ställa in ASDM på Cisco ASA i GNS3
ett av ämnena som testas på CCNA security exam är Cisco asas adaptive security service manager (ASDM). Denna artikel kommer att gå igenom ”installera” ASDM på en Cisco ASA genom GNS3. Detta kommer att vara till hjälp för dem som vill bekanta sig med ASDM-gränssnittet (som vi har gjort i CCP-serien).
vi behöver en TFTP-server, ASDM-bildfilen och ASA som vi vill installera den på. Vår lab setup kommer att innehålla bara en ASA och en värd (min laptop), som kommer att fungera som både TFTP-servern och datorn vi kommer att använda för att starta ASDM när du är klar. GNS3-topologin visas nedan:
Observera att jag har använt en omkopplare för att ansluta värden och ASA eftersom GNS3 inte stöder anslutning av ett moln/värd direkt till en ASA. Växeln är bara en” Ethernet-switch ” och alla portar är i samma VLAN (även om du kan ändra det).
det första vi vill göra är att se till att värden och ASA kan kommunicera. Vi kommer att använda undernätet 192.168.10.0 / 24.
Observera att även om i GNS3-topologin identifieras Asa-gränssnitten med ”e” (vilket betyder Ethernet?), de är faktiskt Gigabit Ethernet-gränssnitt. Ping avslöjar också att jag kan kommunicera med min värddator (192.168.10.10).
nu när vi har kommunikation är nästa sak vi behöver göra att ladda ASDM-bilden till ASA. Det finns flera alternativ inklusive HTTP, FTP och TFTP, men vi kommer att hålla fast vid TFTP på grund av dess enkelhet. En av de bästa TFTP-servrarna jag har använt är 3CDaemon och den kan också fungera som en FTP-eller Syslog-server. Du kan ladda ner gratis TFTP-servrar inklusive 3CDaemon här. 3cdaemon-gränssnittet visas nedan:
Lägg märke till att, när det startar, 3cdaemon lyssnar efter förfrågningar på alla dina aktiva gränssnitt så att du inte behöver göra något speciellt för att få den att lyssna efter förfrågningar. Vi måste dock konfigurera platsen för vår ASDM-bild genom att klicka på ”Konfigurera TFTP-Server.”
när du är klar kan du klicka på Apply-knappen för att spara de ändringar du har gjort. Vi kommer nu att kopiera ASDM-bilden till ASA med kommandot copy TFTP: flash:.
Obs: kopiera TFTP: disk0: fungerar också.
Observera att efter att ha utfärdat kopieringskommandot kan jag sedan ange alternativen, till exempel TFTP-serverns IP-adress och filnamn. Jag kunde ha angett alla dessa alternativ i kommandot Kopiera, men jag föredrar den här metoden eftersom det är lättare än att behöva komma ihåg syntax. Tänk också på att när du anger filnamnet måste du också ange tillägget, t.ex.”.bin ” eller TFTP-servern kommer inte att kunna hitta filen du begär. Medan filen kopieras kan du se statusen i 3CDaemon, som visas nedan:
när denna process är klar kommer ASA att skriva ASDM-bilden och du kommer att presenteras med prompten där du slutade.
vid denna tidpunkt, även om ASDM-filen har kopierats till Asa: s flash, måste vi fortfarande ange att det var en ASDM-fil vi kopierade (trots allt kunde det ha varit någon annan fil). Vi gör detta med asdm-bilden <filplats> globalt konfigurationskommando. Om du inte vet namnet på filen, använd bara kommandot Visa blixt eller visa disk0: för att få namnet.
om kommandot lyckas kan du använda kommandot Visa version för att se ASDM-bilden installerad. Visa asdm – bildkommandot är också till hjälp.
precis som Telnet eller SSH måste vi ange vilka värdar som kan ansluta till ASA via ASDM. Kom ihåg att ASDM nås via ett webbgränssnitt, dvs HTTPS, så vi måste först aktivera HTTPS-servern.
från ovanstående skärmdump kan du se att jag har aktiverat HTTPS-servern och konfigurerat ASA för att tillåta 192.168.10.0/24-undernätet på det inre gränssnittet.
jag kan nu öppna en webbläsare och navigera till https://<ASAIP-adress>/. I vårt fall kommer det att vara https://192.168.10.1/. Du kommer förmodligen att få ett certifikatfel eftersom din dator inte känner igen ASA: s digitala certifikat.
som du kan se kan vi antingen köra ASDM som en lokal applikation (ASDM launcher installerad på vår dator) eller som en Java Web Start-applikation. Låt oss först försöka installera ASDM launcher eftersom vi, när den är installerad, inte behöver ansluta med en webbläsare längre. Du kommer att förstå varför jag sa” försök ” när du läser vidare.
när jag klickade på knappen” Installera ASDM Launcher ” fick jag en autentiseringsdialogruta som visas nedan:
jag lämnade standardkonfigurationen för min ASA som den var, vilket innebär att jag inte konfigurerade användarnamn eller lösenord. Genom att lämna fälten användarnamn och lösenord tomma och klicka på OK-knappen försvann prompten och jag kunde ”köra” installationsfilen. * shrugs *
när installationen är klar öppnas ASDM-startprogrammet och du kan ange IP-adress, användarnamn och lösenordsinställningar.
nu kommer det att vara en bra tid att konfigurera användarnamnet/lösenordet på ASA. Som standard använder ASA sin lokala databas för att autentisera HTTP-anslutningar, så vi behöver inte uttryckligen ange det.
när jag klickar på” OK ” – knappen får jag ett fel: Det går inte att starta Enhetshanteraren från <ASA IP-adress>.
jag gjorde en sökning på det här felet och fann att det har att göra med min Java-version, som är version 7, uppdatering 51. Det finns ett par lösningar för detta, inklusive nedgradering av din Java-version (ouch) eller körning av ASDM via Java Web Start via webbläsaren. Du kan se den här tråden för fullständig information om hur du åtgärdar detta fel. I den här artikeln kommer vi bara att falla tillbaka till Java Web Start.
om du klickar på den länken utlöses en nedladdning som, när den öppnas, kommer att ta upp ASDM-startprogrammet som liknar den vi såg ovan men utan enhetens IP-adressfält.
när vi har angett rätt användarnamn och lösenord kommer ASDM launcher att få den uppdaterade programvaran som visas nedan:
när det är klart presenteras vi med ASDM-gränssnittet för det ASA.
nu kan du leka med ASDM! J kom ihåg att spara din konfiguration.
sammanfattning
i den här artikeln har vi sett hur du aktiverar ASDM på en ASA-enhet som körs i GNS3. Låt oss sammanfatta stegen igen: se till att ASA kan komma åt TFTP-servern; ange ASDM-bildfilkatalogen på TFTP-servern; kopiera ASDM-bilden från TFTP-servern till ASA med hjälp av copy TFTP: flash: command; aktivera ASDM-bilden på ASA; aktivera HTTP-servern; konfigurera tillåten värd(er); konfigurera användarnamn och lösenord; öppna webbläsare till asas IP-adress med HTTPS.
den här artikeln förbereder vägen för ASDM-serien som kommer att följa. Jag hoppas att du har hittat den här artikeln till hjälp.
Vidare läsning
-
Cisco Security Appliance Kommandoradskonfigurationsguide, Version 7.2: hantera systemåtkomst: http://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/mgaccess.html#wp1047288
-
det gick inte att starta Enhetshanteraren-ASDM-problem: https://supportforums.cisco.com/discussion/12077481/unable-launch-device-manager-asdm-issue