PDA

View Full Version : Cisco ASA firewall 8.4.2 on GNS3



masterlinh2008
28-02-2012, 12:03 AM
Firewall ASA của Cisco phiên bản 8.4.2 trở lên có hỗ trợ tính năng Identity Firewall đây là tính năng hay mà các dòng next-generation firewalls đặc biệt là hãng Palo Alto đang dẫn đầu về mảng này
Nóng lòng muốn thử xemtính năng này xem thế nào mình lang thang google và tìm được cách giả lập ASA với IOS bản 8.4.2 nên post lên cho mọi người tham khảo
Ai là tín đồ Cisco thì mau mau down về và khám phá nhé :D :

1-Download and Install GNS3:

http://www.gns3.net/download

2- Download IOS ASA 8.4.2:

http://www.mediafire.com/download.php?ssadit26tl3llms

3- Cấu hình GNS3:

Edit -> Preferrences -> QEMU -> ASA

Cài đặt cácthông số như sau :

RAM : 1024 MiB

Number of NICs : 6

Qemu options : -m 1024 -icount auto -hdachs 980,16,32

Initrd : C:\ASA\asa842-initrd.gz (đường dẫn tới file chứa IOS ASA)

Kernel : C:\ASA\asa842-vmlinuz (đường dẫn tới file chứa IOS ASA)

Kernel cmd line : -append ide_generic.probe_mask=0x01 ide_core.chs=0.0:980,16,32 auto nousb console=ttyS0,9600 bigphysarea=65536

4- Activate the licenses cho ASA theo 2 key như bên dưới:

activation-key 0x4a3ec071 0x0d86fbf6 0x7cb1bc48 0x8b48b8b0 0xf317c0b5

activation-key 0xb23bcf4a 0x1c713b4f 0x7d53bcbc 0xc4f8d09c 0x0e24c6b6

Và thành quả cuối cùng là :

ciscoasa# sh ver
ciscoasa# sh version

Cisco Adaptive Security Appliance Software Version 8.4(2)

Compiled on Wed 15-Jun-11 18:17 by builders
System image file is "Unknown, monitor mode tftp booted image"
Config file at boot was "startup-config"

ciscoasa up 7 mins 12 secs

Hardware: ASA 5520, 1024 MB RAM, CPU Pentium II 1000 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash unknown @ 0x0, 0KB


0: Ext: GigabitEthernet0 : address is 0000.abde.f000, irq 0
1: Ext: GigabitEthernet1 : address is 0000.abd8.fc01, irq 0
2: Ext: GigabitEthernet2 : address is 0000.ab62.8402, irq 0
3: Ext: GigabitEthernet3 : address is 0000.ab1f.1503, irq 0
4: Ext: GigabitEthernet4 : address is 0000.ab4a.be04, irq 0
5: Ext: GigabitEthernet5 : address is 0000.abbf.b005, irq 0

Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
Security Contexts : 5 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 25 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 5000 perpetual
Total VPN Peers : 0 perpetual
Shared License : Enabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Enabled perpetual
UC Phone Proxy Sessions : 10 perpetual
Total UC Proxy Sessions : 10 perpetual
Botnet Traffic Filter : Enabled perpetual
Intercompany Media Engine : Enabled perpetual

This platform has an ASA 5520 VPN Plus license.

Chúc mọi người thành công !!!

phamminhtuan
28-02-2012, 01:45 AM
Cám ơn bác Linh nhé

staralone42
28-02-2012, 03:05 PM
Thanks chủ thớt nhiều!

Gunz
28-02-2012, 09:55 PM
@masterlinh2008: Cám ơn bạn đã chia sẻ và hướng dẫn.
Cho mình hỏi chút là mình làm như bạn hướng dẫn rồi nhưng khi console vào asa thì bị bật ra luôn, cũng không thấy có thông báo lỗi gì cả. Mình đang chạy gns3 0.8.2 trên windows 2k8.

binhmuc
05-04-2012, 11:38 PM
bác Gunz cứ làm theo hướng dẫn của link http://www.xerunetworks.com/2012/02/cisco-asa-84-on-gns3/ là ok luôn. Mình đã test thử

dante04
06-04-2012, 10:06 AM
bản này set ram là 512mb cũng chạy ok.. thấp xuống nữa thì báo lỗi... để ram 1024mb tốn bộ nhớ quá

