp pentru actualizarea examenului CCNA la versiunea 2.0.

Avantajele sale sunt prietenia și logica interfeței. În plus, este convenabil să verificați funcționarea diferitelor servicii de rețea, cum ar fi DHCP / DNS / HTTP / SMTP / POP3 și NTP.
Și una dintre cele mai interesante caracteristici este abilitatea de a comuta la modul de simulare și de a vedea cum se mișcă pachetele cu dilatarea timpului.
Mi-a adus aminte de aceeași Matrix.

Minusuri:

  • Aproape tot ceea ce depășește domeniul de aplicare al CCNA nu poate fi colectat pe acesta. De exemplu, EEM este complet absent.
  • De asemenea, pot apărea uneori diverse erori, care sunt tratate doar prin repornirea programului. Protocolul STP este deosebit de renumit pentru acest lucru.
Cu ce ​​ajungem?
- Un instrument bun pentru cei care tocmai au început să se cunoască cu echipamentele Cisco.

GNS3

Următorul este GNS3, care este o GUI (în Qt) pentru emulatorul dynamips.

Proiect gratuit, disponibil pentru Linux, Windows și Mac OS X.
Site-ul web al proiectului GNS - www.gns3.net/
Dar cele mai multe dintre funcțiile sale de îmbunătățire a performanței funcționează numai sub Linux (IOS fantomă, care funcționează atunci când se utilizează multe din același firmware), versiunea pe 64 de biți este, de asemenea, numai pentru Linux.
Versiunea actuală a GNS în acest moment este 0.8.5
Acesta este un emulator care funcționează cu firmware IOS real. Pentru a-l folosi, trebuie să aveți firmware-ul. Să presupunem că ați cumpărat un router Cisco, le puteți scoate din el.
Puteți conecta mașinile virtuale VirtualBox sau VMware Workstation la acesta și puteți crea scheme destul de complexe, dacă doriți, puteți merge mai departe și îl puteți elibera într-o rețea reală.
În plus, Dynamips poate emula atât vechiul Cisco PIX, cât și faimosul Cisco ASA, chiar și versiunea 8.4.

Dar cu toate acestea există o mulțime de neajunsuri.

  • Numărul de platforme este strict limitat: pot fi lansate doar acele șasiuri care sunt furnizate de dezvoltatorii dynamips.
  • Este posibil să rulați versiunea ios 15 numai pe platforma 7200.
  • Este imposibil să utilizați pe deplin comutatoarele Catalyst, acest lucru se datorează faptului că folosesc un număr mare de circuite integrate specifice, care sunt, prin urmare, extrem de greu de emulat. Rămâne să folosiți module de rețea (NM) pentru routere.
  • Când utilizați un număr mare de dispozitive, performanța este garantată să scadă.
Ce avem în reziduul uscat?
- Un instrument în care puteți crea topologii destul de complexe, pregătiți pentru examenele de nivel CCNP, cu unele rezerve.

Boson NetSim

Câteva cuvinte despre simulatorul Boson NetSim, care a fost actualizat recent la versiunea 9.

Disponibil numai pentru Windows, prețul variază de la 179 USD pentru CCNA la 349 USD pentru CCNP.
Este o colecție de lucrări de laborator, grupate pe subiecte de examen.
După cum puteți vedea din capturi de ecran, interfața este formată din mai multe secțiuni: descrierea sarcinii, harta rețelei, în partea stângă există o listă cu toate laboratoarele.
Când ați terminat, puteți verifica rezultatul și puteți afla dacă totul a fost făcut.
Este posibil să vă creați propriile topologii, cu unele restricții.

Cisco CSR

Acum luați în considerare un CSR Cisco destul de recent.
Relativ recent, a apărut un router virtual Cisco Cloud Service 1000V.

Perfect pentru oricine se pregătește să urmeze calea centrului de date.
Are o anumită particularitate - după pornire, procesul de pornire începe (ca și în cazul CSR, vom vedea și Linux) și se oprește. Se pare că totul este înghețat, dar nu este.
Conexiunea la acest emulator se face prin conducte numite.

O conductă numită este una dintre metodele de comunicare între procese.
Ele există atât pe sisteme asemănătoare Unix, cât și pe Windows.

Pentru a vă conecta, deschideți chit, de exemplu, selectați tipul de conexiune serială și specificați \\.\pipe\vmwaredebug.

Folosind GNS3 și QEMU (emulatorul de sistem de operare ușor care vine cu GNS3 pentru Windows), puteți construi topologii care vor folosi comutatoarele Nexus. Și din nou, puteți elibera acest comutator virtual într-o rețea reală.

Cisco IOU

Și, în sfârșit, celebrul Cisco IOU (Cisco IOS pe UNIX) este un software proprietar care nu este deloc distribuit oficial.

Există o părere că Cisco poate urmări și identifica cine folosește IOU.
La pornire, se încearcă o solicitare HTTP POST către serverul xml.cisco.com.
Datele care sunt trimise includ numele de gazdă, numele de utilizator, versiunea IOU și așa mai departe.

Cisco TAC este cunoscut că folosește IOU.
Emulatorul este foarte popular printre cei care se pregătesc pentru CCIE.
Inițial, a funcționat doar sub Solaris, dar în timp a fost portat pe Linux.
Este format din două părți - l2iou și l3iou, după nume puteți ghici că prima emulează stratul de legătură și comutatoarele, iar a doua - rețea și routere.

Configurarea se realizează prin editarea fișierelor de configurare text, dar cu ceva timp în urmă a fost dezvoltată și o interfață grafică, o interfață web pentru aceasta.

Interfața este destul de intuitivă, cu ajutorul ei puteți efectua aproape toate acțiunile.

