Déployer l’ASA virtuel à l’aide d’Hyper-V

Vous pouvez déployer l’ASA virtuel à l’aide de Microsoft Hyper-V.


Important


À partir de la version 9.13(1), la mémoire minimale requise pour l’ASA virtuel est de 2 Go. Si votre ASA virtuel actuel fonctionne avec moins de 2 Go de mémoire, vous ne pouvez pas effectuer de mise à niveau vers la version 9.13(1) à partir d’une version antérieure sans augmenter la mémoire de votre machine ASA virtuel. Vous pouvez également redéployer une nouvelle machine ASA virtuel avec la version 9.13(1).


Aperçu

Vous pouvez déployer Hyper-V sur un serveur Hyper-V autonome ou par l'intermédiaire du gestionnaire Hyper-V. Pour des instructions d’installation à l’aide des commandes d'interface de ligne de commande Powershell, consultez la section Installer l’ASA virtuel sur Hyper-V à l’aide de la ligne de commande, page 46. Pour des instructions d’installation à l’aide du gestionnaire Hyper-V, consultez Installer l’ASA virtuel sur Hyper-V à l’aide du gestionnaire Hyper-V, page 46. Hyper-V ne fournit pas d’option de console série. Vous pouvez gérer Hyper-V par le biais de SSH ou d’ASDM sur l’interface de gestion. Consultez la section Configuration de SSH à la page 54 pour obtenir plus de renseignements sur la configuration de SSH.

La figure suivante montre la topologie recommandée pour l’ASA virtuel en mode pare-feu routé. Trois sous-réseaux sont configurés dans Hyper-V pour l’ASA virtuel : gestion, interne et externe.

Illustration 1. Topologie recommandée pour l’ASA virtuel en mode pare-feu routé

Lignes directrices et limites relatives à la licence

  • Prise en charge des plateformes

    • Serveurs Cisco UCS, série B

    • Serveurs Cisco UCS, série C

    • Hewlett Packard Proliant DL160 Gen8

  • Soutien pour le système d’exploitation

    • Windows Server 2019

    • Hyper-V natif


      Remarque


      L’ASA virtuel devrait fonctionner sur la plupart des plateformes modernes (64 bits) et haute puissance utilisées pour la virtualisation.


  • Format de fichier

    Prend en charge le format VHDX pour le déploiement initial de l’ASA virtuel sur Hyper-V.

  • Configuration de Day 0 (jour 0)

    Vous créez un fichier texte qui contient les commandes de configuration d’interface de ligne de commande ASA dont vous avez besoin. Consultez la section Préparer le fichier de configuration de Day 0 (jour 0) pour la procédure.

  • Mode transparent du pare-feu avec la configuration de Day 0 (jour 0)

    La ligne de configuration « firewall transparent » (pare-feu transparent) doit être en haut du fichier de configuration de Day 0 (jour 0); si elle apparaît ailleurs dans le fichier, vous pourriez rencontrer un comportement erratique. Consultez la section Préparer le fichier de configuration de Day 0 (jour 0) pour la procédure.

  • Basculement

    L’ASA virtuel sur Hyper-V prend en charge le basculement actif/veille. Pour le basculement actif/veille en mode avec routeur et en mode transparent, vous devez activer l’usurpation d’adresse MAC sur tous les adaptateurs de réseau virtuel. Consultez Configurer l’usurpation d’adresse MAC. Pour le mode transparent dans l’ASA virtuel, l’interface de gestion ne doit pas activer l’usurpation d’adresse MAC, car le basculement actif/veille n’est pas pris en charge.

  • Hyper-V prend en charge jusqu’à huit interfaces. Management 0/0 et GigabitEthernet 0/0 jusqu’à 0/6. Vous pouvez utiliser GigabitEthernet comme liaison de basculement.