Cafe.xxx
23-04-2012, 11:52 PM
4- Activate the licenses cho ASA theo 2 key như bên dưới:

activation-key 0x4a3ec071 0x0d86fbf6 0x7cb1bc48 0x8b48b8b0 0xf317c0b5

activation-key 0xb23bcf4a 0x1c713b4f 0x7d53bcbc 0xc4f8d09c 0x0e24c6b6
đoạn này mình không hiểu. active thế nào ạ

masterlinh2008
25-04-2012, 12:03 PM
đoạn này mình không hiểu. active thế nào ạ
bạn active sau khi đã khởi động ASA lên copy, paste và reset lại ASA là đc thôi bạn. Chúc bạn thành công

oantuty192
24-05-2012, 07:10 PM
mình đã làm y theo hướng dẫn nhưng vẫn không được. Con ASA Cisco khi mình console thì không chạy tới dấu nhắc được nên không thể cấu hình được. Mình đã thử rất nhiều lần rồi. Mong các Pro chỉ giúp. Yahoo của mình là : lucky_19289, bạn nào biết thì vào chỉ mình với, càng sớm càng tốt nha. Mình xin cảm ơn trước.

thanhnam0707
25-05-2012, 10:09 AM
bạn thử làm trên 1 máy tính khác xem, chứ hướng dẩn này chuẩn rồi.

oantuty192
25-05-2012, 10:52 AM
Mình cũng đã thử làm trên một máy tính khác rồi nhưng không được. Bạn cho mình hỏi muốn con ASA làm việc thì ngoài việc add mấy file initrd.gz và vmlinuz còn có thủ thuật nào nữa không??? Nó có cần IOS image ko giống như khi add con router 2691 á? Nếu có bạn cho mình xin với nha.

oantuty192
25-05-2012, 10:54 AM
mình xin nói thêm là khi mình console con ASA thì nó chạy vô PUTTY rùi hiện nguyên bảng đen thui không có dòng chữ nào hết. Mình cũng đã cài đi cài lại mấy lần rùi nhưng không được. Ai gặp lỗi như vậy rùi thì chỉ mình sửa với

thanhnam0707
25-05-2012, 02:38 PM
Initrd : C:\ASA\asa842-initrd.gz (đường dẫn tới file chứa IOS ASA) nên ko cần add IOS như router.

Kernel : C:\ASA\asa842-vmlinuz (đường dẫn tới file chứa IOS ASA) nên ko cần add IOS như router.

Bạn làm đúng các step trên là chạy được.

oantuty192
31-05-2012, 12:15 PM
mình đã làm theo đúng các bước vậy rùi nhưng nó vẫn báo lỗi thế này nè.4478 . Các bạn ai đã gặp qua trường hợp này chưa chỉ mình cách sửa lỗi với. Thanks

hell13
31-05-2012, 10:13 PM
Các bạn đừng bung nén file iso. Tui cũng bị tương tự, nhưng sau khi để file ko bung nén thì work. Try it now xem có khắc phục được hông nhe.

Xem thêm bên này: http://vnpro.org/forum/showthread.php/69837-ASA-trong-GNS3-kh%C3%B4ng-console-Putty-%C4%91%C6%B0%E1%BB%A3c-%28help%29

oantuty192
06-06-2012, 10:05 AM
Mình không bung nén nhưng nó vẫn không được.mình vô console thì lúc thì nó hiện như trên, lúc nó hiện lên rùi biến mất. Bạn nào biết sửa lỗi thì cho mình yahoo để mình hỏi cho rõ với.Mình cần gấp lắm rùi. Cảm ơn nhiều.

networkingkool
07-06-2012, 10:02 AM
Mình cũng cấu hình chạy Ok rồi, sau một thời gian sử dụng mình có 1 vài ý kiến như sau:
- Activate key chỉ dùng được cho 1 lần bài lab, sau khi tắt GNS3 đi bật lại là phải activate lại mất hơn 10p. Giải pháp là làm 1 bài lab chuẩn chỉ cần có ASA thôi, Save project (check vào Save NVram... vs Save Startup Config). Sau này làm lab có ASA thì mở cái project này lên rồi thêm bớt các thiết bị khác, sau đó Save as lại là xong
- Ram để 1GB mặc định theo hướng dẫn là hơi cao so vs nhiều máy tính. Mình thấy để 512 cũng đc rồi. Bạn nào muốn sửa 512 thì sửa lệnh ntn "-m 512 -icount auto -hdachs 980,16,32"
- CPU chạy cũng khiếp nữa mà lại ko có chế độ Idle PC như Dynamip. Cái này mình chưa có giải pháp, bàn nào có cách nào giúp đỡ ngốn CPU thì đóng góp nha.

hell13
07-06-2012, 10:55 AM
Bạn chịu khó làm theo các bước thật chính xać như trong bài này: http://forum.gns3.net/topic2405.html

Chú ý kỹ các bước từ 1 - 6.