Rularea unei astfel de topologii duce la doar 20% de utilizare a procesorului.

Apropo, aceasta este topologia pentru pregătirea pentru CCIE.

Pentru a vă conecta la orice dispozitiv din diagramă, faceți clic pe el și se va deschide imediat chitul.

Posibilitățile IOU sunt într-adevăr foarte mari.
Deși nu lipsit de dezavantaje, există încă unele probleme la nivelul legăturii de date.
În unele, de exemplu, este imposibil să setați duplexul greu, dar toate acestea sunt fleacuri - toate funcționalitățile principale funcționează și funcționează bine.

Autorul interfeței web este Andrea Dainese.
Site-ul său: www.routeroreflector.com/cisco/cisco-iou-web-interface/
Nu există IOU sau firmware pe site-ul propriu-zis, mai mult, autorul afirmă că interfața web a fost creată pentru persoanele care au dreptul de a utiliza IOU.

Și un mic rezumat la final

După cum s-a dovedit, în acest moment există o gamă destul de largă de emulatoare și simulatoare ale echipamentelor Cisco.
Acest lucru vă permite să vă pregătiți aproape complet pentru examene de diferite piese (clasic R / S, furnizor de servicii și chiar centru de date).
Cu ceva efort, puteți colecta și testa o varietate de topologii, puteți efectua cercetări de vulnerabilitate și, dacă este necesar, puteți elibera echipamente emulate într-o rețea reală.

(Podul Bay care leagă San Francisco de Insula Comorii a fost transformat în cea mai mare sculptură luminoasă din lume folosind comutatoare Cisco.)

===========================

Adăugiri de la eucariot.

Aș vrea să spun despre simulatorul de echipamente Huawei.

eNSP

Platforma de simulare a rețelei de întreprindere simulează routerele, comutatoarele și punctele finale la nivel de întreprindere. De fapt, este mai aproape de Cisco Packet Tracer, are o interfață grafică clară și este doar un simulator.

Distribuit complet gratuit - doar înregistrați-vă pe site.

Implementează un număr mare de funcții ale echipamentelor reale, de fapt, doar lucruri destul de specifice nu pot fi implementate. Sunt disponibile MSTP, RRPP, SEP, BFD, VRRP, diverse IGP, GRE, BGP, MPLS, L3VPN.
Puteți începe multicast, adică selectați un fișier video pe server și puteți viziona videoclipul pe client prin rețeaua configurată (cu siguranță vom folosi asta în problema SDSM despre multicast).

Puteți captura pachete cu un wireshark.

Nu am lucrat foarte mult cu el, dar nu au fost găsite erori, încărcarea procesorului este destul de acceptabilă.

Și, ei spun că există un emulator Huawei special super-puternic care implementează pe deplin toate caracteristicile routerelor high-end pe care le folosește Huawei TAC, dar toată lumea știe că acestea sunt doar zvonuri.

Nu este un secret pentru nimeni că, pentru a vă construi propria infrastructură de calcul, trebuia să recurgeți la utilizarea echipamentelor specializate concepute pentru o varietate de scopuri și să cheltuiți un ban în plus fie pentru achiziționarea acestuia, fie pentru închiriere. Și acesta este doar începutul epopeei, pentru că atunci întreaga responsabilitate pentru managementul infrastructurii a căzut pe umerii companiei însăși.

Odată cu apariția tehnologiilor de virtualizare și a cererilor tot mai mari de performanță, disponibilitate și fiabilitate a sistemelor de calcul, companiile au început să opteze din ce în ce mai mult pentru soluții cloud și site-uri virtuale ale furnizorilor de încredere IaaS. Și acest lucru este de înțeles: multe organizații au cerințe crescute, majoritatea dintre ele doresc să vadă soluții flexibile implementate cât mai repede posibil și, în același timp, să nu aibă probleme în ceea ce privește managementul infrastructurii.

Această abordare nu este ceva nou astăzi, dimpotrivă, devine din ce în ce mai comună tactică pentru managementul eficient al întreprinderii/infrastructurii.

Redistribuirea și transferul majorității sarcinilor de lucru de la site-urile fizice la cele virtuale, printre altele, necesită dezvoltarea problemelor de implementare a securității. Securitatea – atât din punct de vedere fizic, cât și din punct de vedere virtual – trebuie să fie mereu la vârf. Desigur, pe piața IT există multe soluții menite să ofere și să garanteze un nivel ridicat de protecție pentru mediile virtuale.

Să aruncăm o privire mai atentă la paravanul de protecție virtual anunțat relativ recent CiscoASAv, care a înlocuit paravanul de protecție cloud Cisco ASA 1000v. Cisco pe site-ul său oficial anunță încetarea vânzărilor și a asistenței pentru Cisco ASA 1000v, înlocuindu-l cu instrumentul emblematic de protecție pentru infrastructuri cloud, virtuale în fața produsului Cisco ASAv.

În general, este de remarcat faptul că în ultimii ani, Cisco și-a crescut activitatea pe segmentul de virtualizare, suplimentând linia de soluții hardware cu produse virtualizate. Apariția Cisco ASAv este o altă confirmare a acestui lucru.

Cisco ASAv (aparatul virtual Cisco Adaptive Security), după cum am menționat mai devreme, este un firewall virtual. Concentrat pe lucrul într-un mediu virtual și are funcționalitatea de bază a „fierului” Cisco ASA, cu excepția modului multi-context și a grupării.

