• 1. はじめに
• 2. 事前準備
• 3. セットアップ構成
• 4. vSphereクライアントを用いたASAvのデプロイ方法
• 5. ホストオンリーのネットワークラベルの作成
• 6. ネットワークラベルを各仮想マシンに割当て
• 7. ASAvのセットアップと簡易動作確認
• 8. 参考情報

当ドキュメントは、TAC Security Team ブログからの転載です。 ASAvのセットアップの参考にして頂けますと幸いです。

なお、ASAv バージョン 9.4(1)200、もしくは 9.5(1)以降より、vCenter無しに ESXiにインストールが可能となり、より便利になりました。 ESXiサーバと、ASAｖの互換性情報は以下を参照してください。

Cisco ASA Compatibility - ASAv Hypervisor Compatibility
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#90840

 

---

 

 

 

1. はじめに

ASAvは クラウド基盤のFirewallとしてだけではなく、ASA物理アプライアンスの機能や設定の簡易検証や、学習用など、様々な用途で活用できます。

ライセンス無しの場合、100Kbps 100コネクションまでの性能制限がありますが、ASA物理アプライアンスとほぼ同じ機能を利用できます。AnyConnectもできます。 かなり太っ腹です。

スナップショットやクローン、vMotionに対応するため、任意タイミングでバックアップや切り戻しが可能です。

今回は、この便利なASAvの vSphereクライアントからのデプロイ方法と、簡易的な動作確認方法を紹介します。

 

2. 事前準備

本ブログのセットアップ手順では 以下を利用します。 ASAv 9.3 以外は事前にセットアップ済みです。 vCenterを使用せずに、ESXiに ASAv を直接インストールすることは、旧バージョン(※)の場合は出来ません。

 ・ ESXi 5.5
 ・ vCenter Server(※)      
 ・ vSphereクライアント （もしくは vSphere Webクライアントでも可能）
 ・ ASAv 9.3
 ・ Windows-01 (inside側仮想マシン) 
 ・ Windows-02 (outside側仮想マシン)
 ・ 管理PC (management側仮想マシン)

      ※ASA 9.4(1.200) もしくは 9.5(1)以降は vCenterは必須でなくなりました

vSphere Web クライアントを用いたデプロイ方法については以下URLを参考にしてください。

Cisco Adaptive Security Virtual Appliance (ASAv) Quick Start Guide, 9.3
http://www.cisco.com/c/en/us/td/docs/security/asa/asa93/asav/quick-start/asav-quick/asav-vmware.html#pgfId-109655

 

3. セットアップ構成

今回は以下の検証構成のセットアップ手順を紹介します。 全てが仮想マシンとなり、それらをホストオンリーのネットワークラベルでつなぎます。一度、当環境を作成すると、基本的な検証は全て 仮想環境上で行うことが可能になります。 （つまり、検証毎の、物理機器や検証PCのセットアップや、ラックマウントや配線の手間が不要になります！）

通信試験に利用する、Windows（もしくは Linuxなど）のセットアップ手順は割愛します。

 

 

4. vSphereクライアントを用いたASAvのデプロイ方法

これより順にセットアップ手順を紹介します。
 

4.1. 以下サイトにアクセス

http://www.cisco.com/go/asa-software

4.2. 以下パスに移動

Downloads Home > Products > Security > Firewalls > Adaptive Security Appliances (ASA) > Adaptive Security Virtual Appliance (ASAv) 

4.3. 任意バージョンの ASAv OVAファイルをダウンロード。 本例では、9.3リリースの最新Interimバージョンである 9.3(3)2の ASAv OVAファイルである、asav933-2.ova をダウンロード
(2020/10/19 追記: ASA 9.12系などでは ovaの公開はなくなり、zipファイルでの公開となりました。 任意バージョンの Cisco Adaptive Security Virtual Appliance VMWare Package for the Cisco ASAv Virtual Firewall のZIPファイルをダウンロード・解凍して頂き、ESXiにデプロイ時は asav-esi.ovf を、vCenterにデプロイ時は asav-vi.ovf を利用してください。)

4.4. vSphereクライアントでアクセスし、ファイル(F) > OVFテンプレートのデプロイ(D) を選択

4.5. OVFテンプレートのデプロイ ウィザードが起動しますので、"ファイルまたはURLからのデプロイ"にダウンロードしたASAv OVAファイルを選択し、次へ

4.6. OVFテンプレートの詳細表示画面で、ASAvパッケージの詳細を確認し、次へ

4.7. エンドユーザー使用承諾契約書画面で、契約の確認および承諾し、次へ

4.8. 名前と場所画面で、ASAvの名前の入力と、インベントリの場所を選択し、次へ

4.9. デプロイの構成画面で、ライセンス購入前の場合はそのままで、次へ

4.10. ホスト/クラスタ画面で、任意ESXiホストを選択し、次へ

4.11. リソースプール画面で、テンプレートのデプロイをする任意リソースプールを選択し、次へ

4.12. ディスクのフォーマット画面で、プロビジョニングに使用する形式を選択。 ディスク領域を節約する場合は、"Thin Provision"をチェックし、次へ

4.13. ネットワークのマッピング画面で、ASAvインターフェイスと 任意ネットワークラベルを紐づけて、次へ。なお、ネットワークラベルは ASAvデプロイ後も変更可能です

