doこんにちは。ccieojisan です。
Cisco の Webinar で ASAv を VIRL で使う方法が紹介されていたので、今回はそれを試してみました。
現在の virl.0.9.17 では ASAv はデフォルトで使えません。そのため、Cisco.com からイメージを入手し、手動で設定する必要があります。
近い将来にリリースされる VIRL ではデフォルトで ASAv が使えるようになる予定らしいので、この手順は不要になります。現時点で CCIE Security の勉強で使いたいという人には参考になるかと思います。
目次
1. イメージの入手
まずは、Cisco.com の Download Software から ASAv のイメージをダウンロードします。
イメージは “asav932-200.qcow2” にしました。もう少し新しいものもあるのですが、webinar で使われていたのと同じイメージをダウンロードしました。
2. イメージを VIRL VM へコピー
私の端末は Windows なので、WinSCP というソフトを使って SCP で VIRL VM へイメージをコピーしました。
SCP でアクセスする userid/password は virl/VIRL です。パスワードが大文字なので忘れずに。
3. VIRL VM へ SSH でアクセス
Putty を使って VIRL VM へ SSH で接続します。
ユーザ名とパスワードは手順2のものと同じです。ログインできたら、先ほどコピーした ASAv のファイルがあることを ls コマンドで確認します。
virl@virl:~$ ls asav932-200.qcow2 Documents Music Public Videos Desktop Downloads Pictures Templates VMMaestro-linux
ASAv へコンソールアクセスができるように下記実行します。これはおまじないとしてそのまま実行してください。
virl@virl:~$ sudo modprobe nbd max_part=63 virl@virl:~$ sudo qemu-nbd -c /dev/nbd0 /home/virl/asav932-200.qcow2 virl@virl:~$ sudo mount /dev/nbd0p2 /mnt virl@virl:~$ sudo touch /mnt/use_ttyS0 virl@virl:~$ sudo umount /mnt virl@virl:~$ sudo qemu-nbd -d /dev/nbd0 /dev/nbd0 disconnected
4.ブラウザから ASAv を設定
ブラウザから http://<VIRL VMのアドレス> へアクセスします。”User Workspace Management” をクリックします。
ここでユーザ名/パスワードが聞かれますが、前述のものとは異なり、Username “uwmadmin” / Password “password” なので注意してください。
ログインすると、下記の画面になるので、”Images” をクリックします。
ASAv のイメージをインポートするので “Add” ボタンをクリックします。
下記青枠で囲った部分を同じように選択または記入してください。
※イメージ名が違う場合や、異なる場所にファイルを置いた場合は変更が必要です。そして Create をクリックします。
すると、ASAv のイメージ設定完了画面が表示されます。念のため、hw_vif_model が e1000 になっているのを確認してください。
5. VM Maestro での設定
VM Maestro にアクセスしたら分かりますが、Palette に ASAv は見えません。そのため、少し設定が必要です。
File -> Preferences を選択。
Node Subtypes を選択し、”Fetch from Sever” をクリックします。
下記メッセージが出ますが、問題ないので OK します。
すると、Node subtypes 画面で ASAv が表示されます。“Show in Palette” が最初 false になっているので、クリックして true に変えて、Apply を押し OK してください。
するとちゃんと Palette に表示されました。
6. ASAv を起動させてみる
簡単に IOSv と ASAv が接続された構成を作ってみました。Ping が通るまでチェックしてみます。
iosv-1 では下記設定を入れます。
Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#int gi0/1 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shut Router(config-if)#end Router#
ASAv は起動に少し時間がかかります。起動したら、下記を設定します。enable パスワードはデフォルトで無いので、そのままリターンで enable になれます。
ciscoasa# conf t ciscoasa(config)# interface gi0/0 ciscoasa(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default. ciscoasa(config-if)# ip address 192.168.1.2 255.255.255.0 ciscoasa(config-if)# no shut ciscoasa(config-if)# end ciscoasa#
おおお。Ping 通りました。ASAv 動きますね。
ciscoasa# ping 192.168.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 10/12/20 ms
ちなみに、ASAv の show version はこんな感じ。
ciscoasa# show version Cisco Adaptive Security Appliance Software Version 9.3(2)200 Device Manager Version 7.3(2) Compiled on Thu 18-Dec-14 09:34 PST by builders System image file is "boot:/asa932-200-smp-k8.bin" Config file at boot was "startup-config" ciscoasa up 7 mins 20 secs Hardware: ASAv, 2048 MB RAM, CPU Pentium II 2494 MHz, Internal ATA Compact Flash, 129024MB Slot 1: ATA Compact Flash, 129024MB BIOS Flash Firmware Hub @ 0x0, 0KB 0: Ext: Management0/0 : address is fa16.3e07.9e11, irq 11 1: Ext: GigabitEthernet0/0 : address is fa16.3eba.f78b, irq 11 License mode: Smart Licensing ASAv Platform License State: Unlicensed No active entitlement: no feature tier and no throughput level configured Licensed features for this platform: Maximum Physical Interfaces : 10 perpetual Maximum VLANs : 50 perpetual Inside Hosts : Unlimited perpetual Failover : Active/Standby perpetual Encryption-DES : Enabled perpetual Encryption-3DES-AES : Enabled perpetual Security Contexts : 0 perpetual GTP/GPRS : Disabled perpetual AnyConnect Premium Peers : 2 perpetual AnyConnect Essentials : Disabled perpetual Other VPN Peers : 250 perpetual Total VPN Peers : 250 perpetual Shared License : Disabled perpetual AnyConnect for Mobile : Disabled perpetual AnyConnect for Cisco VPN Phone : Disabled perpetual Advanced Endpoint Assessment : Disabled perpetual UC Phone Proxy Sessions : 2 perpetual Total UC Proxy Sessions : 2 perpetual Botnet Traffic Filter : Enabled perpetual Intercompany Media Engine : Disabled perpetual Cluster : Disabled perpetual Licensing mode is Smart Licensing Serial Number: 9AEBF2P8MPX Image type : Release Key version : A Configuration last modified by enable_15 at 13:49:31.699 UTC Sun Apr 19 2015
ASA も CCIE Security に受かってから、ほとんど触っていないので懐かしい。これが CCIE Security 勉強している時に使えてたら、もっと勉強が楽だったと思う。