[Cisco ASAv] 思科自适应安全虚拟设备 (ASAv)部署与初始化配置(含ASDM)

Cisco ASAv 是什么设备？

Cisco ASAv（Adaptive Security Virtual Appliance）是思科公司提供的一种虚拟化网络安全解决方案。它是基于Cisco ASA（Adaptive Security Appliance）硬件防火墙的软件实现，旨在提供类似于物理ASA设备的网络安全功能。

ASAv以虚拟机（VM）的形式部署在虚拟化平台上，如VMware ESXi、KVM、Hyper-V等。它提供了一系列的网络安全功能，包括防火墙、虚拟专用网络（VPN）、入侵防御系统（IDS）、入侵防御系统（IPS）、负载均衡等。ASAv可以在虚拟化环境中提供网络安全保护，帮助组织保护其虚拟化基础设施和应用程序免受网络威胁。

通过使用ASAv，组织可以灵活地部署和扩展网络安全功能，而无需依赖物理硬件设备。它还可以与其他Cisco网络设备和解决方案集成，提供全面的网络安全保护和管理。

ASAv提供了与物理ASA设备相似的配置和管理界面，使已经熟悉ASA设备的网络管理员能够轻松迁移到虚拟化环境中。它还支持与Cisco Security Manager等网络管理工具集成，提供集中化的安全策略管理和监控。

总而言之，Cisco ASAv是思科提供的一种虚拟化网络安全解决方案，以软件形式实现了Cisco ASA硬件防火墙的功能，可以在虚拟化环境中提供网络安全保护和管理。

Cisco ASAv 与物理ASA的区别是什么？

概括来讲两者之间存在以下几个区别：

1. 形式：物理ASA是一种硬件设备，而ASAv是一种虚拟机（VM），以软件形式在虚拟化平台上运行。
2. 部署方式：物理ASA通过将硬件设备直接连接到网络中进行部署，而ASAv通过在虚拟化平台上创建和配置虚拟机进行部署。
3. 灵活性和可扩展性：ASAv相对于物理ASA更具灵活性和可扩展性。ASAv可以根据需要在虚拟化环境中快速创建、复制和部署，而物理ASA则需要更多的时间和资源进行部署和扩展。
4. 硬件资源：物理ASA依赖于硬件资源，如处理器、内存和存储空间，其性能和容量受到硬件限制。ASAv则可以根据所分配的虚拟化平台资源进行扩展，并且可以根据需要调整资源分配。
5. 管理和配置：物理ASA和ASAv具有类似的配置和管理界面，但在ASAv上进行配置和管理更加灵活和便捷。ASAv可以与虚拟化管理工具集成，提供集中化的管理和监控功能。
6. 成本：ASAv相对于物理ASA在成本上可能更具竞争力。虚拟化环境可以提供更高的资源利用率，减少硬件成本，并且可以根据需要灵活地调整资源分配。

尽管存在这些区别，物理ASA和ASAv在功能和特性上是相似的。它们都提供了类似的网络安全功能，如防火墙、VPN、IDS、IPS等。选择使用物理ASA还是ASAv取决于特定的需求、环境和预算考虑。

ASAv部署步骤

1.获取虚拟机文件

从 Cisco.com 下载压缩文件，并将其保存到本地磁盘：

http://www.cisco.com/go/asa-software

注意： 需要 Cisco.com 登录信息和思科服务合同。

2.解压文件

将该文件解压缩到工作目录。请勿删除该目录中的任何文件。其中包括以下文件：

asav-vi.ovf - 适用于 vCenter 部署。

asav-esxi.ovf - 适用于非 vCenter 部署。

boot.vmdk - 启动磁盘映像。

disk0.vmdk - ASAv 磁盘映像。

day0.iso - 包含 day0-config 文件和 idtoken 文件（可选）的 ISO。

asav-vi.mf - 适用于 vCenter 部署的清单文件。

asav-esxi.mf - 适用于非 vCenter 部署的清单文件。

3.部署ESXI模板文件

4.设置网卡参数

绑定所需的网卡，至少绑定2-3块虚拟网卡

可以作为inside，outside，management

5.启动ASAv

进行初始化操作，可以按以往规则，配置use_ttyS0，或者直接配置SSH

初次登录控制台，强制设置enable password，输入两遍

enable
configure terminal
cd coredumpinfo
copy coredump.cfg disk0:/use_ttyS0

wr

reload

6.配置接口

接口对应表

配置安全级别，不配置，接口无法通信，ping不通

int g0/1
ip address 192.168.224.10 255.255.255.0
no shutdown
nameif inside
security-level 100
exit

int g0/2
ip address 172.16.0.10 255.255.254.0
no shutdown
nameif outside
security-level 0
exit

7.配置SSH

username username password passwords # 用户名不能包含关键词 密码必须符合复杂规则至少8位，包含大小写数字符号
aaa authencation ssh console LOCAL #配置AAA认证

crypto key generate rsa modul 2048 #RSA密钥证书size：2048,3072,4096
ssh 192.168.224.0 255.255.255.0 inside #permit

8.连接SSH

SSH怎样连接不说了，略

首次登录SSH，再次强制更新密码，LOL surprise

show version

9.ASDM连接

配置参数，否则无法访问，严格管控通信流程

http server enable
http 0.0.0.0 0.0.0.0 inside
http ::/0 inside

route inside 0.0.0.0 0.0.0.0 192.168.224.1 1

10. ASDM异常解决

“此应用无法在您的 PC 上运行”

当安装 ASDM 启动程序时，Windows 10 可能会将 ASDM 快捷方式目标替换为 Windows 脚本主机路径，这会导致此错误。要修复快捷方式目标，请执行以下操作：

依次选择启动 (Start ) > 思科 ASDM-IDM 启动程序 (Cisco ASDM-IDM Launcher)，然后右键点击思科 ASDM-IDM 启动程序 (Cisco ASDM-IDM Launcher) 应用。

选择更多 > 打开文件位置。

Windows 将打开带有快捷方式图标的目录。

右键点击快捷方式图标，然后选择属性 (Properties)。

将目标更改为：

C:\Windows\System32\wscript.exe invisible.vbs run.bat #将invisible.vbs run.bat复制到system32也可以


点击确定 (OK)。

“Unable to launch Device Manager xx.xx.xx.x”

检测http
检查AAA
检查RSA
检查JAVA #不同的ASDM匹配不同的JAVA JDK VERSION eg：ASDM 7.19(1) requires Oracle Java version 8u261 or later

授权说明

• 部署后无法更改 ASAv 实例的资源配置（内存、CPU、磁盘空间）。如果出于任何原因需要增加资源配置，例如将许可的授权从 ASAv30/2Gbps 更改为 ASAv50/10Gbps，则需要使用必要的资源创建新实例
• ASAv 的最低内存要求为 2GB。如果当前 ASAv 的内存少于 2GB，将无法在不增加 ASAv VM 内存的情况下，从早期版本升级到 9.13(1) 或更高版本。也可以使用最新版本重新部署新的 ASAv VM。
• 部署具有超过 1 个 vCPU 的 ASAv 时，ASAv 的最低内存要求是 4GB。
• 在安装许可证之前，吞吐量限制为 100 kbps，可以执行初步连接测试。需要安装智能许可证才能正常运行。