  • Réseaux VLAN

    Utilisez la commande Hyper-V Powershell Set-VMNetworkAdapterVLan pour définir les VLAN sur une interface en mode de solutions de liaisons. Vous pouvez définir le NativeVlanID pour l’interface de gestion comme VLAN particulier ou « 0 » pour aucun VLAN. Le mode de liaison n’est pas persistant pendant les redémarrages de l’hôte Hyper-V. Vous devez reconfigurer le mode de liaison après chaque redémarrage.

  • Les adaptateurs de réseau existants ne sont pas pris en charge.

  • Les machines virtuelles de génération 2 ne sont pas prises en charge.

  • Microsoft Azure n’est pas pris en charge.

Prérequis

  • Installez Hyper-V sur MS Windows 2012.

  • Créez le fichier texte de configuration de Day 0 (jour 0) si vous en utilisez un.

    Vous devez ajouter la configuration de Day 0 avant que l’ASA virtuel soit déployé pour la première fois; sinon, vous devez effectuer un effacement en écriture à partir d’ASA virtuel pour utiliser la configuration de Day 0. Consultez la section Préparer le fichier de configuration de Day 0 pour la procédure.

  • Téléchargez le fichier ASA virtuel VHDX à partir de Cisco.com

    http://www.cisco.com/go/asa-software


    Remarque


    Une connexion à Cisco.com et un contrat de service Cisco sont requis.


  • Commutateur Hyper-V configuré avec au moins trois sous-réseaux/VLAN.

  • Pour les exigences du système Hyper-V, consultez Compatibilité de Cisco Secure Firewall ASA.

Préparer le fichier de configuration Day 0 (jour 0)

Vous pouvez préparer un fichier de configuration de Day 0 (jour 0) avant de lancer l’ASA virtuel. Ce fichier est un fichier texte qui contient la configuration ASA virtuel qui sera appliquée lors du lancement d’ASA virtuel. Cette configuration initiale est placée dans un fichier texte nommé « day0-config » dans un répertoire de travail que vous avez choisi, puis manipulée dans un fichier day0.iso qui est monté et lu lors du premier démarrage. Au minimum, le fichier de configuration de Day 0 (jour 0) doit contenir des commandes qui activeront l’interface de gestion et configureront le serveur SSH pour l’authentification par clé publique, mais il peut également contenir une configuration ASA complète. Le fichier day0.iso (votre fichier day0.iso personnalisé ou le fichier day0.iso par défaut) doit être disponible lors du premier démarrage.

Avant de commencer

Nous utilisons Linux dans cet exemple, mais il existe des utilitaires similaires pour Windows.

  • Pour autoriser automatiquement l’ASA virtuel lors du déploiement initial, placez le jeton d’identité de licence Smart (ID) que vous avez téléchargé à partir de Cisco Smart Software Manager dans un fichier texte nommé « idtoken » dans le même répertoire que le fichier de configuration de Day 0 (jour 0).

  • Si vous souhaitez déployer l’ASA virtuel en mode transparent, vous devez utiliser un fichier de configuration ASA connu en cours d'exécution en mode transparent comme fichier de configuration de Day 0 (jour 0). Cela ne s’applique pas à un fichier de configuration de Day 0 (jour 0) pour un pare-feu avec routeur.

  • Vous devez ajouter le fichier de configuration de Day 0 (jour 0) avant de démarrer l’ASA virtuel pour la première fois. Si vous décidez que vous souhaitez utiliser une configuration de Day 0 (jour 0) après avoir démarré l’ASA virtuel, vous devez exécuter une commande write erase, appliquer le fichier de configuration de Day 0 (jour 0), puis démarrer l’ASA virtuel.

Procédure


Étape 1

Saisissez la configuration CLI pour l’ASA virtuel dans un fichier texte appelé « day0-config ». Ajoutez des configurations d’interface pour les trois interfaces et toute autre configuration de votre choix.

La première ligne doit commencer par la version de l’ASA. La configuration day0-config doit être une configuration ASA valide. La meilleure façon de générer le fichier day0-config est de copier les parties souhaitées d’une configuration en cours d’exécution à partir d’un ASA ou d’ASA virtuel. L’ordre des lignes dans day0-config est important et doit correspondre à l’ordre observé dans une sortie de commande show run existante.

