Konfigurowanie ASDM na Cisco ASA w GNS3
jednym z tematów testowanych na CCNA security exam jest adaptive security service manager (ASDM) Cisco ASA. Ten artykuł przeprowadzi cię przez „instalowanie” ASDM na Cisco ASA przez GNS3. Będzie to pomocne dla tych, którzy chcą zapoznać się z interfejsem ASDM (tak jak to robiliśmy w serii CCP).
będziemy potrzebować serwera TFTP, pliku obrazu ASDM i ASA, na którym chcemy go zainstalować. Nasza konfiguracja laboratorium będzie zawierać tylko jeden ASA i jeden host (mój laptop), który będzie działał zarówno jako serwer TFTP, jak i komputer, którego użyjemy do uruchomienia ASDM po zakończeniu. Topologia GNS3 jest pokazana poniżej:
zauważ, że użyłem przełącznika do połączenia hosta i ASA, ponieważ GNS3 nie obsługuje łączenia chmury/hosta bezpośrednio z ASA. Przełącznik jest po prostu „przełącznikiem Ethernetowym” i wszystkie porty są w tej samej sieci VLAN (chociaż można to zmienić).
pierwszą rzeczą, którą chcemy zrobić, to upewnić się, że host i ASA mogą się komunikować. Użyjemy podsieci 192.168.10.0/24.
zauważ, że mimo że w topologii GNS3 interfejsy ASA są identyfikowane z „e” (oznaczające Ethernet?), są to w rzeczywistości interfejsy Gigabit Ethernet. Ping ujawnia również, że mogę komunikować się z moim komputerem hosta (192.168.10.10).
teraz, gdy mamy komunikację, następną rzeczą, którą musimy zrobić, to załadować obraz ASDM do ASA. Istnieje kilka opcji, w tym HTTP, FTP i TFTP, ale pozostaniemy przy TFTP ze względu na jego prostotę. Jednym z najlepszych serwerów TFTP, z których korzystałem jest 3CDaemon i może również działać jako serwer FTP lub syslog. Możesz pobrać darmowe serwery TFTP w tym 3CDaemon tutaj. Interfejs 3CDaemon jest pokazany poniżej:
zauważ, że po uruchomieniu 3CDaemon nasłuchuje żądań na wszystkich aktywnych interfejsach, więc nie musisz robić nic specjalnego, aby zmusić go do nasłuchiwania żądań. Musimy jednak skonfigurować lokalizację naszego obrazu ASDM, klikając ” Configure TFTP Server.”
po zakończeniu możesz kliknąć przycisk Zastosuj, aby zapisać wprowadzone zmiany. Teraz skopiujemy obraz ASDM do ASA za pomocą polecenia Kopiuj TFTP: flash:.
Uwaga: kopiowanie tftp: disk0: również będzie działać.
zauważ, że po wydaniu polecenia Kopiuj, mogę określić opcje, takie jak adres IP serwera TFTP i nazwa pliku. Mogłem podać wszystkie te opcje w poleceniu Kopiuj, ale wolę tę metodę, ponieważ jest to łatwiejsze niż zapamiętywanie składni. Należy również pamiętać, że przy określaniu nazwy pliku należy również podać rozszerzenie, np.”.bin ” lub serwer TFTP nie będzie w stanie zlokalizować żądanego pliku. Podczas kopiowania pliku możesz sprawdzić status w 3CDaemon, jak pokazano poniżej:
po zakończeniu tego procesu ASA zapisze obraz ASDM i zostanie wyświetlony monit, w którym przerwałeś.
w tym momencie, mimo że plik ASDM został skopiowany do Flasha ASA, nadal musimy określić, że był to plik ASDM, który skopiowaliśmy (w końcu mógł to być dowolny inny plik). Robimy to za pomocą polecenia konfiguracji globalnej obrazu asdm <lokalizacja pliku>. Jeśli nie znasz nazwy pliku, po prostu użyj polecenia show flash lub show disk0:, aby uzyskać nazwę.
jeśli polecenie powiedzie się, możesz użyć polecenia Pokaż wersję, aby zobaczyć zainstalowany obraz ASDM. Pomocne jest również polecenie Pokaż obraz asdm.
podobnie jak Telnet lub SSH, musimy określić, które hosty mogą łączyć się z ASA za pośrednictwem ASDM. Pamiętaj, że ASDM jest dostępny za pośrednictwem interfejsu internetowego, tj. HTTPS, więc najpierw musimy włączyć serwer HTTPS.