Prezentare generală Cisco ASAv

Cisco ASAv oferă funcționalitate firewall pentru a proteja datele din centrele de date și mediile cloud. Cisco ASAv este o mașină virtuală care poate rula pe diferite hipervizoare, inclusiv VMware ESXi, interacționând cu „comutatoarele” virtuale pentru a procesa traficul. Firewall-ul virtual poate funcționa cu o varietate de comutatoare virtuale, inclusiv Cisco Nexus 1000v, VMware dvSwitch și vSwitch. Cisco ASAv acceptă implementarea VPN Site-to-Site, VPN cu acces la distanță și acces la distanță VPN fără client, la fel ca dispozitivele fizice Cisco ASA.

Figura 1 Arhitectura Cisco ASAv

Cisco ASAv utilizează Cisco Smart Licensing, care simplifică foarte mult implementarea, gestionarea și monitorizarea instanțelor virtuale Cisco ASAv utilizate de clienți.

Caracteristici și beneficii cheie ale Cisco ASAv

  • Strat de securitate unic pe mai multe domenii

Cisco ASAv oferă un singur strat de securitate pentru site-urile fizice și virtuale, cu capacitatea de a utiliza mai multe hipervizoare. În contextul construirii unei infrastructuri IT, clienții folosesc adesea un model hibrid, când unele dintre aplicații sunt adaptate pentru infrastructura fizică a companiei, iar cealaltă pentru un site virtual cu mai mulți hipervizori. Cisco ASAv utilizează opțiuni de implementare consolidate în care o singură politică de securitate poate fi aplicată atât dispozitivelor fizice, cât și virtuale.

  • Ușurință în management

Cisco ASAv utilizează un API REST (Reprezentational State Transfer) bazat pe o interfață HTTP obișnuită, care vă permite să gestionați dispozitivul în sine, precum și să modificați politicile de securitate și să monitorizați stările stărilor.

  • Ușurință de implementare

Un Cisco ASAv preconfigurat poate fi implementat într-un timp foarte scurt.

Cisco ASAv este o familie de produse disponibile în următoarele modele:

Figura 2. Familia de produse Cisco ASAv

Specificația Cisco ASAV

Cisco ASAv5 Cisco ASAv10 Cisco ASAv30
Lățime de bandă cu stare (maximum) 100 Mbps 1 Gbps 2 Gbps
Lățime de bandă cu stat (multiprotocol) 50 Mbps 500 Mbps 1 Gbps
Lățime de bandă cu VPN (3DES/AES) 30 Mbps 125 Mbps 300 Mbps
Numărul de conexiuni pe secundă 8 000 20 000 60 000
Numărul de sesiuni simultane 50 000 100 000 500 000
Numărul de rețele locale virtuale (VLAN-uri) 25 50 200
Numărul de sesiuni VPN de utilizator între gazde și cu un client IPsec 50 250 750
Numărul de sesiuni de utilizator VPN AnyConnect sau acces fără un program client 50 250 750
Numărul de utilizatori ai sistemului de protecție cloud Cisco Cloud Web Security 250 1 000 5 000
Suport de înaltă disponibilitate activ/standby activ/standby activ/standby
Suport pentru hypervisor VMware ESX/ESXi 5.X, KVM 1.0 VMware ESX/ESXi 5.X, KVM 1.0 VMware ESX/ESXi 5.X, KVM 1.0
Numărul de vCPU 1 1 4
Memorie 2 GB 2 GB 8 GB
HDD 8 GB 8 GB 16 GB

Funcționalitatea VMware este acceptată în ASAv

Funcționalitate Descriere Asistență (Da/Nu)
clonarea la rece Mașinile virtuale se închid în timpul clonării da
DRS Folosit pentru planificarea dinamică a resurselor și gestionarea capacității distribuite da
adauga fierbinte Mașinile virtuale rămân în funcțiune în timp ce sunt adăugate resurse suplimentare da
Clonare la cald (clonare la cald) Mașinile virtuale rămân în funcțiune în timpul clonării Nu
Îndepărtarea la cald (îndepărtarea la cald) Mașinile virtuale rămân în funcțiune în timpul ștergerii resurselor da
Instantanee Mașinile virtuale fac pauză pentru câteva secunde da
Suspendați și reluați Mașinile virtuale sunt întrerupte și apoi reluate da
vCloud Manager Permite implementarea automată a mașinilor virtuale Nu
Migrarea mașinilor virtuale Mașinile virtuale se închid în timpul migrării da
vMotion Se folosește migrarea live a mașinilor virtuale da
VMware FT (Tehnologie de disponibilitate continuă) Folosit pentru disponibilitatea ridicată a mașinilor virtuale Nu
VMware HA Minimizează pierderile din defecțiunile hardware fizice și repornește mașinile virtuale pe o altă gazdă din cluster în caz de defecțiune da
Client Windows VMware vSphere Standalone da
VMware vSphere Web Client Folosit pentru a implementa mașini virtuale da

Implementarea ASAv cu VMware vSphere Web Client

Dacă decideți să implementați ASAv pe un site la distanță al unui furnizor IaaS sau pe orice alt site virtualizat, pentru a evita momentele neașteptate și nefuncționale, ar trebui să acordați imediat atenție cerințelor și restricțiilor suplimentare:

  • Implementarea ASAv dintr-un fișier ova nu acceptă localizarea. Trebuie să vă asigurați că serverele VMware vCenter și LDAP din mediul dvs. utilizează modul de compatibilitate ASCII.
  • Înainte de a instala ASAv și de a utiliza consola mașinii virtuale, trebuie să setați un aspect predefinit pentru tastatură (Statele Unite ale Americii engleză).

Puteți utiliza VMware vSphere Web Client pentru a instala ASAv. Pentru a face acest lucru, trebuie să vă conectați folosind un link predefinit în . În mod implicit, este utilizat portul 9443, dar în funcție de specificul configurației, valoarea poate diferi.