Exemple:

ASA Version 9.5.1
!
interface management0/0
nameif management
 security-level 100
 ip address 192.168.1.2 255.255.255.0
 no shutdown
interface gigabitethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.2 255.255.255.0
 no shutdown
interface gigabitethernet0/1
 nameif outside
 security-level 0
 ip address 198.51.100.2 255.255.255.0
 no shutdown
http server enable
http 192.168.1.0 255.255.255.0 management
crypto key generate rsa modulus 1024
username AdminUser password paSSw0rd
ssh 192.168.1.0 255.255.255.0 management
aaa authentication ssh console LOCAL

Étape 2

(Facultatif) Téléchargez le fichier de jeton d'identité de la licence Smart émis par Cisco Smart Software Manager sur votre ordinateur.

Étape 3

(Facultatif) Copiez le jeton d'identité à partir du fichier téléchargé et placez-le dans un fichier texte nommé qui contient uniquement le jeton d'identité.

Étape 4

(Facultatif) Pour l'octroi de licences automatisé lors du déploiement initial d’ASA virtuel, assurez-vous que les informations suivantes se trouvent dans le fichier day0-config :

  • Adresse IP de l’interface de gestion

  • (Facultatif) Proxy HTTP à utiliser pour les licences Smart

  • Une commande de routeur qui active la connectivité au proxy HTTP (si précisé) ou à tools.cisco.com

  • Un serveur DNS qui corrige tools.cisco.com en adresse IP

  • La configuration de licence Smart précise la licence ASA virtuel que vous demandez

  • (Facultatif) Un nom d'hôte unique pour que l’ASA virtuel soit plus facile à trouver dans CSSM

Étape 5

Générez le CD-ROM virtuel en convertissant le fichier texte en fichier ISO :

stack@user-ubuntu:-/KvmAsa$ sudo genisoimage -r -o day0.iso day0-config idtoken
I: input-charset not specified, using utf-8 (detected in locale settings)
Total translation table size: 0
Total rockridge attributes bytes: 252
Total directory bytes: 0
Path table size (byptes): 10
Max brk space used 0
176 extents written (0 MB)
stack@user-ubuntu:-/KvmAsa$

Le jeton d'identité enregistre automatiquement l’ASA virtuel sur le serveur de licences Smart.

Étape 6

Répétez les étapes 1 à 5 pour créer des fichiers de configuration par défaut distincts avec les adresses IP appropriées pour chaque ASA virtuel que vous souhaitez déployer.


Déployer l’ASA virtuel avec le fichier de configuration Day 0 (jour 0) à l’aide du gestionnaire Hyper-V

Après avoir configuré le fichier de configuration Day 0 (jour 0) (Prepare the Day 0 Configuration File (préparer le fichier de configuration Day 0)), vous pouvez le déployer à l’aide du gestionnaire Hyper-V.

Procédure


Étape 1

Accédez à Server Manager (gestionnaire de serveur) > Tools (outils) > Hyper-V Manager (gestionnaire Hyper-V).

Étape 2

Cliquez sur Settings (paramètres) sur le côté droit du gestionnaire Hyper-V. La boîte de dialogue des paramètres s’ouvre. Sous Hardware (matériel) à gauche, cliquez sur IDE Controller 1 (contrôleur IDE 1).

Illustration 2. Gestionnaire Hyper-V

Étape 3

Sous Media (Médias) dans le volet droit, sélectionnez le bouton radio Image file (Fichier image), puis accédez au répertoire où vous conservez votre fichier de configuration ISO de Day 0 (jour 0), puis cliquez sur Apply (Appliquer). Lorsque vous démarrez votre ASA virtuel pour la première fois, il sera configuré en fonction de ce qui se trouve dans le fichier de configuration de Day 0 (jour 0).


Déployer l’ASA virtuel sur Hyper-V à l’aide de la ligne de commande

Vous pouvez installer l’ASA virtuel sur Hyper-V à l’aide de la ligne de commande Windows Powershell. Si vous êtes sur un serveur Hyper-V autonome, vous devez utiliser la ligne de commande pour installer Hyper-V.

