ASAv を VIRL で使う方法

doこんにちは。ccieojisan です。

Cisco の Webinar で ASAv を VIRL で使う方法が紹介されていたので、今回はそれを試してみました。

現在の virl.0.9.17 では ASAv はデフォルトで使えません。そのため、Cisco.com からイメージを入手し、手動で設定する必要があります。

近い将来にリリースされる VIRL ではデフォルトで ASAv が使えるようになる予定らしいので、この手順は不要になります。現時点で CCIE Security の勉強で使いたいという人には参考になるかと思います。

スポンサーリンク

1. イメージの入手

まずは、Cisco.com の Download Software から ASAv のイメージをダウンロードします。

virl57

イメージは “asav932-200.qcow2” にしました。もう少し新しいものもあるのですが、webinar で使われていたのと同じイメージをダウンロードしました。

2. イメージを VIRL VM へコピー

私の端末は Windows なので、WinSCP というソフトを使って SCP で VIRL VM へイメージをコピーしました。

virl58

SCP でアクセスする userid/password は virl/VIRL です。パスワードが大文字なので忘れずに。

3. VIRL VM へ SSH でアクセス

Putty を使って VIRL VM へ SSH で接続します。

virl59

ユーザ名とパスワードは手順2のものと同じです。ログインできたら、先ほどコピーした ASAv のファイルがあることを ls コマンドで確認します。

virl@virl:~$ ls
asav932-200.qcow2  Documents  Music     Public     Videos
Desktop            Downloads  Pictures  Templates  VMMaestro-linux

ASAv へコンソールアクセスができるように下記実行します。これはおまじないとしてそのまま実行してください。

virl@virl:~$ sudo modprobe nbd max_part=63
virl@virl:~$ sudo qemu-nbd -c /dev/nbd0 /home/virl/asav932-200.qcow2
virl@virl:~$ sudo mount /dev/nbd0p2 /mnt
virl@virl:~$ sudo touch /mnt/use_ttyS0
virl@virl:~$ sudo umount /mnt
virl@virl:~$ sudo qemu-nbd -d /dev/nbd0
/dev/nbd0 disconnected

4.ブラウザから ASAv を設定

ブラウザから http://<VIRL VMのアドレス> へアクセスします。”User Workspace Management” をクリックします。

virl60

ここでユーザ名/パスワードが聞かれますが、前述のものとは異なり、Username “uwmadmin” / Password “password” なので注意してください。

ログインすると、下記の画面になるので、”Images” をクリックします。

virl61

ASAv のイメージをインポートするので “Add” ボタンをクリックします。

virl62

下記青枠で囲った部分を同じように選択または記入してください。
※イメージ名が違う場合や、異なる場所にファイルを置いた場合は変更が必要です。そして Create をクリックします。

virl63

すると、ASAv のイメージ設定完了画面が表示されます。念のため、hw_vif_model が e1000 になっているのを確認してください。

virl64

5. VM Maestro での設定

VM Maestro にアクセスしたら分かりますが、Palette に ASAv は見えません。そのため、少し設定が必要です。

virl65

File -> Preferences を選択。

virl66

Node Subtypes を選択し、”Fetch from Sever” をクリックします。

virl67

下記メッセージが出ますが、問題ないので OK します。

virl68

すると、Node subtypes 画面で ASAv が表示されます。“Show in Palette” が最初 false になっているので、クリックして true に変えて、Apply を押し OK してください。

virl69

するとちゃんと Palette に表示されました。

virl70

6. ASAv を起動させてみる

簡単に IOSv と ASAv が接続された構成を作ってみました。Ping が通るまでチェックしてみます。

virl71

iosv-1 では下記設定を入れます。

Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#int gi0/1
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#end
Router#

 ASAv は起動に少し時間がかかります。起動したら、下記を設定します。enable パスワードはデフォルトで無いので、そのままリターンで enable になれます。

ciscoasa# conf t
ciscoasa(config)# interface gi0/0
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# ip address 192.168.1.2 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# end
ciscoasa#

 おおお。Ping 通りました。ASAv 動きますね。

ciscoasa# ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/12/20 ms

ちなみに、ASAv の show version はこんな感じ。

ciscoasa# show version

Cisco Adaptive Security Appliance Software Version 9.3(2)200
Device Manager Version 7.3(2)

Compiled on Thu 18-Dec-14 09:34 PST by builders
System image file is "boot:/asa932-200-smp-k8.bin"
Config file at boot was "startup-config"

ciscoasa up 7 mins 20 secs

Hardware:   ASAv, 2048 MB RAM, CPU Pentium II 2494 MHz,
Internal ATA Compact Flash, 129024MB
Slot 1: ATA Compact Flash, 129024MB
BIOS Flash Firmware Hub @ 0x0, 0KB

 0: Ext: Management0/0       : address is fa16.3e07.9e11, irq 11
 1: Ext: GigabitEthernet0/0  : address is fa16.3eba.f78b, irq 11

License mode: Smart Licensing
ASAv Platform License State: Unlicensed
No active entitlement: no feature tier and no throughput level configured

Licensed features for this platform:
Maximum Physical Interfaces       : 10             perpetual
Maximum VLANs                     : 50             perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Standby perpetual
Encryption-DES                    : Enabled        perpetual
Encryption-3DES-AES               : Enabled        perpetual
Security Contexts                 : 0              perpetual
GTP/GPRS                          : Disabled       perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 250            perpetual
Total VPN Peers                   : 250            perpetual
Shared License                    : Disabled       perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions           : 2              perpetual
Total UC Proxy Sessions           : 2              perpetual
Botnet Traffic Filter             : Enabled        perpetual
Intercompany Media Engine         : Disabled       perpetual
Cluster                           : Disabled       perpetual

Licensing mode is Smart Licensing

Serial Number: 9AEBF2P8MPX

Image type          : Release
Key version         : A

Configuration last modified by enable_15 at 13:49:31.699 UTC Sun Apr 19 2015

ASA も CCIE Security に受かってから、ほとんど触っていないので懐かしい。これが CCIE Security 勉強している時に使えてたら、もっと勉強が楽だったと思う。