Главная » Блоги Экспертов И ИТ-Компаний » Виртуальный межсетевой экран Cisco ASAv: возможности, развертывание и настройка

Виртуальный межсетевой экран Cisco ASAv: возможности, развертывание и настройка

Виртуальный межсетевой экран Cisco ASAv: возможности, развертывание и настройкаНи для кого не секрет, что для построения собственной вычислительной инфраструктуры ранее приходилось прибегать к использованию специализированного оборудования, предназначенного для самых разных целей, и тратить лишнюю копейку либо на его приобретение, либо на аренду. И это только начало эпопеи, ведь дальше вся ответственность управления инфраструктурой ложилась на плечи самой компании.

С появлением технологий виртуализации и растущими требованиями к производительности, доступности и надежности вычислительных систем бизнес все чаще и чаще стал делать выбор в пользу облачных решений и виртуальных площадок надежных IaaS-провайдеров. И это вполне объяснимо: у многих организаций повышаются требования, большинство из них хотят видеть гибкие решения, развернутые максимально быстро, и не иметь при этом никаких проблем по части управления инфраструктурой.

Такой подход на сегодняшний день не является чем-то новым, наоборот, становится все более и более привычной тактикой эффективного управления предприятием/инфраструктурой.

Перераспределение и перенос большинства рабочих нагрузок с физических площадок на виртуальные в том числе обуславливает необходимость проработки вопросов реализации безопасности. Безопасность — как с физической точки зрения, так и с точки зрения виртуальной — должна быть всегда на высоте. Безусловно, на рынке ИТ существует немало решений, призванных обеспечивать и гарантировать высокий уровень защиты виртуальных сред.

Остановимся более подробно на относительно недавно анонсированном виртуальном межсетевом экране Cisco ASAv, который пришел на смену облачному фаерволу Cisco ASA 1000v. Компания Cisco на своем официальном сайте сообщает о прекращении продажи и поддержки Cisco ASA 1000v, представив в замену флагманское средство защиты облачных, виртуальных инфраструктур в лице продукта Cisco ASAv.

Вообще стоит отметить, что за последние годы Cisco усилила активность в сегменте виртуализации, дополнив линейку аппаратных решений виртуализированными продуктами. Появление Cisco ASAv — очередное подтверждение этому.

Cisco ASAv (The Cisco Adaptive Security Virtual Appliance), как было озвучено ранее, представляет собой виртуальный межсетевой экран. Ориентирован на работу в виртуальном окружении и обладает основными функциональными возможностями «железной» Cisco ASA, за исключением многоконтекстового режима и кластеризации.

Обзор Cisco ASAv

Cisco ASAv обеспечивает функциональность межсетевого экрана, выполняя защиту данных в дата-центрах и облачных окружениях. Cisco ASAv представляет собой виртуальную машину, которая может быть запущена на различных гипервизорах, включая VMware ESXi, взаимодействуя с виртуальными «свичами» для обработки трафика. Виртуальный брандмауэр может работать с различными виртуальными коммутаторами, включая Cisco Nexus 1000v, VMware dvSwitch и vSwitch. Cisco ASAv поддерживает реализацию Site-to-Site VPN, VPN удаленного доступа, а также организацию бесклиентного удаленного доступа VPN, как и на физических устройствах Cisco ASA.

Архитектура Cisco ASAvРисунок 1. Архитектура Cisco ASAv

Cisco ASAv использует лицензирование Cisco Smart Licensing, что в значительной степени упрощает развертывание, управление и отслеживание виртуальных экземпляров Cisco ASAv, используемых на стороне заказчиков.

Ключевые особенности и преимущества Cisco ASAv

 

  • Единый междоменный уровень безопасности

Cisco ASAv обеспечивает единый уровень безопасности между физическими и виртуальными площадками с возможностью использования нескольких гипервизоров. В контексте построения ИТ-инфраструктуры клиенты зачастую используют гибридную модель, когда часть приложений заточена под физическую инфраструктуру компании, а другая — под виртуальную площадку с несколькими гипервизорами. Cisco ASAv использует консолидированные опции развертывания, при которых единая политика безопасности может применяться как для физических, так и для виртуальных устройств.

  • Простота управления

Cisco ASAv использует программный интерфейс передачи репрезентативного состояния (Representational State Transfer, REST API) на основе обычного HTTP-интерфейса, который дает возможность управлять самим устройством, а также изменять политики безопасности и мониторить статусы состояний.

  • Легкость развертывания

Cisco ASAv с заданной конфигурацией может быть развернута за очень короткий промежуток времени.

