nastavení ASDM na Cisco ASA v GNS3
jedním z témat, které je testováno na CCNA security exam, je adaptive security service manager (ASDM) Cisco ASA. Tento článek vás provede „instalací“ ASDM na Cisco ASA přes GNS3. To bude užitečné pro ty,kteří se chtějí seznámit s rozhraním ASDM (tak, jak jsme to dělali v řadě CCP).
budeme potřebovat TFTP server, obrazový soubor ASDM a ASA, na které jej chceme nainstalovat. Naše laboratorní nastavení bude obsahovat pouze jeden ASA a jednoho hostitele (můj notebook), který bude fungovat jako TFTP server I počítač, který po dokončení použijeme ke spuštění ASDM. Topologie GNS3 je uvedena níže:
Všimněte si, že jsem použil přepínač pro připojení hostitele a ASA, protože GNS3 nepodporuje připojení cloudu / hostitele přímo k ASA. Přepínač je pouze „ethernetový přepínač“ a všechny porty jsou ve stejné VLAN (i když to můžete změnit).
první věc, kterou chceme udělat, je zajistit, aby hostitel a ASA mohli komunikovat. Použijeme podsíť 192.168.10.0/24.
Všimněte si, že i když v topologii GNS3 jsou rozhraní ASA označena „e“ (což znamená Ethernet?), jsou to vlastně gigabitová ethernetová rozhraní. Ping také odhaluje, že mohu komunikovat s hostitelským počítačem (192.168.10.10).
Nyní, když máme komunikaci, další věc, kterou musíme udělat, je načíst obrázek ASDM do ASA. Existuje několik možností, včetně HTTP, FTP a TFTP, ale budeme se držet TFTP kvůli jeho jednoduchosti. Jeden z nejlepších TFTP serverů, které jsem použil, je 3CDaemon a může také fungovat jako FTP nebo Syslog server. Zde si můžete stáhnout zdarma TFTP servery včetně 3CDaemon zde. Rozhraní 3CDaemon je uvedeno níže:
Všimněte si, že když se spustí, 3CDaemon poslouchá požadavky na všech vašich aktivních rozhraní, takže nemusíte dělat nic zvláštního, aby si to poslouchat požadavky. Musíme však nakonfigurovat umístění našeho obrázku ASDM kliknutím na “ Konfigurovat TFTP Server.“
po dokončení můžete kliknutím na tlačítko Použít uložit provedené změny. Nyní zkopírujeme obrázek ASDM do ASA pomocí příkazu copy tftp: flash:.
Poznámka: copy tftp: disk0: bude také fungovat.
Všimněte si, že po vydání příkazu Kopírovat pak mohu zadat možnosti, jako je IP adresa serveru TFTP a název souboru. Mohl jsem zadat všechny tyto možnosti v příkazu Kopírovat, ale dávám přednost této metodě, protože je to jednodušší, než si pamatovat syntaxi. Mějte také na paměti, že při zadávání názvu souboru musíte také zadat příponu, například „.bin “ nebo server TFTP nebude schopen najít požadovaný soubor. Během kopírování souboru můžete zobrazit stav v 3CDaemon, jak je uvedeno níže:
po dokončení tohoto procesu ASA zapíše obrázek ASDM a zobrazí se výzva, kde jste skončili.
v tomto okamžiku, i když byl soubor ASDM zkopírován do Asa flash, stále musíme určit, že se jednalo o soubor ASDM, který jsme zkopírovali (koneckonců to mohl být jakýkoli jiný soubor). Děláme to pomocí příkazu asdm image <umístění souboru> globální konfigurace. Pokud neznáte název souboru, stačí k získání názvu použít příkaz show flash nebo show disk0:.
pokud je příkaz úspěšný, můžete pomocí příkazu Zobrazit verzi Zobrazit nainstalovaný obrázek ASDM. Příkaz zobrazit obrázek asdm je také užitečný.
