Cisco ASAv 是什么设备?
Cisco ASAv(Adaptive Security Virtual Appliance)是思科公司提供的一种虚拟化网络安全解决方案。它是基于Cisco ASA(Adaptive Security Appliance)硬件防火墙的软件实现,旨在提供类似于物理ASA设备的网络安全功能。
ASAv以虚拟机(VM)的形式部署在虚拟化平台上,如VMware ESXi、KVM、Hyper-V等。它提供了一系列的网络安全功能,包括防火墙、虚拟专用网络(VPN)、入侵防御系统(IDS)、入侵防御系统(IPS)、负载均衡等。ASAv可以在虚拟化环境中提供网络安全保护,帮助组织保护其虚拟化基础设施和应用程序免受网络威胁。
通过使用ASAv,组织可以灵活地部署和扩展网络安全功能,而无需依赖物理硬件设备。它还可以与其他Cisco网络设备和解决方案集成,提供全面的网络安全保护和管理。
ASAv提供了与物理ASA设备相似的配置和管理界面,使已经熟悉ASA设备的网络管理员能够轻松迁移到虚拟化环境中。它还支持与Cisco Security Manager等网络管理工具集成,提供集中化的安全策略管理和监控。
总而言之,Cisco ASAv是思科提供的一种虚拟化网络安全解决方案,以软件形式实现了Cisco ASA硬件防火墙的功能,可以在虚拟化环境中提供网络安全保护和管理。
Cisco ASAv 与物理ASA的区别是什么?
概括来讲两者之间存在以下几个区别:
- 形式:物理ASA是一种硬件设备,而ASAv是一种虚拟机(VM),以软件形式在虚拟化平台上运行。
- 部署方式:物理ASA通过将硬件设备直接连接到网络中进行部署,而ASAv通过在虚拟化平台上创建和配置虚拟机进行部署。
- 灵活性和可扩展性:ASAv相对于物理ASA更具灵活性和可扩展性。ASAv可以根据需要在虚拟化环境中快速创建、复制和部署,而物理ASA则需要更多的时间和资源进行部署和扩展。
- 硬件资源:物理ASA依赖于硬件资源,如处理器、内存和存储空间,其性能和容量受到硬件限制。ASAv则可以根据所分配的虚拟化平台资源进行扩展,并且可以根据需要调整资源分配。
- 管理和配置:物理ASA和ASAv具有类似的配置和管理界面,但在ASAv上进行配置和管理更加灵活和便捷。ASAv可以与虚拟化管理工具集成,提供集中化的管理和监控功能。
- 成本:ASAv相对于物理ASA在成本上可能更具竞争力。虚拟化环境可以提供更高的资源利用率,减少硬件成本,并且可以根据需要灵活地调整资源分配。
尽管存在这些区别,物理ASA和ASAv在功能和特性上是相似的。它们都提供了类似的网络安全功能,如防火墙、VPN、IDS、IPS等。选择使用物理ASA还是ASAv取决于特定的需求、环境和预算考虑。
ASAv部署步骤
1.获取虚拟机文件
从 Cisco.com 下载压缩文件,并将其保存到本地磁盘:
http://www.cisco.com/go/asa-software
注意: 需要 Cisco.com 登录信息和思科服务合同。
2.解压文件
将该文件解压缩到工作目录。请勿删除该目录中的任何文件。其中包括以下文件:
asav-vi.ovf - 适用于 vCenter 部署。
asav-esxi.ovf - 适用于非 vCenter 部署。
boot.vmdk - 启动磁盘映像。
disk0.vmdk - ASAv 磁盘映像。
day0.iso - 包含 day0-config 文件和 idtoken 文件(可选)的 ISO。
asav-vi.mf - 适用于 vCenter 部署的清单文件。
asav-esxi.mf - 适用于非 vCenter 部署的清单文件。
3.部署ESXI模板文件
4.设置网卡参数
绑定所需的网卡,至少绑定2-3块虚拟网卡
可以作为inside,outside,management
5.启动ASAv
进行初始化操作,可以按以往规则,配置use_ttyS0,或者直接配置SSH
初次登录控制台,强制设置enable password,输入两遍
enable
configure terminal
cd coredumpinfo
copy coredump.cfg disk0:/use_ttyS0
wr
reload
6.配置接口
接口对应表
配置安全级别,不配置,接口无法通信,ping不通
int g0/1
ip address 192.168.224.10 255.255.255.0
no shutdown
nameif inside
security-level 100
exit
int g0/2
ip address 172.16.0.10 255.255.254.0
no shutdown
nameif outside
security-level 0
exit
7.配置SSH
username username password passwords # 用户名不能包含关键词 密码必须符合复杂规则至少8位,包含大小写数字符号
aaa authencation ssh console LOCAL #配置AAA认证
crypto key generate rsa modul 2048 #RSA密钥证书size:2048,3072,4096
ssh 192.168.224.0 255.255.255.0 inside #permit
8.连接SSH
SSH怎样连接不说了,略
首次登录SSH,再次强制更新密码,LOL surprise
show version
9.ASDM连接
配置参数,否则无法访问,严格管控通信流程
http server enable
http 0.0.0.0 0.0.0.0 inside
http ::/0 inside
route inside 0.0.0.0 0.0.0.0 192.168.224.1 1
10 ASDM异常解决
“此应用无法在您的 PC 上运行”
当安装 ASDM 启动程序时,Windows 10 可能会将 ASDM 快捷方式目标替换为 Windows 脚本主机路径,这会导致此错误。要修复快捷方式目标,请执行以下操作:
依次选择启动 (Start ) > 思科 ASDM-IDM 启动程序 (Cisco ASDM-IDM Launcher),然后右键点击思科 ASDM-IDM 启动程序 (Cisco ASDM-IDM Launcher) 应用。
选择更多 > 打开文件位置。
Windows 将打开带有快捷方式图标的目录。
右键点击快捷方式图标,然后选择属性 (Properties)。
将目标更改为:
C:\Windows\System32\wscript.exe invisible.vbs run.bat #将invisible.vbs run.bat复制到system32也可以
点击确定 (OK)。
“Unable to launch Device Manager xx.xx.xx.x”
检测http
检查AAA
检查RSA
检查JAVA #不同的ASDM匹配不同的JAVA JDK VERSION eg:ASDM 7.19(1) requires Oracle Java version 8u261 or later
授权说明
- 部署后无法更改 ASAv 实例的资源配置(内存、CPU、磁盘空间)。如果出于任何原因需要增加资源配置,例如将许可的授权从 ASAv30/2Gbps 更改为 ASAv50/10Gbps,则需要使用必要的资源创建新实例
- ASAv 的最低内存要求为 2GB。如果当前 ASAv 的内存少于 2GB,将无法在不增加 ASAv VM 内存的情况下,从早期版本升级到 9.13(1) 或更高版本。也可以使用最新版本重新部署新的 ASAv VM。
- 部署具有超过 1 个 vCPU 的 ASAv 时,ASAv 的最低内存要求是 4GB。
- 在安装许可证之前,吞吐量限制为 100 kbps,可以执行初步连接测试。需要安装智能许可证才能正常运行。