Procédure


Étape 1

Ouvrez un Windows PowerShell.

Étape 2

Déployer l’ASA virtuel :

Exemple:

new-vm -name $fullVMName -MemoryStartupBytes $memorysize -Generation 1 -vhdpath
C:\Users\jsmith.CISCO\ASAvHyperV\$ImageName.vhdx -Verbose

Étape 3

Selon votre modèle d’ASA virtuel, modifiez le nombre de CPU de la valeur par défaut de 1.

Exemple:

set-vm -Name $fullVMName -ProcessorCount 4

Étape 4

(Facultatif) Remplacez le nom de l’interface par quelque chose qui a du sens pour vous.

Exemple:

Get-VMNetworkAdapter -VMName $fullVMName -Name "Network Adapter" | Rename-vmNetworkAdapter -NewName
mgmt

Étape 5

(Facultatif) Modifiez l’ID du VLAN si votre réseau l’exige.

Exemple:

Set-VMNetworkAdapterVlan -VMName $fullVMName -VlanId 1151 -Access -VMNetworkAdapterName "mgmt"

Étape 6

Actualisez l’interface pour que Hyper-V recueille les modifications.

Exemple:

Connect-VMNetworkAdapter -VMName $fullVMName -Name "mgmt" -SwitchName 1151mgmtswitch

Étape 7

Ajoutez l’interface interne.

Exemple:

Add-VMNetworkAdapter -VMName $fullVMName -name "inside" -SwitchName 1151mgmtswitch
Set-VMNetworkAdapterVlan -VMName $fullVMName -VlanId 1552 -Access -VMNetworkAdapterName "inside"

Étape 8

Ajoutez l’interface externe.

Exemple:

Add-VMNetworkAdapter -VMName $fullVMName -name "outside" -SwitchName 1151mgmtswitch
Set-VMNetworkAdapterVlan -VMName $fullVMName -VlanId 1553 -Access -VMNetworkAdapterName “outside"

Déployer l’ASA virtuel sur Hyper-V à l’aide du gestionnaire Hyper-V

Vous pouvez utiliser le gestionnaire Hyper-V pour installer l’ASA virtuel sur Hyper-V.

Procédure


Étape 1

Accédez à Server Manager (Gestionnaire de serveur) > Tools (Outils) > Hyper-V Manager (Gestionnaire Hyper-V).

Illustration 3. Gestionnaire de serveur

Étape 2

Le gestionnaire Hyper-V apparaît.

Illustration 4. Gestionnaire Hyper-V

Étape 3

Dans la liste des hyperviseurs à droite, cliquez avec le bouton droit sur l’hyperviseur souhaité dans la liste et choisissez New (Nouveau) > Virtual Machine (Machine virtuelle).

Illustration 5. Lancer une nouvelle machine virtuelle

Étape 4

L’assistant de nouvelle machine virtuelle apparaît.

Illustration 6. Assistant de nouvelle machine virtuelle

Étape 5

Par le biais de l’assistant, spécifiez les renseignements suivants :

  • Nom et emplacement de votre ASA virtuel

  • Génération de votre ASA virtuel

    La seule génération prise en charge pour l’ASA virtuel est la Génération 1.

  • Quantité de mémoire pour votre ASA virtuel (1 024 Mo pour 100 Mbit/s, 2 048 Mo pour 1 Gbit/s, 8 192 Mo pour 2 Gbit/s)

  • Adaptateur réseau (connectez-vous au commutateur virtuel que vous avez déjà configuré)

  • Disque dur virtuel et emplacement

    Choisissez Use an existing virtual hard disk (Utiliser un disque dur virtuel existant) et accédez à l’emplacement de votre fichier VHDX.

Étape 6

Cliquez sur Finish (Terminer) et une boîte de dialogue apparaît, indiquant votre configuration ASA virtuel.

