ВАЖНОЕ ПРЕДИСЛОВИЕ! Если вы торопитесь, и вам срочно нужно поднять стенд - не тратьте свое время и не читайте эту эту информацию. Сразу переходите к следующей статье с удачным решением. Ссылка на нее либо уже есть в конце указанной статьи, либо скоро-скоро появится.
Ниже описан вариант установки ASA 8.4.2 на GNS3. Таким вариантом я пользовался сам до недавнего времени на разных версиях Qemu и GNS3 (начиная с версий 0.7.х). И все было хорошо, но время идет, версии софта меняются, и какие-то решения уходят, становясь абсолютно нерабочими.
Поскольку в интернете можно найти множество статей в блогах и на форумах о том, как поднять ASA 8.4.2 на GNS3, я решил, что писать еще одну такую же смысла нет, поэтому отличительной особенностью данной статьи должно было стать то, что я беру актуальные на текущий момент версии ПО и иду по шагам всевозможных рекомендаций, найденных мною на просторах, делаю все, что указано в этих рекомендациях и получаю рабочую систему. Забегу вперед и скажу, что у меня даже получилось поднять ASA 8.4.2, но толку от этого мало, т.к. основная проблема в том, что эту ASA невозможно подключить ни к одному устройству, чтобы составить рабочую топологию.
Мне стало жалко времени, потраченного на написание, поэтому оставляю данный вариант. Возможно, кто-нибудь подскажет мне решение, которое заставит работать старую ASA, но большого смысла в этом нет, т.к. уже появились гораздо более интересные решения.
В новых экзаменах Cisco Security, да и во многих других, сделан большой упор на работу с программой Cisco Adaptive Security Device Manager (ASDM) как с графической оболочкой для Cisco ASA. Про сам ASDM могу сказать, что да, какие-то вещи в нем делать удобнее (например, настраивать CA, если такая необходимость есть). В остальном же можно по-разному относиться к ASDM, но факт остается фактом - сдавать экзамен надо, а в нем есть вопросы, которые касаются именно ASDM и знания интерфейса этой программы. Поэтому придется с ASDM работать.
Однако, есть нюансы. Cisco заботится о том, чтобы пользователи не перегружали себя командами и работой в командной строке. Точно так же заботливо не предоставляет возможностей попробовать интерфейс ASDM хоть в каком-либо урезанном виде в своем учебном симуляторе Packet Tracer (на момент написания статьи последняя актуальная версия - 7.0.0.202). Вероятно, составители учебного плана считают, что все, кто готовится к данному экзамену, либо обучается в Академии, либо всегда имеет доступ к оборудованию. Хотя даже обучаясь в академии иногда требуется проработать какие-либо моменты дома. И здесь можно предложить несколько вариантов выхода из положения:
- Купить самую дешевую б\ушную ASA'шку, например, 5505. Они официально сняты с производства и с продажи, но их еще можно найти на ебее, авито и прочих магазина. Если повезет, можно будет купить такую игрушку тысяч эдак за... 7-10 (цены на авито на момент написания статьи).
- Использовать Demo. Для таких продуктов Cisco, как IME и ASDM, существует демо-версия с записанным сценарием. Её нужно просто установить, не требуется подключать к какому-либо устройству, можно пробежаться по менюшкам и посмотреть на интерфейс. И в принципе этого достаточно для экзамена. Но если хочется потренироваться именно для дальнейшей работы, то этого маловато. Более того, я не нашел возможности скачать демо без сервисных контрактов. Так что только искать на просторах интернета.
- Виртуализировать Cisco ASA. Этот вариант нам подходит, как более бюджетный. И он разбивается на 2 подварианта:
А) Использовать виртуальные модели Cisco ASAv. Возможно, вы работаете в компании, которая для тестовых целей смогла приобрести себе такие модели. Для виртуализации потребуется сервер и ESXi. Это опять же не совсем домашний вариант, хотя и довольно простой. В результате получаем полноценное устройство со всеми необходимыми функциями (если есть лицензия). ОБНОВЛЕНИЕ: В процессе работы была найдена виртуальная ASAv, переработанная под VMware Workstation. Именно её рекомендуется использовать на текущий момент, в том числе для GNS3, UnetLab, VIRL и т.д.