Các bước tiếp theo thì họ có nói kỹ cách save config file để lần sau mở lại ko mất thời gian.....

hell13
07-06-2012, 11:07 AM
Tui mới mở lại nó, phải đánh activate code lại # /mnt/disk0/lina -m

4493

lenguyen1988
17-06-2012, 12:37 AM
ASA trong GNS3 làm mọi người trí quá ta.

nbhduoc
15-08-2012, 10:29 PM
Up cho ai có nhu cầu
Và link down ASDM 6.4(9) http://www.4shared.com/rar/UH9wVned/asdm-649.html?cau2=0759nousr

phongb2b
16-08-2012, 06:11 PM
Thank pro!:54:

anhtuan206
16-08-2012, 09:04 PM
thanks thớt nhiều

manhcuong.green
20-09-2012, 10:05 AM
các pro cho em hỏi làm sao để active cho asa, em vừa mới start con asa lên nó hiện lên cái hình này rồi chả làm ăn gì được

http://i1141.photobucket.com/albums/n589/manhcuongh3t/1_zps08a52d6d.png

sau đó cái cửa sổ Quemu giật đùng đùng, chả hiểu sao nữa. em cũng chả biết nhập key vào chỗ nào nữa.

lamvantu
20-09-2012, 11:20 AM
các pro cho em hỏi làm sao để active cho asa, em vừa mới start con asa lên nó hiện lên cái hình này rồi chả làm ăn gì được

http://i1141.photobucket.com/albums/n589/manhcuongh3t/1_zps08a52d6d.png

sau đó cái cửa sổ Quemu giật đùng đùng, chả hiểu sao nữa. em cũng chả biết nhập key vào chỗ nào nữa.

Tải tài liệu sau về xem cấu hình lại thử bạn:

http://www.mediafire.com/view/?hhayqtyf73j3rc5
http://www.mediafire.com/?b26v89338ntvbtw

manhcuong.green
20-09-2012, 02:05 PM
cám ơn thầy rất nhiều, em làm được rồi. mà thầy cho em hỏi luân là có cần active bằng key ở trang đầu nữa không?

lamvantu
20-09-2012, 06:31 PM
cám ơn thầy rất nhiều, em làm được rồi. mà thầy cho em hỏi luân là có cần active bằng key ở trang đầu nữa không?
Hi bạn, trong bộ mình gửi có cả key trong đó. Bạn active cái key thứ 2 từ trên xuống nhé. Active key thì mình nghĩ nếu lab bình thường thi không cần, sau này làm failover thì cần active để chạy Active/Active.
Bạn nên lưu 1 topo lại sau cứ làm là chạy file .net thôi, vì active key bị lỗi là active xong, mở lên con mới là active lại. :D:D.

Chúc bạn vui.

duonglt201
03-10-2012, 04:30 PM
Chào các bạn,
Mình gặp vấn đề sau khi đã giả lập ASA thành công như hướng dẫn. Mình tạo một mô hình đơn giản gồm 2 zone là inside và outside. Mỗi zone mình cho ASA kết nối trực tiếp với Router giả lập luôn. Các router có thể ping trực tiếp Interface của Asa, nhưng không thể đứng từ Router trong inside ping interface asa và Router ở zone outside. Mặc dù route đã cấu hình đầy đủ. Mong các bạn hỗ trợ.

duonglt201
03-10-2012, 04:49 PM
Mình đã giải quyết được vấn đề. Phải cho một ACL permit từ outside vào inside. Cứ nghĩ ASA cũng có cơ chế Stateful Inspection như các firewall khác. Thanks.

hoangviet217
20-10-2012, 02:34 PM
sao mình làm mà nó hoz được nhỉ vài lỗi network là sao nhỉ

thaidv07.0302
26-10-2012, 09:05 AM
em bị như vậy là sao. ai giải quyết giùm đi
http://i1173.photobucket.com/albums/r585/thaidv070302/loi/Untitled.png

lamvantu
26-10-2012, 05:03 PM
em bị như vậy là sao. ai giải quyết giùm đi
http://i1173.photobucket.com/albums/r585/thaidv070302/loi/Untitled.png

Chào bạn,

Tải tài liệu sau về xem cấu hình lại thử bạn:

http://www.mediafire.com/view/?hhayqtyf73j3rc5
http://www.mediafire.com/?b26v89338ntvbtw

anhcoatm
09-12-2012, 05:50 PM
Các anh cho em hỏi chút. em giả lập được ASA rùi nhưng sao không có lệnh global và static vậy?