Illustration 7. Résumé de la nouvelle machine virtuelle

Étape 7

Si votre ASA virtuel a quatre vCPU, vous devez modifier la valeur de vCPU avant de démarrer votre ASA virtuel. Cliquez sur Settings (Paramètres) sur le côté droit du gestionnaire Hyper-V. La boîte de dialogue des paramètres s’ouvre. Dans le menu Hardware (Matériel) à gauche, cliquez sur Processor (Processeur) pour accéder au volet Processor (Processeur). Modifiez le champ Number of virtual processors (Nombre de processeurs virtuels) à 4.

Les droits de 100 Mbit/s et de 1 Gbit/s ont un vCPU, et le droit de 2 Gbit/s a quatre vCPU. La valeur par défaut est 1.

Illustration 8. Paramètres du processeur de la machine virtuelle

Étape 8

Dans le menu Virtual Machines (Machines virtuelles), connectez-vous à votre ASA virtuel en cliquant avec le bouton droit sur le nom de l’ASA virtuel dans la liste et en cliquant sur Connect (Connexion). La console s’ouvre avec l’ASA virtuel à l’arrêt.

Illustration 9. Se connecter à la machine virtuelle

Étape 9

Dans la fenêtre de la console Virtual Machine Connection (Connexion de la machine virtuelle), cliquez sur le bouton turquoise de démarrage pour lancer l’ASA virtuel.

Illustration 10. Démarrer la machine virtuelle

Étape 10

La progression du démarrage de l’ASA virtuel est affichée sur la console.

Illustration 11. Progression du démarrage de la machine virtuelle

Ajouter un adaptateur réseau à partir du gestionnaire Hyper-V

Un ASA virtuel nouvellement déployé n’a qu’un seul adaptateur réseau. Vous devez ajouter au moins deux adaptateurs réseau supplémentaires. Dans cet exemple, nous ajoutons l’adaptateur réseau interne.

Avant de commencer

  • L’ASA virtuel doit être à l’état désactivé.

Procédure


Étape 1

Cliquez sur Settings (Paramètres) sur le côté droit du gestionnaire Hyper-V. La boîte de dialogue des paramètres s’ouvre. Dans le menu Hardware (Matériel) à gauche, cliquez sur Add Hardware (Ajouter du matériel), puis sur Network Adapter (Adaptateur réseau).

Remarque

 

N’utilisez PAS l’adaptateur réseau existant.

Illustration 12. Ajouter un adaptateur réseau

Étape 2

Une fois l’adaptateur réseau ajouté, vous pouvez modifier le commutateur virtuel et d’autres fonctionnalités. Vous pouvez également définir l’ID du VLAN ici, au besoin.

Illustration 13. Modifier les paramètres de l’adaptateur réseau

Modifier le nom de l’adaptateur réseau

Dans Hyper-V, un nom d’interface réseau générique est utilisé, « Network Adapter » (adaptateur réseau). Cela peut être source de confusion si les interfaces réseau ont toutes le même nom. Vous ne pouvez pas modifier le nom à l’aide du gestionnaire Hyper-V. Vous devez le modifier à l’aide des commandes Windows PowerShell.

Procédure


Étape 1

Ouvrez un Windows PowerShell.

Étape 2

Modifiez les adaptateurs réseau au besoin.

Exemple:

$NICRENAME= Get-VMNetworkAdapter -VMName 'ASAvVM' -Name "Network Adapter"
rename-VMNetworkAdapter -VMNetworkAdapter $NICRENAME[0] -newname inside
rename-VMNetworkAdapter -VMNetworkAdapter $NICRENAME[1] -newname outside

Usurpation d’adresses MAC

Pour que l’ASA virtuel transmette les paquets en mode transparent et pour le basculement HA Actif/Veille, vous devez activer l’usurpation d’adresses MAC pour TOUTES les interfaces. Vous pouvez le faire dans le gestionnaire Hyper-V ou en utilisant les commandes PowerShell.

