opsætning af ASDM på Cisco ASA i GNS3
et af de emner, der testes på CCNA security eksamen er adaptive security service manager (ASDM) af Cisco ASA. Denne artikel vil lede dig gennem “installation” af ASDM på en Cisco ASA gennem GNS3. Dette vil være nyttigt for dem, der ønsker at gøre sig bekendt med ASDM-grænsefladen (som vi har gjort i CCP-serien).
vi har brug for en TFTP-server, ASDM-billedfilen og den ASA, vi vil installere den på. Vores laboratorieopsætning indeholder kun en ASA og en vært (min bærbare computer), som fungerer som både TFTP-serveren og den computer, vi vil bruge til at starte ASDM, når du er færdig. GNS3-topologien er vist nedenfor:
Bemærk, at jeg har brugt en kontakt til at forbinde værten og ASA, fordi GNS3 ikke understøtter tilslutning af en sky/vært direkte til en asa. Kontakten er bare en” Ethernet-kontakt”, og alle porte er i samme VLAN (selvom du kan ændre det).
det første, vi vil gøre, er at sikre, at værten og ASA kan kommunikere. Vi bruger undernet 192.168.10.0 / 24.
Bemærk, at selvom ASA-grænsefladerne i GNS3-topologien identificeres med “e” (betyder Ethernet?), de er faktisk Gigabit Ethernet-grænseflader. Pingen afslører også, at jeg kan kommunikere med min vært PC (192.168.10.10).
nu hvor vi har kommunikation, er den næste ting, vi skal gøre, at indlæse ASDM-billedet til ASA. Der er flere muligheder, herunder HTTP, FTP og TFTP, men vi vil holde fast i TFTP på grund af sin enkelhed. En af de bedste TFTP-servere, jeg har brugt, er 3cdaemon, og den kan også fungere som en FTP-eller Syslog-server. Du kan hente gratis TFTP servere, herunder 3CDaemon her. 3cdaemon-grænsefladen er vist nedenfor:
Bemærk, at når det starter, lytter 3cdaemon efter anmodninger på alle dine aktive grænseflader, så du ikke behøver at gøre noget særligt for at få det til at lytte til anmodninger. Vi er dog nødt til at konfigurere placeringen af vores ASDM-billede ved at klikke på “Konfigurer TFTP-Server.”
når du er færdig, kan du klikke på knappen Anvend for at gemme de ændringer, du har foretaget. Vi kopierer nu ASDM-billedet til ASA ved hjælp af kommandoen copy tftp: flash:.
Bemærk: kopier tftp: disk0: vil også arbejde.
Bemærk, at jeg efter udstedelse af kopikommandoen derefter kan specificere indstillingerne, såsom IP-adressen på TFTP-serveren og filnavnet. Jeg kunne have angivet alle disse muligheder i kopikommandoen, men jeg foretrækker denne metode, fordi det er lettere end at skulle huske syntaks. Husk også, at når du angiver filnavnet, skal du også angive udvidelsen, f.eks.bin ” eller TFTP-serveren kan ikke finde den fil, du anmoder om. Mens filen kopieres, kan du se status i 3CDaemon, som vist nedenfor:
når denne proces er færdig, vil ASA skrive ASDM-billedet, og du vil blive præsenteret for prompten, hvor du slap.
på dette tidspunkt, selvom ASDM-filen er blevet kopieret til ASA ‘ s flash, er vi stadig nødt til at specificere, at det var en ASDM-fil, vi kopierede (når alt kommer til alt kunne det have været enhver anden fil). Vi gør dette ved hjælp af ASDM-billedet <filplacering> global konfigurationskommando. Hvis du ikke kender navnet på filen, skal du bare bruge kommandoen Vis flash eller vis disk0: for at få navnet.
hvis kommandoen er vellykket, kan du bruge kommandoen Vis version til at se ASDM-billedet installeret. Kommandoen Vis ASDM-billede er også nyttig.