Gunz
09-12-2012, 10:28 PM
@lamvantu: Bạn xem giúp lại link, không download được.

masterlinh2008
02-01-2013, 01:50 PM
Các anh cho em hỏi chút. em giả lập được ASA rùi nhưng sao không có lệnh global và static vậy?

Hi bạn anhcoatm (http://vnpro.org/forum/member.php/95889-anhcoatm) !

Có phải bạn đang thắc mắc các câu lệnh liên quan tới vấn đề NAT ?
Cisco ASA ios 8.3 trở về sau có cách NAT hơi khác với các ios 8.2 trở về trước . Bạn tham khảo thêm theo links bên dưới bạn nhé

http://www.brainbump.net/Understanding-CiscoASA-Post-8.3-NAT-Configuration
http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/nat_overview.html

Regards,

masterlinh2008
02-01-2013, 02:02 PM
các pro cho em hỏi làm sao để active cho asa, em vừa mới start con asa lên nó hiện lên cái hình này rồi chả làm ăn gì được

http://i1141.photobucket.com/albums/n589/manhcuongh3t/1_zps08a52d6d.png

sau đó cái cửa sổ Quemu giật đùng đùng, chả hiểu sao nữa. em cũng chả biết nhập key vào chỗ nào nữa.

Hi manhcuong.green (http://vnpro.org/forum/member.php/81109-manhcuong-green) !

Bạn làm chính xác rồi. bây giờ bạn dùng phần mềm SecureCRT login vào ASA đợi nó khởi động xong bạn vào mode config và active key lên nhé cụ thể
ASA# conf t
ASA(config)# activation-key 0x4a3ec071 0x0d86fbf6 0x7cb1bc48 0x8b48b8b0 0xf317c0b5
sau đó nhấn Enter confirm, sau đó đánh lệnh write lại
với key thứ 2 tương tự nhưng bạn cần chờ khoảng vài phút sau đó bạn cũng write lại và khởi động lại ASA bạn sẽ có kết quả nhưng sau
ASA(config)# sh version
Cisco Adaptive Security Appliance Software Version 8.4(2)
Device Manager Version 7.1(1)52

Compiled on Wed 15-Jun-11 18:17 by builders
System image file is "Unknown, monitor mode tftp booted image"
Config file at boot was "startup-config"

ASA up 2 hours 56 mins

Hardware: ASA 5520, 1024 MB RAM, CPU Pentium II 1000 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash unknown @ 0x0, 0KB


0: Ext: GigabitEthernet0 : address is 00ab.cd92.5200, irq 0
1: Ext: GigabitEthernet1 : address is 00ab.cd92.5201, irq 0
2: Ext: GigabitEthernet2 : address is 0000.ab44.bd02, irq 0
3: Ext: GigabitEthernet3 : address is 0000.ab6d.9203, irq 0
4: Ext: GigabitEthernet4 : address is 0000.ab78.4004, irq 0
5: Ext: GigabitEthernet5 : address is 0000.abb7.b505, irq 0

Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 5000 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 5000 perpetual
Total VPN Peers : 0 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual

This platform has an ASA 5520 VPN Plus license.

Serial Number: 123456789AB
Running Permanent Activation Key: 0x4a3ec071 0x0d86fbf6 0x7cb1bc48 0x8b48b8b0 0xf317c0b5
Configuration register is 0x0
Configuration last modified by linh at 06:31:07.439 UTC Wed Jan 2 2013

phongtieutu
29-03-2013, 11:19 AM
Mình cũng không vào conole ASA được, không biết bị sao luôn #-o

lamvantu
30-03-2013, 12:52 AM
Bạn thử giả lập ASA theo link sau thử:



http://www.mediafire.com/?3qysm9vv03jw8u6

nguyentruonggiang
08-01-2014, 03:00 PM
Tài liệu hướng dẫn full
Link: http://www.mediafire.com/download/h9p0bqw6nvc8e95/ASA842.rar

nguyentruonggiang
08-01-2014, 05:44 PM
Tài liệu hướng dẫn full

Link: https://www.mediafire.com/download/h9p0bqw6nvc8e95/ASA842.rar