Configurer l’usurpation d’adresse MAC à l’aide du gestionnaire Hyper-V

Vous pouvez utiliser le gestionnaire Hyper-V pour configurer l’usurpation d’adresse MAC sur Hyper-V.

Procédure


Étape 1

Accédez à Server Manager (Gestionnaire de serveur) > Tools (Outils) > Hyper-V Manager (Gestionnaire Hyper-V).

Le gestionnaire Hyper-V apparaît.

Étape 2

Cliquez sur Settings (Paramètres) sur le côté droit du gestionnaire Hyper-V pour ouvrir la boîte de dialogue des paramètres.

Étape 3

Dans le menu Hardware (Matériel) à gauche :

  1. Cliquez sur Inside (Interne) et développez le menu.

  2. Cliquez sur Advanced Functions (Fonctions avancées) pour accéder à l’option d’adresse MAC.

  3. Cliquez sur le bouton radio Enable MAC address Spoofing (Activer l’usurpation d’adresse MAC).

Étape 4

Répétez l’opération pour l’interface externe.


Configurer l’usurpation d’adresse MAC à l’aide de la ligne de commande

Vous pouvez utiliser la ligne de commande Windows Powershell pour configurer l’usurpation d’adresse MAC sur Hyper-V.

Procédure


Étape 1

Ouvrez un Windows PowerShell.

Étape 2

Configurez l’usurpation d’adresse MAC.

Exemple:

Set-VMNetworkAdapter -VMName $vm_name\
-ComputerName $computer_name -MacAddressSpoofing On\
-VMNetworkAdapterName $network_adapter\r"

Configurer SSH

Vous pouvez configurer l’ASA virtuel pour l’accès SSH sur l’interface de gestion à partir de la connexion de la machine virtuelle dans le gestionnaire Hyper-V. Si vous utilisez un fichier de configuration Day0 (Jour0), vous pouvez y ajouter un accès SSH. Consultez la section Préparer le fichier de configuration Day0 (Jour0) pour en savoir plus.

Procédure


Étape 1

Vérifiez que la paire de clés RSA est présente :

Exemple:

asav# show crypto key mypubkey rsa

Étape 2

S’il n’y a pas de paire de clés RSA, générez la paire de clés RSA :

Exemple:

asav(conf t)# crypto key generate rsa modulus 2048

username test password test123 privilege 15
aaa authentication ssh console LOCAL
ssh 10.7.24.0 255.255.255.0 management
ssh version 2

Étape 3

Vérifiez que vous pouvez accéder à l’ASA virtuel à partir d’un autre ordinateur à l’aide de SSH.


Utilisation et rapport d’utilisation du processeur (CPU)

Le rapport d’utilisation du processeur résume le pourcentage du processeur utilisé pendant la période précisée. En règle générale, le cœur fonctionne sur environ 30 à 40 % de la capacité totale du processeur en dehors des heures de pointe et sur environ 60 à 70 % de capacité pendant les heures de pointe.

Utilisation de vCPU dans l'ASA virtuel

L’utilisation de la vCPU Asa virtuel affiche la quantité de vCPU utilisée pour le chemin de données, le point de contrôle et les processus externes.

L’utilisation de vCPU signalée par Hyper-V comprend l’utilisation de l’ASA virtuel comme décrit plus :

  • Délai d’inactivité d’ASA virtuel

  • %SYS surdébit utilisé pour la machine virtuelle ASA

Exemple d’utilisation du processeur

La commande show cpu usage (afficher l’utilisation du processeur) peut être utilisée pour afficher les statistiques d’utilisation du processeur.

Exemple

Ciscoasa#show cpu usage

Utilisation du processeur pendant 5 secondes = 1 %; 1 minute : 2 %; 5 minutes : 1 %

Voici un exemple dans lequel l’utilisation de vCPU signalée est sensiblement différente :

  • Rapports ASA virtuel : 40 %

  • DP : 35 %

  • Processus externes : 5 %

  • ASA (comme les rapports ASA virtuel) : 40 %

  • Interrogation ASA inactive : 10 %

  • Frais généraux : 45 %