ligesom Telnet eller SSH skal vi angive, hvilke værter der kan oprette forbindelse til ASA gennem ASDM. Husk, at ASDM er tilgængelig via en internetgrænseflade, dvs.HTTPS, så vi skal først aktivere HTTPS-serveren.
fra ovenstående skærmbillede kan du se, at jeg har aktiveret HTTPS-serveren og konfigureret ASA til at tillade 192.168.10.0/24 subnet på den indvendige grænseflade.
jeg kan nu åbne en internetsøgemaskine og navigere til https://<ASA IP-adresse>/. I vores tilfælde vil det være https://192.168.10.1/. Du får sandsynligvis en certifikatfejl, fordi din computer ikke genkender asas digitale certifikat.
som du kan se, kan vi enten køre ASDM som en lokal applikation (ASDM launcher installeret på vores computer) eller som et Java-startprogram. Lad os først forsøge at installere ASDM-launcheren, fordi vi, når den først er installeret, ikke længere behøver at oprette forbindelse ved hjælp af en internetsøgemaskine. Du vil forstå, hvorfor jeg sagde” forsøg”, mens du læser videre.
da jeg klikkede på knappen” Installer ASDM Launcher”, fik jeg en godkendelsesdialogboks som vist nedenfor:
jeg forlod standardkonfigurationen af min ASA som den var, hvilket betyder, at jeg ikke konfigurerede Brugernavn eller adgangskode. Ved at lade felterne Brugernavn og adgangskode være tomme og klikke på OK-knappen, forsvandt prompten, og jeg var i stand til at “køre” installationsfilen. * shrugs *
når installationen er færdig, åbnes ASDM launcher, og du kan angive IP-adresse, brugernavn og adgangskodeindstillinger.
nu vil det være et godt tidspunkt at konfigurere brugernavnet/adgangskoden på ASA. Som standard bruger ASA sin lokale database til godkendelse af HTTP-forbindelser, så vi behøver ikke eksplicit at specificere det.
når jeg klikker på knappen” OK”, får jeg en fejl: kan ikke starte Enhedshåndtering fra <ASA IP-adresse>.
jeg foretog en søgning på denne fejl og fandt ud af, at den har at gøre med min Java-version, som er version 7, opdatering 51. Der er et par løsninger til dette, herunder nedgradering af din Java-version (ouch) eller kørsel af ASDM via Java-Start via internetsøgeren. Du kan se denne tråd for de komplette detaljer om løsning af denne fejl. I denne artikel vil vi bare falde tilbage til Java-start.
hvis du klikker på dette link, udløses en overførsel, der, når den åbnes, åbner ASDM-launcheren svarende til den, vi så ovenfor, men uden enhedens IP-adressefelt.
når vi har angivet det korrekte brugernavn og adgangskode, vil ASDM launcher få det opdaterede program som vist nedenfor:
når det er færdigt, præsenteres vi for ASDM-grænsefladen til den ASA.
nu Kan du lege med ASDM! J Husk at gemme din konfiguration.
Resume
i denne artikel har vi set, hvordan du aktiverer ASDM på en Asa-enhed, der kører i GNS3. Lad os sammenfatte trinene igen: sørg for, at ASA kan få adgang til TFTP-serveren; Angiv ASDM-billedfilmappen på TFTP-serveren; kopier ASDM-billedet fra TFTP-serveren til ASA ved hjælp af kommandoen copy tftp: flash:; aktiver ASDM-billedet på ASA; aktiver HTTP-serveren; Konfigurer tilladte vært(er); Konfigurer brugernavn og adgangskode; åbn bro.ser til ASA ‘ s IP-adresse ved hjælp af HTTPS.
denne artikel forbereder vejen for ASDM-serien, der følger. Jeg håber du har fundet denne artikel nyttig.
yderligere læsning
-
Cisco Security Appliance Kommandolinjekonfigurationsguide, Version 7.2: administration af systemadgang: http://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/mgaccess.html#wp1047288
-
kan ikke starte Enhedshåndtering-ASDM-problem: https://supportforums.cisco.com/discussion/12077481/unable-launch-device-manager-asdm-issue