z powyższego zrzutu ekranu widać, że włączyłem serwer HTTPS i skonfigurowałem ASA, aby umożliwić podsieć 192.168.10.0/24 w interfejsie wewnętrznym.
mogę teraz otworzyć przeglądarkę internetową i przejść do https://<ASA adresu IP>/. W naszym przypadku będzie to https://192.168.10.1/. Prawdopodobnie otrzymasz Błąd certyfikatu, ponieważ komputer nie rozpoznaje cyfrowego certyfikatu ASA.
jak widać, możemy uruchomić ASDM jako aplikację lokalną (ASDM launcher zainstalowany na naszym komputerze)lub jako aplikację Java Web Start. Spróbujmy najpierw zainstalować program uruchamiający ASDM, ponieważ po jego zainstalowaniu nie będziemy już musieli łączyć się za pomocą przeglądarki internetowej. Zrozumiesz, dlaczego powiedziałem „próba”, jak czytasz dalej.
kiedy kliknąłem przycisk „Zainstaluj program uruchamiający ASDM”, dostałem okno dialogowe uwierzytelniania, jak pokazano poniżej:
zostawiłem domyślną konfigurację mojego ASA tak, jak była, co oznacza, że nie skonfigurowałem nazwy użytkownika ani hasła. Pozostawiając pola nazwy użytkownika i hasła puste i klikając przycisk OK, monit zniknął i byłem w stanie” uruchomić ” plik instalacyjny. * wzrusza ramionami *
po zakończeniu instalacji otwiera się program uruchamiający ASDM i możesz określić adres IP, nazwę użytkownika i ustawienia hasła.
teraz będzie dobry czas, aby skonfigurować nazwę użytkownika/hasło na ASA. Domyślnie ASA używa swojej lokalnej bazy danych do uwierzytelniania połączeń HTTP, więc nie musimy tego jawnie określać.
po kliknięciu przycisku ” OK ” pojawia się błąd: nie można uruchomić Menedżera urządzeń z <adresu IP>.
zrobiłem wyszukiwanie na ten błąd i okazało się, że ma to związek z moją wersją Java, która jest wersja 7, Aktualizacja 51. Istnieje kilka obejść tego problemu, w tym obniżenie wersji Java (ouch) lub uruchomienie ASDM za pośrednictwem Java Web Start za pośrednictwem przeglądarki internetowej. Możesz wyświetlić ten wątek, aby uzyskać szczegółowe informacje na temat naprawiania tego błędu. W tym artykule wrócimy do Java Web Start.
kliknięcie tego linku spowoduje pobranie, które po otwarciu wyświetli program uruchamiający ASDM podobny do tego, który widzieliśmy powyżej, ale bez pola adresu IP urządzenia.
po określeniu prawidłowej nazwy użytkownika i hasła, program uruchamiający ASDM otrzyma zaktualizowane oprogramowanie, jak pokazano poniżej:
po zakończeniu otrzymujemy interfejs ASDM dla tego ASA.
teraz możesz bawić się z ASDM! J pamiętaj, aby zapisać swoją konfigurację.
podsumowanie
w tym artykule widzieliśmy, jak włączyć ASDM na urządzeniu ASA działającym w GNS3. Powtórzmy jeszcze raz kroki: upewnij się, że ASA może uzyskać dostęp do serwera TFTP; określ katalog plików obrazu ASDM na serwerze TFTP; Skopiuj obraz ASDM z serwera TFTP do ASA za pomocą polecenia Kopiuj TFTP: flash:; włącz obraz ASDM na ASA; Włącz serwer HTTP; skonfiguruj dozwolone hosty; skonfiguruj nazwę użytkownika i hasło; otwórz przeglądarkę na adres IP ASA za pomocą HTTPS.
ten artykuł przygotowuje drogę do serii ASDM, która nastąpi później. Mam nadzieję, że ten artykuł okazał się pomocny.
Czytaj dalej
-
Cisco Security Appliance Command Line Configuration Guide, Wersja 7.2: Zarządzanie dostępem do systemu: http://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/mgaccess.html#wp1047288
-
nie można uruchomić Menedżera urządzeń-problem z ASDM: https://supportforums.cisco.com/discussion/12077481/unable-launch-device-manager-asdm-issue