  • Prima dată când accesați VMware vSphere Web Client, trebuie să instalați pluginul (Client Integration Plug-in), care este disponibil pentru descărcare direct din fereastra de autentificare.
  • După instalarea cu succes, ar trebui să vă reconectați la VMware vSphere Web Client și să vă conectați cu numele de utilizator și parola.
  • Înainte de a începe instalarea Cisco ASAv, trebuie să descărcați fișierul ASAv OVA de la http://cisco.com/go/asa-software și să vă asigurați că aveți cel puțin o interfață de rețea vSphere configurată.
  • În fereastra de navigare a VMware vSphere Web Client, trebuie să comutați la panou vCenterși du-te la gazdeșiClustere. Făcând clic pe centru de date, cluster sau gazdă, în funcție de locul în care decideți să instalați Cisco ASAv, selectați opțiunea de implementare a șablonului OVF ( ImplementeazăOVFȘablon).

Figura 3. Implementarea șablonului OVF ASAv

  • În fereastra OVF Template Deployment Wizard, în secțiunea Sursă trebuie să selectați fișierul OVA de instalare Cisco ASAv. Rețineți că în fereastra de vizualizare detaliată ( Revizuire Detalii) afișează informații despre pachetul ASAv.

Figura 4. Prezentare generală a detaliilor instalării ASAv

  • Prin acceptarea acordului de licență de pe pagină Accept EULA, să trecem la determinarea numelui instanței Cisco ASAv și a locației fișierelor mașinii virtuale.
  • În calul de selecție a configurației ( Selectați configurație) trebuie să utilizați următoarele valori:
    • Pentru configurația Standalone, selectați 1 (sau 2, 3, 4) vCPU Standalone.
    • Pentru configurația de failover, selectați 1 (sau 2, 3, 4) vCPU HA Primary.
  • În fereastra de selectare a stocării ( Selectați Depozitare) determină formatul discului virtual, pentru a economisi spațiu va fi util să selectezi opțiunea prevedere subțire. De asemenea, trebuie să selectați spațiul de stocare în care va rula ASAv.

Figura 5. Fereastra de selectare a stocării

  • În fereastra de configurare a rețelei ( Înființat reţea) selectează interfața de rețea care va fi utilizată când ASAv rulează. Vă rugăm să rețineți că lista interfețelor de rețea nu este specificată în ordine alfabetică, ceea ce uneori face dificilă găsirea elementului dorit.

Figura 6. Fereastra Setări de rețea

Când implementați o instanță ASAv, puteți utiliza caseta de dialog Editați setările rețelei pentru a modifica setările rețelei. Figura 7 prezintă un exemplu de mapare între ID-urile adaptoarelor de rețea și ID-urile interfeței ASAv.

Figura 7 Maparea adaptoarelor de rețea și a interfețelor ASAv

  • Nu este necesar să utilizați toate interfețele ASAv, totuși vSphere Web Client necesită alocarea rețelelor tuturor interfețelor. Interfețele care nu sunt planificate a fi utilizate trebuie puse în stare Dezactivat(dezactivat) în setările ASAv. Odată ce ASAv este implementat în vSphere Web Console, puteți elimina interfețele redundante folosind caseta de dialog Editare setări ( Editați | × Setări).
  • În fereastra de personalizare a șablonului ( Personalizați șablon) trebuie făcute o serie de setări cheie, inclusiv configurarea adresei IP, a măștii de subrețea și a parametrilor impliciti ai gateway-ului. În mod similar, setați adresa IP a clientului permisă pentru accesul ASDM și, dacă este necesar un gateway separat pentru a comunica cu clientul, setați adresa IP a acestuia.

Figura 8. Fereastra de personalizare a șablonului

  • De asemenea, în opțiunea Tip de implementare ( Tipul de desfășurare) ar trebui să selectați tipul de instalare ASAv dintre trei opțiuni posibile: Standalone, HA Primary, HA Secondary.

Figura 9 Selectarea tipului adecvat de instalare ASAv

În fereastra Gata de terminat ( Gata la complet) afișează un rezumat al configurației Cisco ASAv. Activarea opțiunii de rulare după implementare ( putere pe după implementare) vă va permite să porniți mașina virtuală când se termină expertul.

  • Puteți monitoriza procesul de implementare a șablonului ASAv OVF și starea sarcinilor finalizate în consola de activități ( sarcină Consolă).

Figura 10. Starea implementării șablonului OVF

  • Dacă mașina virtuală ASAv nu este încă pornită, trebuie să o porniți folosind opțiunea de pornire ( putere pe cel virtual mașinărie). Prima dată când ASAv este pornit, citește parametrii setați în fișierul OVA și configurează valorile de sistem pe baza acestuia.

Figura 11. Pornirea mașinii virtuale ASAv

Rezumând instalarea ASAv, nu putem să nu remarcăm faptul plăcut că întregul proces - de la descărcarea pachetului, implementare și rulare - nu durează mai mult de 15-20 de minute. În același timp, setările ulterioare, cum ar fi VPN, sunt caracterizate de costuri de timp nesemnificative, în timp ce configurarea unui ASA fizic ar dura mult mai mult timp. Cisco ASAv poate fi, de asemenea, implementat de la distanță, oferind flexibilitate procesului și confort pentru companiile care utilizează site-uri la distanță.

De la instalare la managementul ASAv

Pentru a gestiona ASAv, puteți utiliza vechiul instrument ASDM (Adaptive Security Device Manager), care este o soluție convenabilă cu o interfață grafică pentru utilizator. Procesul de implementare ASAv definește accesul la ASDM, care poate fi apoi utilizat pentru a efectua diverse configurații, monitorizare și depanare. De pe mașina client, a cărei adresă IP a fost specificată în timpul procesului de implementare, conexiunea se realizează în viitor. Pentru a accesa ASDM, se folosește un browser web, specificând valoarea adresei IP a ASAv.