Б) Использовать среду GNS3 для виртуализации ASA. Вариант хороший, но есть проблемы: поскольку использование GNS3 в целом не очень правильно с точки зрения Cisco, она активно борется с подобными продуктами. В частности, до сих пор не удалось сделать так, чтобы пользователи смогли развернуть на GNS3 Cisco ASA версии выше 8.4.2 (к слову, уже в работе присутствует 9.6.1). Но! Для уровня CCNA Security, а даже для того, чтобы просто посмотреть ASDM этого будет достаточно.
Б+) Кстати, в сети ходит версия ASA 8.4.2 для установки на VMware Workstation. Можно попробовать и этот вариант.
Б) Использовать среду GNS3 для виртуализации ASA. Вариант хороший, но есть проблемы: поскольку использование GNS3 в целом не очень правильно с точки зрения Cisco, она активно борется с подобными продуктами. В частности, до сих пор не удалось сделать так, чтобы пользователи смогли развернуть на GNS3 Cisco ASA версии выше 8.4.2 (к слову, уже в работе присутствует 9.6.1). Но! Для уровня CCNA Security, а даже для того, чтобы просто посмотреть ASDM этого будет достаточно.
Б+) Кстати, в сети ходит версия ASA 8.4.2 для установки на VMware Workstation. Можно попробовать и этот вариант.
Ниже пойдет речь про вариант Б как требующий минимум умственно-материальных затрат. Для реализации тренировочного стенда на GNS3 понадобится установленный GNS3 (1.5.2) и файлы операционной системы ASA 8.4.2 с подходящей версией ASDM, которые можно нагуглить.
В целом все, что будет сказано ниже, это обновление информации об установке ASA на GNS3, которой и так очень много. Из нового только то, что я попробую установить на старую версию ОС ASDM версии 7.6.1 (не самая последняя версия. Последняя доступная - 7.6.2.150), оказавшийся у меня в руках, т.к. сказано, что он поддерживается всеми версиями ASA начиная с 8.0 и заканчивая 9.6. Это позволит не играться с Java в игру "А какую версию поставить, чтобы заработало".
Установку буду производить в режиме "делаю-описываю". Если буду находить какие-либо интересные вещи, нюансы и особенности, буду делать примечания по ходу описания.
Установка и настройка ASA
Для начала необходимо ASA установить и настроить. Считаем, что GNS3 уже скачан и установлен в соответствии с прилагаемой к нему инструкцией. Далее находим и скачиваем файлы ASA:
- asa842-initrd.gz - файл образа RAM;
- asa842-vmlinuz - файл образа Kernel.
Указанные файлы лучше переместить в место, где хранятся все образы для ваших GNS3-проектов.
Открываем GNS3, идем в настройки QEMU (Edit-Preferences...-QEMU-QEMU VMs). Краткая справка про Qemu. В открывшемся окне нажать кнопку New. Откроется мастер создания новых устройств. В первом окне необходимо выбрать имя устройства. Пусть будет "ASA_8.4.2". Нажать Next, следующее окно оставить без изменений, нажать Next, в следующем окне выбрать путь к файлу asa842-initrd.gz, нажать Finish.
Теперь приступим к настройке нашей ASA. Для этого выбираем из списка только что созданный образ и нажимаем Edit. В открывшемся окне пройдем по всем вкладкам. Первая вкладка - общие настройки (General). Увеличиваем RAM до 1 ГБ:
Следующая вкладка HDD. Необходимо убрать из полей Disk Image все значения, оставив поля пустыми. На вкладке CD\DVD аналогично. Переходим на вкладку Network. Здесь в поле Adpters указываем количество интерфейсов (4). Можно поэкпериментировать и добавить еще.
Переходим во вкладку Advanced settings. Здесь выполняются самые важные настройки.
Секция Linux Boot specific settings
Initial RAM Disk: Указываем путь к образу RAM asa842-initrd.gz;
Initial Kernel Disk: Указываем путь к образу Kernel asa842-vmlinuz;
Kernel command line: ide_generic.probe_mask=0x01 ide_core.chs=0.0:980,16,32 auto nousb console=ttyS0,9600 bigphysarea=65536 ide1=noprobe no-hlt (вбивать с пробелами, как указано здесь)
Секция Optimization
Activate CPU throttling - поставить галочку
Percentage of CPU allowed - 80%
Process priority - Low
Секция Additional options
Options: -icount auto -hdachs 980,16,32 -nographic
После всех настроек нажать OK. Вот что должно получиться в конце:
Попробуем выполнить включение Cisco ASA. Для этого нажимаем Apply и переходим в рабочую зону. Находим слева в столбце иконку устройств безопасности (похожа на обозначение полупроводникового диода), нажимаем на нее, выбираем созданную нами ASA и перетаскиваем в рабочее поле. После этого запускаем её зеленой кнопкой на верхней панели.