Cisco ASAv представляет семейство продуктов, доступных в следующих моделях:

Семейство продуктов Cisco ASAvРисунок 2. Семейство продуктов Cisco ASAv

Спецификация Cisco ASAv

  Cisco ASAv5 Cisco ASAv10 Cisco ASAv30
Пропускная способность с контролем состояния соединений (Maximum) 100 Мбит/с 1 Гбит/с 2 Гбит/с
Пропускная способность с контролем состояния соединений (Multiprotocol) 50 Мбит/с 500 Мбит/с 1 Гбит/с
Пропускная способность с VPN (3DES/AES) 30 Мбит/с 125 Мбит/с 300 Мбит/с
Количество подключений в секунду 8 000 20 000 60 000
Количество одновременных сеансов 50 000 100 000 500 000
Количество виртуальных локальных сетей (VLAN) 25 50 200
Количество пользовательских сеансов VPN между узлами сети и с клиентом IPsec 50 250 750
Количество пользовательских сеансов VPN AnyConnect или доступа без клиентской программы 50 250 750
Количество пользователей системы защиты облаков от интернет-угроз Cisco Cloud Web Security 250 1 000 5 000
Поддержка высокой доступности Active/standby Active/standby Active/standby
Поддержка гипервизоров VMware ESX/ESXi 5.X, KVM 1.0 VMware ESX/ESXi 5.X, KVM 1.0 VMware ESX/ESXi 5.X, KVM 1.0
Количество vCPU 1 1 4
Память 2 Гб 2 Гб 8 Гб
HDD 8 Гб 8 Гб 16 Гб

 

 

Функциональность VMware, поддерживаемая в ASAv

Функциональность Описание Поддержка (Да/Нет)
Холодное клонирование Виртуальные машины выключаются в ходе клонирования Да
DRS Используется для динамического планирования ресурсов и распределенного управления мощностями Да
Hot add Виртуальные машины остаются запущенными в ходе добавления дополнительных ресурсов Да
Hot clone (горячее клонирование) В процессе клонирования виртуальные машины остаются запущенными Нет
Hot removal (горячее удаление) В процессе удаления ресурсов виртуальные машины остаются запущенными Да
Снимки Виртуальные машины приостанавливаются на несколько секунд Да
Приостановка и возобновление Виртуальные машины приостанавливаются, а затем возобновляют свою работу Да
vCloud Director Позволяет автоматическое развертывание виртуальных машин Нет
Миграция виртуальных машин Виртуальные машины выключаются в процессе миграции Да
vMotion Используется «живая» миграция виртуальных машин Да
VMware FT (технология непрерывной доступности) Используется для высокой доступности виртуальных машин Нет
VMware HA Минимизирует потери от сбоев физического оборудования и перезапускает виртуальные машины на другом хосте в кластере в случае сбоя Да
VMware vSphere Standalone Windows Client Используется для развертывания виртуальных машин Да
VMware vSphere Web Client Используется для развертывания виртуальных машин Да

 

 

Развертывание ASAv с помощью веб-клиента VMware vSphere

Если вы решили развернуть ASAv на удаленной площадке IaaS-провайдера либо на любой другой виртуализированной площадке, во избежание неожиданных и нерабочих моментов сразу стоит обратить внимание на дополнительные требования и ограничения:

  • Развертывание ASAv из файла ova не поддерживает локализацию. Необходимо убедиться, что VMware vCenter и LDAP сервера в вашем окружении используют режим совместимости ASCII.
  • До установки ASAv и использования консоли виртуальных машин необходимо задать предопределенную раскладку клавиатуры (United States English).

Для установки ASAv можно воспользоваться веб-клиентом VMware vSphere. Для этого необходимо выполнить подключение с помощью предопределенной ссылки в формате https://vCenter_Server:port/vsphere-client. По умолчанию используется порт 9443, но в зависимости от специфики настройки значение может отличаться.