Porniți ASDM

Pe mașina desemnată ca client ASDM, lansați un browser și specificați valorile ASAv în formatul https://asav_ip_address/admin , care va afișa o fereastră cu următoarele opțiuni:

  • instalați ASDM Launcher și lansați ASDM;
  • porniți ASDM;
  • porniți expertul de pornire.

Figura 12. Un exemplu de rulare a instrumentului ASDM

InstalareASDMLansatorul și rulațiASDM

Pentru a lansa programul de instalare, selectați „Instalare ASDM Launcher și rulați ASDM”. În câmpurile „nume utilizator” și „parolă” (în cazul unei instalări noi), nu puteți lăsa valori și faceți clic pe „OK”. Fără autentificare HTTPS configurată, accesul la ASDM are loc fără specificarea acreditărilor. Dacă autentificarea HTTPS este activată, trebuie să specificați un nume de utilizator și o parolă.

  • Salvați programul de instalare local și începeți instalarea. Odată ce instalarea este finalizată, ASDM-IDM Launcher se va lansa automat.
  • Introduceți adresa IP ASAv și faceți clic pe OK.

AlergaASDM

De asemenea, puteți utiliza Java Web Start pentru a lansa direct ASDM fără a face instalarea. Selectați opțiunea „Launch ASDM”, după care se va deschide fereastra ASDM-IDM Launcher.

Figura 13. Conectarea la ASAv folosind ASDM-IDM Launcher

Porniți expertul de pornire

Când selectați opțiunea Run Startup Wizard, puteți seta următorii parametri de configurare ASAv

  • Nume gazdă (Nume gazdă)
  • Numele domeniului
  • Parolă administrativă
  • Interfețe
  • adrese IP
  • Rute statice
  • Server DHCP (server DHCP)
  • Regulile NAT
  • și multe altele (și alte setări...)

Folosind consolaVMware vSphere

Puteți utiliza consola ASAv disponibilă de la VMware vSphere Web Client pentru a efectua configurarea inițială, depanarea și pentru a accesa interfața de linie de comandă (CLI).

Important! Pentru a lucra cu consola ASAv, trebuie să instalați plug-in-ul (Client Integration Plug-in).

Până la instalarea unei licențe, va exista o limită de lățime de bandă de 100 kbps. Într-un mediu de producție, funcționalitatea completă necesită o licență. Informațiile despre licență sunt afișate în consola ASAv.

Figura 15. Un exemplu de afișare a informațiilor de licență

Prin conectarea la consola ASAv, puteți lucra în mai multe moduri.

Mod privilegiat

  • Parametru ciscosa>în fereastra consolei indică lucrul în modul EXEC, în care sunt disponibile doar comenzile de bază. Pentru a comuta la modul EXEC privilegiat, trebuie să rulați comanda ciscosa>permite, după care va trebui să introduceți o parolă (Parolă), dacă a fost setată o parolă, dacă nu, apăsați Enter.
  • Ieșire de valoare ciscosa#în fereastra consolei indică trecerea în modul privilegiat. Este posibil să utilizați comenzi non-configurare în el. Pentru a executa comenzile de configurare, trebuie să comutați în modul de configurare. De asemenea, puteți trece la acesta din modul privilegiat.
  • Pentru a ieși din modul privilegiat, utilizați comenzile dezactivați, Ieșire sau părăsi.

Modul de configurare globală

  • Pentru a comuta la modul de configurare globală, utilizați comanda:

ciscosa#configurațiTerminal

  • Dacă comutați cu succes în modul de configurare, este afișat indicatorul de pregătire pentru modul de configurare global, care arată astfel:

ciscosa (config)#

  • Pentru a apela o listă cu toate comenzile posibile, consultați ajutorul:

ciscosa (config)#Ajutor?

După aceea, o listă cu toate comenzile disponibile este afișată în ordine alfabetică, așa cum se arată în Figura 16.

Figura 16. Un exemplu de afișare a comenzilor în modul de configurare globală

  • Pentru a ieși din modul de configurare globală, utilizați comenzile Ieșire,părăsi sau Sfârşit.

După cum știți, uneori articole ale prietenilor noștri buni sunt publicate pe blog.

Astăzi, Eugene ne va vorbi despre virtualizarea routerelor Cisco.

Există o schemă clasică de organizare a rețelei: nivel de acces (SW1, SW2, SW3), nivel de distribuție (R1) și aderarea la rețeaua globală (R2). Colectarea statisticilor este organizată pe routerul R2 și NAT este configurat. Un firewall hardware cu funcții de filtrare a traficului și rutare este instalat între R2 și R3 (Schema 1)

Nu cu mult timp în urmă, sarcina a fost setată pentru a migra întreaga rețea către un gateway alternativ (R4). Noul gateway are funcționalitate cluster și este capabil să se scaleze pe orizontală prin creșterea numărului de noduri de cluster. Conform planului de punere în funcțiune, se cerea ca într-o anumită perioadă de timp să existe două gateway-uri în rețea în același timp - cel vechi (R2) - pentru toate rețelele client, iar cel nou (R4) - pentru rețelele care participă la testarea noului gateway (Schema 2).

Încercările de a implementa PBR (rutare bazată pe politici) pe routerul intern (R1) au eșuat - traficul a fost în buclă. Conducerea la cererile de echipamente suplimentare refuzate. Timpul a trecut, nu era niciun router, sarcina se bloca...

Și apoi mi-a atras atenția un articol de pe Internet, care vorbea despre izolarea tabelelor de rutare pe routerele Cisco.