Двойной клик по устройству на рабочем поле вызовет консоль. Там можно проследить этапы загрузки устройства.
Хочу предупредить сразу. У меня на указанной версии GNS3 указанными версиями Qemu данный образ грузился около 20 минут. После загрузки он достаточно сильно тормозил. Настолько, что я почти успел познать дзен и перестать нервничать вообще из-за чего-либо. Задержка отклика в командной строке могла составлять от 2 секунд и вплоть до 15 секунд приблизительно.
Так же хочу обратить внимание, что если у вас в консоли загрузка зависла на следующих строках:
Unpacking initramfs...<4>Clocksource tsc unstable (delta = <Значение>)
ИЛИ
e100: Copyright(c) 1999-2006 Intel Corporation loaded.
ИЛИ
Starting Likewise Service Manager
то это не зависание, а оооочень меееедленнаааяяя загруууузка. Наберитесь терпения и дождитесь окончания (помните про 20 минут).
Следует иметь ввиду, что:"Warning: ASA 8 is not officialy supported by GNS3 and Cisco, we recommend to use ASAv. Depending of your hardware this could not work or you could be limited to one instance."
Примечание: нашел, как побороть указанные выше проблемы с зависанием. Поскольку я ставил GNS3 давно, а после пользовался только последовательными обновлениями, у меня сохранилось множество версий Qemu, идущих в комплекте. Перепробовав все возможные варианты от самых новых до самых старых, пришел к выводу, что без тормозов и зависаний ASA 8.4.2 будет работать, если использовать Qemu 0.13.0. В этом случае и загрузка ASA составляет 15-20 секунд, и в консоли можно работать. Qemu нужной версии можно скачать отдельно, поэтому проблем с установкой возникнуть не должно. Ниже скрин, указывающий, где и что поменять:
Примечание: И на это можно закончить. Все найденный мною статьи говорят о том, что после данного шага наступает Enjoy for work with ASA. Тем не менее я не нашел ни одной статьи, в которой бы участвовали свежии версии GNS3 и в которой после установки ASA была продемонстрирована попытка подключения к ASA.
А все потому, что при попытке подключить указанную ASA к любому устройству (протягиваем патчкорд, например, к коммутатору), ASA перестает работать, не запускается и выдает ошибку:
Error: QEMU process has stopped, return code: 1
Start QEMU with 'C:\Program Files\GNS3\qemu-0.13.0\qemu.exe' -name ASA_8.4.2-1 -m 1024M -smp cpus=1 -boot order=c -initrd 'C:\Users\GNS3\images\QEMU\asa842-initrd.gz' -kernel 'C:\Users\GNS3\images\QEMU\asa842-vmlinuz' -append 'ide_generic.probe_mask=0x01 ide_core.chs=0.0:980,16,32 auto nousb console=ttyS0,9600 bigphysarea=65536 ide1=noprobe no-hlt' -serial telnet:127.0.0.1:2001,server,nowait -monitor tcp:127.0.0.1:40455,server,nowait -net none -device e1000,mac=00:90:ea:be:ad:00,netdev=gns3-0 -netdev socket,id=gns3-0,udp=127.0.0.1:10001,localaddr=127.0.0.1:10000 -device e1000,mac=00:90:ea:be:ad:01 -device e1000,mac=00:90:ea:be:ad:02 -device e1000,mac=00:90:ea:be:ad:03 -device e1000,mac=00:90:ea:be:ad:04 -device e1000,mac=00:90:ea:be:ad:05 -device e1000,mac=00:90:ea:be:ad:06 -device e1000,mac=00:90:ea:be:ad:07 -icount auto -hdachs 980,16,32 -nographic
Execution log: (ТУТ ПУСТО)
Как победить эту проблему я так и не нашел, зато нашел следующее: ответ разработчика.