4.14. プロパティ画面で、ホスト名や IPアドレス、ASAv管理設定などを入力した後、次へ

 以下は設定例

Hostname	ASAv-01
Management IP Address	192.168.90.1
Management IP Subnet Mask	255.255.255.0
Management IP Default Gateway	192.168.90.254
HTTP Server Setting	Use Specified Subnet
HTTP Client Subnet	192.168.90.0
HTTP Client Mask	255.255.255.0
Administrator Username	cisco
Administrator Password	cisco123

4.15. 終了準備の完了画面で、デプロイ設定が正しい事を最終確認し、終了

4.16. デプロイが完了後、閉じる をクリック

 

5. ホストオンリーのネットワークラベルの作成

5.1. デプロイ先のESXiホストの 構成タブ > ネットワークをクリックし、"ネットワークの追加..."をクリック

5.2. ネットワークの追加ウィザードが起動するので、"仮想マシン"をチェックし、次へ

5.3. ネットワーク アクセス画面で、物理NICの 全てのチェックを外し、次へ

5.4. 接続設定画面で、任意ネットワークラベルを設定し、次へ。 本例では Internal-VMnet-01と命名

5.5. サマリ画面で、設定が問題無い事を確認し、終了をクリック

5.6. ネットワークの画面に戻るので、標準スイッチが追加されたことを確認

    同様の手順で、Internal-VMnet-02も作成

 

 

6. ネットワークラベルを各仮想マシンに割当て

6.1. ASAvは、デプロイしたASAvを 右クリック > 設定の編集を選ぶ。仮想マシンのプロパティが開くので、本例ではネットワークアダプタ 1 (=Management0/0)に 管理ネットワークラベルを、ネットワークアダプタ 2 (=GigabitEthernet0/0)に Internal-VMnet-01を、ネットワークアダプタ 3 (=GigabitEthernet0/1)に Internal-VMnet-02を、各割当てた後、OKをクリック

ネットワークアダプタIDと、ASAv インターフェイスIDの対応一覧は以下

ネットワーク アダプタ ID	ASAv インターフェイス ID
ネットワーク アダプタ 1	Management0/0
ネットワーク アダプタ 2	GigabitEthernet0/0
ネットワーク アダプタ 3	GigabitEthernet0/1
ネットワーク アダプタ 4	GigabitEthernet0/2
ネットワーク アダプタ 5	GigabitEthernet0/3
ネットワーク アダプタ 6	GigabitEthernet0/4
ネットワーク アダプタ 7	GigabitEthernet0/5
ネットワーク アダプタ 8	GigabitEthernet0/6
ネットワーク アダプタ 9	GigabitEthernet0/7
ネットワーク アダプタ 10	GigabitEthernet0/8

    ※全てのネットワークアダプタを利用する必要はありません

6.2. 他の仮想マシンも同様の手順で、ネットワークアダプタの ネットワークラベルを変更
     以下画像は、Windows-01のネットワークアダプタに Internal-VMnet-01を割当て

     同様の手順で Windows-02のネットワークアダプタに Internal-VMnet-02を割当て

 

7. ASAvのセットアップと簡易動作確認

7.1. ASAvを 右クリック > 電源 > パワーオンを選択

7.2. ASAvにコンソールアクセスし、"show interface ip brief"コマンドを実行し Management0/0がリンクアップし、IPアドレスが正しい事を確認

7.3. 任意管理端末から、ASAvのManagement0/0のIPアドレス宛にHTTPSアクセスし、ASDMを起動。本例では、管理端末から https://192.168.90.1/ 宛にアクセス

7.4. Cisco ASDM-IDMランチャーが起動するので、ASAvデプロイ時に設定したユーザ名・パスワードを入力

7.5. ASDMが起動するので、動作試験用に簡易設定を実施する

まず、Tools > Command Line Interface...を選択すると、Command Line Interfaceがポップアップするので、Multiple Line をチェックし、以下コマンドラインを入力し、Sendボタンをクリック

conf t ! interface Management0/0  security-level 70 ! interface GigabitEthernet0/0  nameif inside  ip address 192.168.10.254 255.255.255.0  security-level 100  no shut ! interface GigabitEthernet0/1  nameif outside  ip address 192.168.20.254 255.255.255.0  security-level 0  no shut ! policy-map global_policy  class inspection_default   inspect icmp ! passwd cisco123 !

    TIPS: 上記設定例では、ICMPをコネクションとして管理するため、inspect icmpを有効にしています

以下は入力例

実行後、ASDMのリフレッシュ要求があるため"Refresh Now"し、"Configuration > Device Setup > Interfaces"に移動し、Interfaceが有効である事、及び IPアドレスやセキュリティレベルが正しい事を確認した後、ASDMの画面上の"Save"アイコンをクリックし設定を保存

 

Windows-01 仮想マシンから、GigabitEthernet0/0へのPING疎通性、及び Windows-02 仮想マシンへのPING疎通性を確認する

 

8. 参考情報

Cisco Adaptive Security Virtual Appliance (ASAv) Quick Start Guide, 9.3 
http://www.cisco.com/c/en/us/td/docs/security/asa/asa93/asav/quick-start/asav-quick.html

ASAv: スマートライセンス認証とトラブルシューティング
https://supportforums.cisco.com/ja/document/13070711