Am decis să obțin un router suplimentar cu un tabel de rutare independent bazat pe echipamentele existente. Pentru a rezolva problema, a fost elaborat un nou proiect (Schema 3), care presupune prezența unui router suplimentar cu capacitate PBR.

Conectarea rețelei între R1 și R5:

Rețea: 172.16.200.0 /30

Interfață pe R1: 172.16.200.2 /30

Interfață pe R5: 172.16.200.1 /30

VLANID: 100 - router vechi

VLANID: 101 - router nou

Notă: R5 utilizează un router virtual bazat pe R3 (Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9_NPE-M), Versiunea 15.0(1)M1, RELEASE SOFTWARE (fc1)).

Routerul R3 este echipat cu trei porturi Gigabit Ethernet, interfața Gi0/0 este utilizată pentru rutarea internă, Gi0/1 este folosită pentru a se conecta la un firewall hardware și Gi0/2 este folosit pentru a se conecta la un furnizor extern.

Să trecem la configurarea routerului R5.

Accesați modul de configurare:
R3(config)#ip vrf zone1
Această comandă creează un tabel de rutare izolat pe router. Nume zona 1 ales de administrator. De asemenea, puteți atribui un ID și o descriere. Mai multe detalii găsiți în documentație. După finalizare, revenim la modul de configurare folosind comanda Ieșire.

Configurarea interfețelor de rețea:
R3(config)#interfață GigabitEthernet0/0.100

R3(config-subif)#capsulation dot1Q 100
R3(config-subif)#adresa ip 172.16.100.2 255.255.255.252
R3(config-subif)#exit
R3(config)#interfață GigabitEthernet0/0.101
R3(config-subif)#ip vrf forwarding zone1
R3(config-subif)#capsulation dot1Q 101
R3(config-subif)#adresă ip 172.16.100.6 255.255.255.252
R3(config-subif)#exit
R3(config)#interfață GigabitEthernet0/0.1000
R3(config-subif)#ip vrf forwarding zone1
R3(config-subif)#capsulation dot1Q 1000
R3(config-subif)#adresa ip 172.16.200.1 255.255.255.252
R3(config-subif)#exit
Acum trebuie să configurați PBR. Pentru a face acest lucru, vom compune un ACL, ghidat de următoarea regulă: toți cei care intră în ACL sunt direcționați prin vechea poartă, iar restul prin cea nouă.
R3(config)#access-list 101 deny ip host 192.168.3.24 any
R3(config)#access-list 101 deny ip host 192.168.3.25 any
R3(config)#access-list 101 deny ip host 192.168.3.26 any
R3(config)#access-list 101 permite ip orice
Creați harta rutei:
R3(config)#route-map gw1 permis 50
R3(config-route-map)#match adresa IP 101
R3(config-route-map)#set ip vrf zone1 next-hop 172.16.100.1
R3(config-route-map)#exit
Și aplicați-l la interfață:
R3(config)#interfață GigabitEthernet0/0.1000
R3(config-subif)#ip politică rută-hartă gw1
R3(config-subif)#exit
Adăugarea unei rute implicite la tabelul de rutare zona 1:
R3(config)#ip route vr zone1 0.0.0.0 0.0.0.0 GigabitEthernet0/0.101 172.16.100.5
și verificați tabelul de rutare pentru zona 1
R3#show ip route vr zone1
Tabel de rutare:zona1
Coduri: L - local, C - conectat, S - static, R - RIP, M - mobil, B - BGP
D - EIGRP, EX - EIGRP extern, O - OSPF, IA - OSPF inter zona
N1 - OSPF NSSA tip extern 1, N2 - OSPF NSSA tip extern 2
E1 - OSPF extern tip 1, E2 - OSPF extern tip 2
i - IS-IS, su - IS-IS rezumat, L1 - IS-IS nivel-1, L2 - IS-IS nivel-2
ia - IS-IS inter zona, * - implicit candidat, U - rută statică per utilizator
o - ODR, P - rută statică descărcată periodic, + - ruta replicată

Gateway-ul de ultimă instanță este 172.16.100.5 către rețeaua 0.0.0.0

S* 0.0.0.0/0 prin 172.16.100.5, GigabitEthernet0/0.101
172.16.0.0/16 este subrețea variabil, 6 subrețele, 2 măști
C 172.16.100.0/30 este conectat direct, GigabitEthernet0/0.100
L 172.16.100.2/32 este conectat direct, GigabitEthernet0/0.100
C 172.16.100.4/30 este conectat direct, GigabitEthernet0/0.101
L 172.16.100.6/32 este conectat direct, GigabitEthernet0/0.101
C 172.16.200.0/30 este conectat direct, GigabitEthernet0/0.1000
L 172.16.200.1/32 este conectat direct, GigabitEthernet0/0.1000
Sarcina de a împărți traficul rețelelor client în diferite gateway-uri a fost rezolvată. Dintre minusurile deciziei, aș dori să remarc o creștere a sarcinii hardware-ului routerului și o slăbire a securității, deoarece un router conectat la rețeaua globală are o conexiune directă la rețeaua locală ocolind firewall-ul hardware.

Salutare tuturor.

La un moment dat a trebuit să am de-a face cu Cisco. Nu pentru mult timp, dar totusi. Tot ce este legat de Cisco este acum mega popular. La un moment dat am fost implicat în deschiderea unei academii locale Cisco la o universitate locală. Acum un an am fost la cursurile "". Dar nu avem întotdeauna acces la echipamentul în sine, mai ales când studiem. Emulatorii vin în ajutor. Există și cele pentru Cisco. Am început cu Boson NetSim și aproape toți studenții stau acum pe Cisco Packet Tracer. Cu toate acestea, setul de simulatoare nu se limitează la aceste două tipuri.