Таким образом, в деле с 8.4.2 на версиях GNS3 1.4.х можно поставить точку. Возможные решения проблемы представляются мне так:
Хочу предупредить сразу. У меня на указанной версии GNS3 указанными версиями Qemu данный образ грузился около 20 минут. После загрузки он достаточно сильно тормозил. Настолько, что я почти успел познать дзен и перестать нервничать вообще из-за чего-либо. Задержка отклика в командной строке могла составлять от 2 секунд и вплоть до 15 секунд приблизительно.
Так же хочу обратить внимание, что если у вас в консоли загрузка зависла на следующих строках:
Unpacking initramfs...<4>Clocksource tsc unstable (delta = <Значение>)
ИЛИ
e100: Copyright(c) 1999-2006 Intel Corporation loaded.
ИЛИ
Starting Likewise Service Manager
то это не зависание, а оооочень меееедленнаааяяя загруууузка. Наберитесь терпения и дождитесь окончания (помните про 20 минут).
Следует иметь ввиду, что:"Warning: ASA 8 is not officialy supported by GNS3 and Cisco, we recommend to use ASAv. Depending of your hardware this could not work or you could be limited to one instance."
Примечание: нашел, как побороть указанные выше проблемы с зависанием. Поскольку я ставил GNS3 давно, а после пользовался только последовательными обновлениями, у меня сохранилось множество версий Qemu, идущих в комплекте. Перепробовав все возможные варианты от самых новых до самых старых, пришел к выводу, что без тормозов и зависаний ASA 8.4.2 будет работать, если использовать Qemu 0.13.0. В этом случае и загрузка ASA составляет 15-20 секунд, и в консоли можно работать. Qemu нужной версии можно скачать отдельно, поэтому проблем с установкой возникнуть не должно. Ниже скрин, указывающий, где и что поменять:
Примечание: И на это можно закончить. Все найденный мною статьи говорят о том, что после данного шага наступает Enjoy for work with ASA. Тем не менее я не нашел ни одной статьи, в которой бы участвовали свежии версии GNS3 и в которой после установки ASA была продемонстрирована попытка подключения к ASA.
А все потому, что при попытке подключить указанную ASA к любому устройству (протягиваем патчкорд, например, к коммутатору), ASA перестает работать, не запускается и выдает ошибку:
Error: QEMU process has stopped, return code: 1
Start QEMU with 'C:\Program Files\GNS3\qemu-0.13.0\qemu.exe' -name ASA_8.4.2-1 -m 1024M -smp cpus=1 -boot order=c -initrd 'C:\Users\GNS3\images\QEMU\asa842-initrd.gz' -kernel 'C:\Users\GNS3\images\QEMU\asa842-vmlinuz' -append 'ide_generic.probe_mask=0x01 ide_core.chs=0.0:980,16,32 auto nousb console=ttyS0,9600 bigphysarea=65536 ide1=noprobe no-hlt' -serial telnet:127.0.0.1:2001,server,nowait -monitor tcp:127.0.0.1:40455,server,nowait -net none -device e1000,mac=00:90:ea:be:ad:00,netdev=gns3-0 -netdev socket,id=gns3-0,udp=127.0.0.1:10001,localaddr=127.0.0.1:10000 -device e1000,mac=00:90:ea:be:ad:01 -device e1000,mac=00:90:ea:be:ad:02 -device e1000,mac=00:90:ea:be:ad:03 -device e1000,mac=00:90:ea:be:ad:04 -device e1000,mac=00:90:ea:be:ad:05 -device e1000,mac=00:90:ea:be:ad:06 -device e1000,mac=00:90:ea:be:ad:07 -icount auto -hdachs 980,16,32 -nographic
Execution log: (ТУТ ПУСТО)
Как победить эту проблему я так и не нашел, зато нашел следующее: ответ разработчика.
Таким образом, в деле с 8.4.2 на версиях GNS3 1.4.х можно поставить точку. Возможные решения проблемы представляются мне так:
- Попробовать установить версии GNS3 ниже 1.4. Скачать можно тут и тут. После этого следовать указанной выше инструкции.
- Поискать решение указанной выше проблемы, добиться работоспособности.
- Перестать заниматься некрофилией и воспользоваться новыми вариантами
Комментариев нет:
Отправить комментарий