  • При первоначальном обращении к веб-клиенту VMware vSphere необходимо выполнить установку плагина (Client Integration Plug-in), который доступен для скачивания непосредственно из окна аутентификации.
  • После успешной установки следует переподключиться к веб-клиенту VMware vSphere и выполнить вход, введя логин и пароль.
  • Перед началом установки Cisco ASAv необходимо скачать ASAv OVA файл с сайта http://cisco.com/go/asa-software, а также убедиться в наличии как минимум одного сконфигурированного сетевого интерфейса vSphere.
  • В окне навигации веб-клиента VMware vSphere необходимо переключиться в панель vCenter и перейти в Hosts and Clusters. Кликая по дата-центру, кластеру или хосту, в зависимости от того, куда вы решили установить Cisco ASAv, выбрать опцию развертывания шаблона OVF (Deploy OVF Template).
Развертывание OVF шаблона ASAvРисунок 3. Развертывание OVF шаблона ASAv
  • В окне мастера развертывания шаблона OVF в секции Source необходимо выбрать установочный OVA файл Cisco ASAv. Обратите внимание, что в окне обзора деталей (Review Details) выводится информация о пакете ASAv.
Обзор деталей установки ASAvРисунок 4. Обзор деталей установки ASAv
  • Приняв лицензионное соглашение на странице Accept EULA, переходим к определению имени экземпляра Cisco ASAv и местоположения файлов виртуальной машины.
  • В коне выбора конфигурации (Select configuration) нужно использовать следующие значения:
    • Для Standalone-конфигурации выбрать 1 (или 2, 3, 4) vCPU Standalone.
    • Для Failover-конфигурации выбрать 1 (или 2, 3, 4) vCPU HA Primary.
  • В окне выбора хранилища (Select Storage) определить формат виртуального диска, для экономии места полезным будет выбор опции Thin provision. Также необходимо выбрать хранилище, в котором будет запускаться ASAv.
Окно выбора хранилищаРисунок 5. Окно выбора хранилища
  • В окне конфигурации сети (Setup network) выбирается сетевой интерфейс, который будет использоваться при работе ASAv. Обратите внимание: список сетевых интерфейсов задается не в алфавитном порядке, что порой вызывает сложности в нахождении нужного элемента.
Окно конфигурации сетевых параметровРисунок 6. Окно конфигурации сетевых параметров

При развертывании экземпляра ASAv с помощью диалогового окна редактирования настроек сети можно вносить изменения в сетевые параметры. На рисунке 7 показан пример соответствия идентификаторов сетевых адаптеров (Network Adapter ID) и идентификаторов сетевых интерфейсов ASAv (ASAv Interface ID).

Соответствие сетевых адаптеров и интерфейсов ASAvРисунок 7. Соответствие сетевых адаптеров и интерфейсов ASAv
  • Нет необходимости использовать все интерфейсы ASAv, однако веб-клиент vSphere требует назначения сетей всем интерфейсам. Интерфейсы, которые не планируется задействовать, необходимо перевести в состояние Disabled (отключены) в настройках ASAv. После развертывания ASAv в веб-консоли vSphere можно удалить лишние интерфейсы, используя диалоговое окно редактирования настроек (Edit Settings).
  • В окне кастомизации шаблона (Customize template) необходимо выставить ряд ключевых настроек, включая конфигурацию параметров IP-адреса, маски подсети и шлюза по умолчанию. Аналогично следует задать IP-адрес клиента, разрешенный для ASDM-доступа, и, если требуется отдельный шлюз для связи с клиентом, задать его IP-адрес.
Окно кастомизации шаблонаРисунок 8. Окно кастомизации шаблона
  • Кроме того, в опции «Тип развертывания» (Type of deployment) следует выбрать тип установки ASAv из трех возможных вариантов: Standalone, HA Primary, HA Secondary.

Источник: http://iaas-blog.it-grad.ru/virtualnyiy-mezhsetevoy-ekran-cisco-asav-vozmozhnosti-razvertyivanie-i-nastroyka/


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Санкт-Петербург
http://www.it-grad.ru, Директор по маркетингу
+7 (812) 386-00-99
Информационные технологии

Более 10 лет на рынке IaaS России и СНГ

«ИТ-ГРАД» – крупнейший облачный провайдер в России и СНГ по версии CNews Analytics. Облачные услуги предоставляются на базе собственного оборудования, размещённого в дата-центрах уровня TIER III в Москве, Санкт-Петербурге и Алматы (Казахстан). Помимо базовых сервисов (виртуальные дата-центры, гибридные облака и резервное копирование), крупным корпоративным клиентам доступны услуги по аренде виртуальной системы хранения данных NetApp, созданию виртуальных дата-центров для размещения сертифицированных систем по стандарту PCI DSS, хранению и обработке персональных данных в соответствии с требованиями законодательства, а также ряд востребованных SaaS, PaaS и DaaS-сервисов, включая решения для корпоративной разработки ПО.

В конце 2018 года состоялась сделка, в результате которой облачные активы компании «ИТ-ГРАД» перешли в собственность ПАО МТС. В январе 2019 года крупнейший телекоммуникационный оператор и провайдер цифровых услуг представил концепцию «Объединенного облачного провайдера», в структуру которого вошли бренды #CloudМТС, «ИТ-ГРАД», 1Cloud.




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>