Cu ceva timp în urmă, în ciclul nostru „Rețele pentru cei mai mici”, am trecut la un emulator GNS3 care se potrivea mai bine nevoilor noastre decât Cisco Packet Tracer.

Dar ce alternative avem? Alexander alias Sinister, care nu are încă un cont pe Habré, va povesti despre ei.

Există un număr destul de mare de simulatoare și emulatoare pentru echipamentele Cisco Systems. În această scurtă recenzie, voi încerca să arăt toate instrumentele existente care rezolvă această problemă. Informațiile vor fi utile celor care studiază tehnologiile de rețea, se pregătesc pentru a susține examene Cisco, colectează rafturi de depanare sau cercetează probleme de securitate.

Un pic de terminologie.

Simulatoare- imită un anumit set de comenzi, este cusut și trebuie doar să treceți dincolo, vom primi imediat un mesaj de eroare. Un exemplu clasic este Cisco Packet Tracer.

Emulatori dimpotrivă, ele vă permit să redați (efectuând traducerea de octeți) imagini (firmware) ale dispozitivelor reale, adesea fără restricții vizibile. Un exemplu este GNS3/Dynamips.

Să ne uităm mai întâi la Cisco Packet Tracer.

1. Cisco Packet Tracer


Acest simulator este disponibil atât pentru Windows, cât și pentru Linux, gratuit pentru studenții Cisco Networking Academy.

În a șasea versiune au existat lucruri precum:

  • iOS 15
  • Modulele HWIC-2T și HWIC-8A
  • 3 dispozitive noi (Cisco 1941, Cisco 2901, Cisco 2911)
  • Suport HSRP
  • IPv6 în setările dispozitivelor finale (desktop-uri).

Sentimentul este că noua versiune a fost tocmai la timp pentru actualizarea examenului CCNA la versiunea 2.0.

Avantajele sale sunt prietenia și logica interfeței. În plus, este convenabil să verificați funcționarea diferitelor servicii de rețea, cum ar fi DHCP / DNS / HTTP / SMTP / POP3 și NTP.

Și una dintre cele mai interesante caracteristici este abilitatea de a comuta în modul de simulare și de a vedea mișcarea pachetelor cu dilatarea timpului.

Mi-a adus aminte de aceeași Matrix.

  • Aproape tot ceea ce depășește domeniul de aplicare al CCNA nu poate fi colectat pe acesta. De exemplu, EEM este complet absent.
  • De asemenea, pot apărea uneori diverse erori, care sunt tratate doar prin repornirea programului. Protocolul STP este deosebit de renumit pentru acest lucru.

Cu ce ​​ajungem?

Un instrument bun pentru cei care tocmai au început să se cunoască cu echipamentele Cisco.

Următorul este GNS3, care este o GUI (în Qt) pentru emulatorul dynamips.

Proiect gratuit, disponibil pentru Linux, Windows și Mac OS X. Site-ul web al proiectului GNS este www.gns3.net. Dar cele mai multe dintre funcțiile sale de îmbunătățire a performanței funcționează numai sub Linux (IOS fantomă, care funcționează atunci când se utilizează multe din același firmware), versiunea pe 64 de biți este, de asemenea, numai pentru Linux. Versiunea actuală a GNS în acest moment este 0.8.5. Acesta este un emulator care funcționează cu firmware IOS real. Pentru a-l folosi, trebuie să aveți firmware-ul. Să presupunem că ați cumpărat un router Cisco, le puteți scoate din el. Puteți conecta mașinile virtuale VirtualBox sau VMware Workstation la acesta și puteți crea scheme destul de complexe, dacă doriți, puteți merge mai departe și îl puteți elibera într-o rețea reală. În plus, Dynamips poate emula atât vechiul Cisco PIX, cât și faimosul Cisco ASA, chiar și versiunea 8.4.

Dar cu toate acestea există o mulțime de neajunsuri.

Numărul de platforme este strict limitat: pot fi lansate doar acele șasiuri care sunt furnizate de dezvoltatorii dynamips. Rularea versiunii ios 15 este posibilă numai pe platforma 7200. Este imposibil să utilizați pe deplin comutatoarele Catalyst, acest lucru se datorează faptului că acestea folosesc un număr mare de circuite integrate specifice, care sunt, prin urmare, extrem de greu de emulat. Rămâne să folosiți module de rețea (NM) pentru routere. Când utilizați un număr mare de dispozitive, performanța este garantată să scadă.

Ce avem în reziduul uscat?

Un instrument în care puteți crea topologii destul de complexe, pregătiți pentru examenele de nivel CCNP, cu unele rezerve.

3.Boson NetSim

Câteva cuvinte despre simulatorul Boson NetSim, care a fost actualizat recent la versiunea 9.

Disponibil numai pentru Windows, prețul variază de la 179 USD pentru CCNA la 349 USD pentru CCNP.

Este o colecție de lucrări de laborator, grupate pe subiecte de examen.

După cum puteți vedea din capturi de ecran, interfața este formată din mai multe secțiuni: descrierea sarcinii, harta rețelei, în partea stângă există o listă cu toate laboratoarele. Când ați terminat, puteți verifica rezultatul și puteți afla dacă totul a fost făcut. Este posibil să vă creați propriile topologii, cu unele restricții.

Principalele caracteristici ale Boson NetSim:

  • Suportă 42 de routere, 6 comutatoare și alte 3 dispozitive
  • Simulează traficul de rețea folosind tehnologia pachetelor virtuale
  • Oferă două stiluri diferite de navigare: modul Telnet sau modul conexiune consolă
  • Suportă până la 200 de dispozitive pe o singură topologie
  • Vă permite să vă creați propriile laboratoare
  • Include laboratoare care acceptă simularea SDM
  • Include dispozitive non-Cisco, cum ar fi serverul TFTP, TACACS+ și generatorul de pachete (acestea sunt probabil aceleași alte 3 dispozitive)

Are aceleași dezavantaje ca Packet Tracer.