stejně jako Telnet nebo SSH, musíme určit, co hostitelé mohou připojit k ASA přes ASDM. Pamatujte, že ASDM je přístupný přes webové rozhraní, tj.
z výše uvedeného snímku obrazovky můžete vidět, že jsem povolil server HTTPS a nakonfiguroval ASA tak, aby umožnil podsíť 192.168.10.0 / 24 na vnitřním rozhraní.
nyní mohu otevřít webový prohlížeč a přejít na https://<ASA IP adresu>/. V našem případě to bude https://192.168.10.1/. Pravděpodobně se zobrazí chyba certifikátu, protože váš počítač nerozpozná digitální certifikát ASA.
jak vidíte, můžeme spustit ASDM jako místní aplikaci (ASDM launcher nainstalovaný v našem počítači) nebo jako Java Web Start aplikace. Pokusme se nejprve nainstalovat spouštěč ASDM, protože po instalaci se již nebudeme muset připojovat pomocí webového prohlížeče. Pochopíte, proč jsem řekl „pokus“, jak budete číst dál.
když jsem klikl na tlačítko“ Install ASDM Launcher“, dostal jsem dialogové okno ověřování, jak je uvedeno níže:
výchozí konfiguraci ASA jsem nechal tak, jak byla, což znamená, že jsem nenakonfiguroval uživatelské jméno nebo heslo. Ponecháním polí uživatelského jména a hesla prázdných a kliknutím na tlačítko OK výzva zmizela a byl jsem schopen „spustit“ instalační soubor. * pokrčí rameny *
po dokončení instalace se otevře spouštěč ASDM a můžete zadat nastavení IP adresy, uživatelského jména a hesla.
nyní bude vhodný čas na konfiguraci uživatelského jména/hesla na ASA. Ve výchozím nastavení ASA použije místní databázi pro ověřování připojení HTTP, takže to nemusíme explicitně specifikovat.
když kliknu na tlačítko „OK“, zobrazí se Chyba: Nelze spustit Správce zařízení z <ASA IP adresy>.
hledal jsem tuto chybu a zjistil jsem, že to souvisí s mou verzí Java, což je verze 7, Aktualizace 51. Existuje několik řešení pro toto, včetně snížení vaší verze Java (au) nebo spuštění ASDM přes Java Web Start prostřednictvím webového prohlížeče. Můžete zobrazit toto vlákno pro úplné podrobnosti o opravě této chyby. V tomto článku se jen vrátíme k Java Web Start.
kliknutím na tento odkaz spustíte stahování, které po otevření vyvolá spouštěč ASDM podobný tomu, který jsme viděli výše, ale bez pole IP adresy zařízení.
po zadání správného uživatelského jména a hesla dostane spouštěč ASDM aktualizovaný software, jak je uvedeno níže:
jakmile je to kompletní, zobrazí se nám rozhraní ASDM pro tento ASA.
Nyní si můžete hrát s ASDM! J Nezapomeňte uložit konfiguraci.
shrnutí
v tomto článku jsme viděli, jak povolit ASDM na zařízení ASA běžícím v GNS3. Zopakujme si tyto kroky: ujistěte se, že ASA má přístup k TFTP serveru; zadejte adresář ASDM image file na TFTP serveru; zkopírujte obrázek ASDM ze serveru TFTP do ASA pomocí příkazu copy tftp: flash:; povolte obrázek ASDM na ASA; povolte HTTP server; konfigurovat povolené hostitele(hostitele); konfigurovat uživatelské jméno a heslo; otevřete prohlížeč na IP adresu ASA pomocí protokolu HTTPS.
tento článek připravuje cestu pro řadu ASDM, která bude následovat. Doufám, že jste našli tento článek užitečný.
další čtení
-
Cisco Security Appliance Průvodce konfigurací příkazového řádku, verze 7.2: Správa přístupu k systému: http://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/mgaccess.html#wp1047288
-
nelze spustit Správce zařízení-problém s ASDM: https://supportforums.cisco.com/discussion/12077481/unable-launch-device-manager-asdm-issue