Part 1 – 思科ASAv产品简介
一.什么是ASAv
思科自适应安全虚拟设备 (ASAv) 是一款完全重新构想的虚拟安全解决方案。对于思科以应用为中心的基础设施 (ACI) 环境,它支持传统的分层数据中心部署和基于交换矩阵的部署。ASAv 支持跨物理环境、虚拟环境、以应用为中心的环境、SDN 环境和云环境提供一致、透明的安全保护。
二.ASAv的特性和功能
1.完全独立的解决方案
ASAv 为虚拟化环境提供全面的防火墙功能,帮助保护数据中心流量和多租户架构。由于 ASAv 已经针对数据中心环境进行了优化,因此它支持 vSwitch。因此,ASAv 可以部署在思科数据中心、混合数据中心,甚至可以部署在非思科数据中心,从而显著减少管理开销并提高灵活性和运营效率。
在任何数据中心环境中,Cisco ASAv 均使关键安全功能可以随着业务需求的变化动态扩展,以保护资产。
中继者温馨提示:虽然ASAv是以虚拟设备的形式存在,但是它不是模拟器、不是模拟器、不是模拟器,而是一个真真的产品!
2.完全集成的 ACI 安全解决方案
ASAv 已经完全且透明地集成到下一代 ACI 数据中心架构的交换矩阵中。此方法可以消除传统的网络导向型安全解决方案的局限性,从而显著简化调配。
在独立于 ACI 拓扑的环境中,将各项 ASAv 服务作为一个安全资源池进行管理。可以选择这些资源并将其连接到特定的应用或事务,以提供动态、可扩展且基于策略的安全保护。
3.好处
·完整的 ASA 功能集
·适应性强的调配
·弹性的可扩展性
·安全和服务虚拟化
·独立操作
·灵活的配置和管理
三.ASAv的许可授权
| 许可证授权 | vCPU/RAM | 吞吐量 | 实施速率限制器 |
| 实验室版本(无许可) | 所有平台 | 100Kpbs | 是 |
| ASAv5(100M) | 1vCPU/1GB | 100Mpbs | 是 |
| ASAv10(1G) | 1vCPU/2GB | 受限vCPU/RAM | 否 |
| ASAv30(2G) | 4vCPU/8GB | 受限vCPU/RAM | 否 |
Part 2 – ASAv在EXSi环境中的部署方法:
一.准备工作
1.所需环境和文件如下:
-
ESXi 主机
-
ASAv-9.6 安装文件
-
终端软件:xshell,或者SecureCRT
2.ASAv-9.6安装文件说明:
-
asav-vi.ovf:适用于 vCenter 部署。
-
asav-esxi.ovf:适用于非 vCenter 部署。
-
boot.vmdk:启动磁盘映像。
-
disk0.vmdk:ASAv 磁盘映像。
-
day0.iso:包含 day0-config 文件和 idtoken 文件(可选)的 ISO。
-
asav-vi.mf:适用于 vCenter 部署的清单文件。
-
asav-esxi.mf:适用于非 vCenter 部署的清单文件。
3.镜像文件下载地址:
链接: https://pan.baidu.com/s/1OoQu00p1LXdJJNZNxe_Rdw
提取码: v6g8
二.安装步骤:
Step 1:使用vSphere Client连接到ESXi主机
Step 2:导入OVF文件
文件 -> 部署OVF模板:
在OVF模板部署向导中,选择asav-esxi.ovf文件,并下一步 :
在OVF模板部署向导中,接受用户协议,并下一步:
在OVF模板部署向导中,为ASAv命名,并下一步:
在OVF模板部署向导中,配置网络吞吐量,并下一步,该吞吐量受限于授权文件和ESXi主机的网卡实际能力:
在OVF模板部署向导中,配置ASAv在ESXi中的存储方式,并下一步:
在OVF模板部署向导中,配置ASAv的网卡,并下一步,ASAv默认提供了8个业务接口和一个管理接口:
完成OVF模板部署后,开启ASAv:
通过本地控制台,查看ASAv是否正常启动:
Step 3:使用终端软件和ASDM登入ASAv
通过本地Console口配置相应的网络参数:
配置ASAv的管理接口,将其命名为MGMT,并配置IP地址:
|
Ciscoasa#(config-if)#interface Management 0/0 Ciscoasa#(config-if)nameif MGMT Ciscoasa#(config-if)ip address 192.168.255.146 255.255.255.0 Ciscoasa#(config-if)no shutdown |
配置缺省路由
|
Ciscoasa#(config)#route MGMT 0 0 192.168.255.254 |
生成RSA密钥
|
Ciscoasa#(config)#crypto key generate rsa modulus 1024 |
允许客户机通过MGMT接口对ASAv进行SSH访问
|
ciscoasa(config)#ssh 0.0.0.0 0.0.0.0 MGMT |
为客户机在 ASAv 上创建用户数据库,并指定 SSH 采用 AAA 进行用户验证
|
ciscoasa(config)#username cisco password cisco privilege 15 ciscoasa(config)#aaa authentication ssh console LOCAL |
使用终端软件登入ASAv
为ASDM配置HTTPS参数
在ASAv上开启HTTPS服务,并指定ASDM镜像的路径
|
ciscoasa(config)#http server enable ciscoasa(config)#asdm image flash:/asdm-76157.bin |
允许客户机通过 MGMT 接口对 ASAv 进行 ASDM 访问
|
ciscoasa(config)#http 0 0 MGMT |
为客户机在ASAv上创建用户数据库,并指定http采用AAA进行用户验证
|
ciscoasa(config)#username user1 password cisco privilege 15 ciscoasa(config)#aaa authentication http console LOCAL |
使用ASDM来登入ASAv