Cei cărora nu le pare rău pentru o anumită sumă și, în același timp, nu vor să înțeleagă și să-și creeze propriile topologii, ci vor doar să exerseze înainte de examen, vor fi de mare ajutor.

Site-ul web oficial este www.boson.com/netsim-cisco-network-simulator.

4.Cisco CSR

Acum luați în considerare un CSR Cisco destul de recent.

Relativ recent, a apărut un router virtual Cisco Cloud Service 1000V.

Este disponibil pe site-ul oficial Cisco.

Pentru a descărca acest emulator, trebuie doar să vă înregistrați pe site. Gratuit. Nu este necesar un contract cu Cisco. Acesta este într-adevăr un eveniment, deoarece Cisco a luptat anterior cu emulatorii în toate felurile și a recomandat doar închirierea de echipamente. Puteți descărca, de exemplu, un fișier OVA, care este o mașină virtuală, aparent RedHat sau derivatele sale. Mașina virtuală încarcă imaginea iso de fiecare dată când pornește, în interiorul căreia puteți găsi CSR1000V.BIN, care este firmware-ul propriu-zis. Ei bine, Linux acționează ca un wrapper - adică un convertor de apeluri. Unele dintre cerințele enumerate pe site sunt DRAM 4096 MB Flash 8192 MB. Cu capacitățile de astăzi, aceasta nu ar trebui să fie o problemă. CSR poate fi utilizat în topologiile GNS3 sau împreună cu un comutator virtual Nexus.

CSR1000v este implementat ca un router virtual (cum ar fi Quagga, dar IOS de la Cisco), care rulează pe hypervisor ca o instanță client și oferă serviciile unui router obișnuit ASR1000. Poate fi ceva la fel de simplu ca rutarea de bază sau NAT, până la lucruri precum VPN MPLS sau LISP. Drept urmare, avem un furnizor aproape cu drepturi depline Cisco ASR 1000. Viteza de lucru este destul de bună, funcționează în timp real.

Nu a fost lipsit de neajunsurile sale. Puteți folosi gratuit doar o licență de evaluare, care durează doar 60 de zile. În plus, în acest mod, lățimea de bandă este limitată la 10, 25 sau 50 Mbps. După încheierea unei astfel de licențe, viteza va scădea la 2,5 Mbps. Costul unei licențe pentru 1 an va costa aproximativ 1000 USD.

5. Cisco Nexus Titanium

Titanium este un emulator al sistemului de operare pentru switch-urile Cisco Nexus, numit și NX-OS. Nexus-urile sunt poziționate ca comutatoare pentru centrele de date.

Acest emulator a fost creat direct de Cisco, pentru uz intern.

O imagine a Titanium 5.1.(2) construită pe baza VMware cu ceva timp în urmă a intrat în domeniul public. Și după ceva timp, a apărut Cisco Nexus 1000V, care poate fi achiziționat destul de legal separat sau ca parte a ediției Vmware vSphere Enterprise Plus. Poate fi observat pe site-ul web - www.vmware.com/ru/products/cisco-nexus-1000V/

Perfect pentru oricine se pregătește să urmeze calea centrului de date. Are o anumită particularitate - după pornire, procesul de pornire începe (ca și în cazul CSR, vom vedea și Linux) și se oprește. Se pare că totul este înghețat, dar nu este. Conexiunea la acest emulator se face prin conducte numite.

O conductă numită este una dintre metodele de comunicare între procese. Ele există atât pe sisteme asemănătoare Unix, cât și pe Windows. Pentru a vă conecta, deschideți putty, de exemplu, selectați tipul de conexiune serială și specificați \\.\pipe\vmwaredebug.

Folosind GNS3 și QEMU (emulatorul de sistem de operare ușor care vine cu GNS3 pentru Windows), puteți construi topologii care vor folosi comutatoarele Nexus. Și din nou, puteți elibera acest comutator virtual într-o rețea reală.

6.Cisco IOU

Și, în sfârșit, celebrul Cisco IOU (Cisco IOS pe UNIX) este un software proprietar care nu este deloc distribuit oficial.

Există o părere că Cisco poate urmări și identifica cine folosește IOU.

La pornire, se încearcă o solicitare HTTP POST către serverul xml.cisco.com. Datele care sunt trimise includ numele de gazdă, numele de utilizator, versiunea IOU și așa mai departe.

Cisco TAC este cunoscut că folosește IOU. Emulatorul este foarte popular printre cei care se pregătesc pentru CCIE. Inițial, a funcționat doar sub Solaris, dar în timp a fost portat pe Linux. Este format din două părți - l2iou și l3iou, după nume puteți ghici că prima emulează stratul de legătură și comutatoarele, iar a doua - rețea și routere.

Autorul interfeței web este Andrea Dainese. Site-ul său este www.routeroreflector.com/cisco/cisco-iou-web-interface/. Nu există IOU sau firmware pe site-ul propriu-zis, mai mult, autorul afirmă că interfața web a fost creată pentru persoanele care au dreptul de a utiliza IOU.

Și un mic rezumat la final.

După cum s-a dovedit, în acest moment există o gamă destul de largă de emulatoare și simulatoare ale echipamentelor Cisco. Acest lucru vă permite să vă pregătiți aproape complet pentru examene de diferite piese (clasic R / S, furnizor de servicii și chiar centru de date). Cu ceva efort, puteți colecta și testa o varietate de topologii, puteți efectua cercetări de vulnerabilitate și, dacă este necesar, puteți elibera echipamente emulate într-o rețea reală.