在我以前的文章中,工作站/ ESXi中的Cisco ASAv 9.4.1和ASDM 7.4.1(1)”,我测试了同时导入OVA和VMDK文件 进入Workstation和ESXi,但两种方法均失败。可以从Internet找到并下载这些文件,仅用于测试目的。我相信这些都是不错的文件,有人已经对其进行了测试。我失败的唯一原因是因为我没有使用正确的方法来做到这一点。在以前的测试帖子中,我已经测试了其他版本,例如9.2.1、8.42和8.02。所有文件均已成功加载到Vmware Workstation或ESXi中。

这是此博客中的所有相关文章:

为了找出这次失败的原因,我再次在网上搜索。我的搜索基于来自ESXi的错误消息:

OVF软件包需要对OVF属性的支持第264行:不支持的元素“属性”。

以下两个链接解释了为什么,并且两个都提供了一个解决方案,即Vmware vCenter将能够帮助将ASAv 9.4.1加载到ESXi或ESX中。实际上,Vmeare vSphere Client必须先连接到vCenter,然后再部署它 将asav941.ova插入ESX / ESXi主机。

以下是我使用vCenter帮助将ASAv 9.4.1加载到ESXi中时的过程。 (我将在另一篇文章中介绍如何将vCenter安装到ESXi。我确实遇到了很多挑战,并且花了整整一整天的时间来弄清楚它们。有些棘手。)

1.连接到vCenter5.5的ESXi vSphere Client。 

我假设您已经像以前那样安装了vCenter。如果没有,您可以等待我的下一篇文章向您展示如何做。我设法将vCenter Appliance安装到ESXi服务器中。

2.档案->Delply OVF模板…

首先,如果您的环境中有vCenter,则所有过程都与部署其他虚拟机相同。 

3.选择下载的asav941.ova文件作为模板。

弹出许可协议窗口时,请接受然后单击下一步。

4.选择虚拟机名称

5. NIC配置。 

默认情况下,有10个NIC,并且它们都在同一虚拟网络中。就我而言,它会自动设置为连接到VM ​​DMZ网络。

6.其他一些参数。

您可以自定义一些或将其保留为默认值。对于这些设置,我没有说太多区别。

7.查看所有配置

8. 3-5分钟的导入过程因您的连接速度而异后,您应该在ESXi中获得一个新的VM。 

然后,您可以打开虚拟机电源并从控制台获取启动窗口。

9. VM会自行重启一次,然后您会收到可爱的ciscoasa提示

在我完整的重新引导过程中,由于某些信息不一致,它将自行重新引导一次。下次我会尝试记录下来。

10. SSH的基本配置

接口管理0/0是网络适配器1。我将其更改为VM Internet网络,以使管理接口连接到我的客户端pc网络。

有一些基本配置可让您在ASAv上启用SSH会话。

接口管理0/0
 IP地址192.168.2.12 255.255.255.0
 nameif management
!
ssh 192.168.2.0 255.255.255.0管理
ssh版本2

用户名admin密码cisco
aaa身份验证ssh控制台本地
ciscoasa# sh ver
思科自适应安全设备软件版本9.4(1)
设备管理器版本7.4(1)

建筑商于2015年3月21日星期六11:43编译
系统映像文件是“ boot:/asa941-smp-k8.bin”
启动时的配置文件为“ startup-config”

ciscoasa最多7小时11分钟

硬件: ASAv,2048 MB RAM,CPU Xeon 5500系列2294 MHz,
内部ATA Compact Flash,256MB
插槽1:ATA Compact Flash,8192MB
BIOS闪存固件中心@ 0x0,0KB


 0:分机:管理0/0     :地址是0050.5682.88e4,irq 10
 1:分机:GigabitEthernet0 / 0 :地址是0050.5682.6bf2,irq 5
 2:分机:GigabitEthernet0 / 1 :地址是0050.5682.7af1,irq 9
 3:分机:GigabitEthernet0 / 2 :地址是0050.5682.6bce,irq 11
 4:分机:GigabitEthernet0 / 3 :地址是0050.5682.55a3,irq 10
 5:分机:GigabitEthernet0 / 4 :地址是0050.5682.837f,irq 5
 6:分机:GigabitEthernet0 / 5  :地址是0050.5682.969e,irq 9
 7:分机:GigabitEthernet0 / 6 :地址是0050.5682.d2a0,irq 11
 8:分机:GigabitEthernet0 / 7 :地址是0050.5682.435c,irq 10
 9:分机:GigabitEthernet0 / 8 :地址是0050.5682.3b99,irq 5

许可模式:智能许可
ASAv平台许可状态:未许可
有效权利:ASAv-STD-100M,强制模式:评估期

该平台的许可功能:
最大物理接口      : 10             永动的
最大VLAN                    : 50             永动的
内部主机                     : Unlimited      perpetual
故障转移                         : Active/Standby 永动的
加密DES                   : Enabled        perpetual
加密3DES-AES              :已启用       perpetual
安全上下文                : 0              perpetual
GTP / GPRS                         : Disabled       永动的
AnyConnect高级对等         : 2              perpetual
AnyConnect基础            :禁用      永动的
其他VPN对等                  : 250            perpetual
虚拟专用网 对等总数                  : 250            perpetual
共享许可                   : Disabled       永动的
移动版AnyConnect            :禁用      永动的
适用于Cisco 虚拟专用网 电话的AnyConnect   : Disabled       永动的
先进的端点评估     : Disabled       永动的
UC代理会话总数          :2             perpetual
僵尸网络流量过滤器            :已启用       perpetual
簇                          :禁用      永动的

许可模式为智能许可

序列号:9ACPEXD4VEW

图像类型         : Release
关键版本        : A

配置最后由enable_15在02:21:28.579 UTC于2015年6月1日星期一修改

11. ASAv准则

上下文模式准则
仅在单上下文模式下受支持。不支持多上下文模式。
故障转移Guidelines
对于故障转移部署,请确保备用单元具有相同的型号许可证;例如,两个单元都应为ASAv30。
不支持的ASA功能
ASAv不支持以下ASA功能:
  • 聚类
  • 多上下文模式
  • 主动/主动故障转移
  • 以太网通道
  • 共享的AnyConnect高级许可

12.智能软件许可的默认设置

由于ASAv仅支持智能软件许可,因此旧方法 在以前的帖子中 使用Cisco ASA 5540 v8.2(1)Keymaker v1.0生成许可证激活密钥不再起作用。没有激活密钥命令。 默认情况下,ID证书每6个月自动更新一次,许可证权利每30天更新一次。命令“许可证智能注册idtoken” 将是用于注册您的ASAv的新命令。
  • ASAv的默认配置包括一个名为“许可证”的智能回拨配置文件,该配置文件指定了授权机构的URL。
回电
个人资料许可证
destination address http //tools.cisco.com/its/service/oddce/services/DDCEService
  • 部署ASAv时,请设置功能层和吞吐量级别。目前只有标准级别可用。
许可智能
功能层标准
吞吐水平{100M | 1G | 2G}
  • 另外,在部署期间,您可以选择配置HTTP代理。
回电
http代理 IP地址  港口   港口

13. ASDM 7.4(1)

输入以下两个命令以启用ASDM http访问:
HTTP服务器启用
http 192.168.2.0 255.255.255.0管理
Open your browser and type url //192.168.2.12/admin
单击安装ASDM Launcher按钮,键入用户名admin和密码cisco以在本地计算机上下载ASDM软件。可能会要求您安装Java。

参考:

通过 约翰

关于“工作站/ ESXi(2)中的Cisco ASAv 9.4.1和ASDM 7.4.1的10条思考
  1. 嗨,我最近读了您的博客,我对Cisco ASA有疑问。我们有一个带有安全许可证的Cisco 2911路由器。两个端口连接到双ISP,一个用于Intranet。在路由器上配置了PBR和IP SLA。我们想将FTP服务器发布到Internet,以便我们的客户端可以通过这两个ISP访问我们的服务器。但是失败了。因此,我想使用Cisco ASA进行测试,我的问题是:我可以使用台式机模拟ASA 9.4.1来代替Cisco 2911吗?

  2. 非常感谢,我在vCenter中成功安装了ASAv 9.4.1,在ASA上配置PBR时遇到问题,当我创建ACL时,我希望主机通过另一个ISP进入Internet。但是在配置策略路由时会显示警告消息,这是我的配置:
    ASA941(配置)#访问列表TW第1行扩展许可ip主机192.168.66.5任意
    ASA941(配置)#路由图TW许可10
    ASA941(配置路由图)#垫
    网上广告
    ch ip地址TW
    警告:如果将具有目标“ anyany4any6”的访问列表TW用作路由映射的匹配条件,并且将其应用于任何路由协议,将不会产生任何影响。而是使用标准ACL或扩展ACL,且目的地中没有anyany4any6。
    ASA941(配置路由图)#

    有什么建议吗?我不确定这是否是一个错误,如果我想让这台计算机通过外部端口到达任何地方,那么我需要将ANY配置为目标地址。

  3. 这不是错误。它是为路线图功能设计的。
    ACL有两种类型:标准ACL和扩展ACL。它们是适用于跨接口传输的流量的条件列表。接受和拒绝可以基于特定条件。
    1.标准ACL
    –检查源地址
    –允许或拒绝整个协议套件
    2.扩展ACL
    –检查源和目标地址
    –通常允许或拒绝特定协议

    您应该能够使用以下标准ACL来满足您的需求:

    访问列表TW标准许可主机192.168.66.5

  4. 这取决于之前是否有人在ASA 8.6上工作。您将无法直接在Vmware或其他虚拟系统中运行原始ASA 8.6文件。到目前为止,我还没有看到有人尝试进行此工作。我确实看到很多人在vm中使用asa8.4.2。

发表评论