Déployer l’ASA virtuel à l’aide de VMware

Vous pouvez déployer l’ASA virtuel sur n’importe quel périphérique CPU de classe de serveur x86 compatible avec VMware ESXi.


Important

La mémoire minimale requise pour l’ASA virtuel est de 2 Go. Si votre ASA virtuel actuel fonctionne avec moins de 2 Go de mémoire, vous ne pouvez pas effectuer de mise à niveau vers la version 9.13(1)+ à partir d’une version antérieure sans augmenter la mémoire de votre machine ASA virtuel. Vous pouvez également redéployer une nouvelle machine ASA virtuel avec la dernière version.

Lignes directrices et limites relatives à la licence

Vous pouvez créer et déployer plusieurs instances d’ASA virtuel sur un serveur ESXi. Le matériel spécifique utilisé pour les déploiements d’ASA virtuel peut varier en fonction du nombre d’instances déployées et des exigences d’utilisation. Chaque appliance virtuelle que vous créez nécessite une allocation minimale de ressources (mémoire, nombre de CPU et espace disque) sur la machine hôte.


Important

L’ASA virtuel est déployé avec une taille de stockage sur disque de 8 Go. Il est impossible de modifier l’allocation des ressources de l’espace disque.

Passez en revue les lignes directrices et les limites suivantes avant de déployer l’ASA virtuel.

ASA virtuel sur les exigences de système VMware ESXi

Assurez-vous de vous conformer aux caractéristiques ci-dessous pour assurer des performances optimales. Les conditions requises par l’ASA virtuelASA virtuel sont les suivantes :

  • Le CPU de l’hôte doit être un processeur Intel ou AMD de classe de serveur x86 avec extension de virtualisation.

    Par exemple, les laboratoires de tests de performance d’ASA virtuel utilisent au minimum les éléments suivants : Cisco Unified Computing System (Cisco UCS®), serveur série C M4 avec les processeurs Intel Xeon® E5-2690v4 fonctionnant à 2,6 GHz.

  • L’ASA virtuel prend en charge ESXi version 6.0, 6.5, 6.7, 7.0, 7.0 mise à niveau 1, 7.0 mise à niveau 2, 7.0 mise à niveau 3.

vNIC recommandées

Les vNIC suivantes sont recommandées pour des performances optimales.

  • i40e en mode Transmission directe PCI : dédié à la carte réseau physique du serveur à la machine virtuelle et transfère les données de paquets entre la carte réseau et la machine virtuelle par DMA (accès direct à la mémoire). Aucun cycle de CPU n’est nécessaire pour le déplacement des paquets.

  • i40evf/ixgbe-vf : en fait, la même chose que ci-dessus (paquets DMA entre la carte réseau et la VM), mais permet de partager la carte réseau sur plusieurs VM. SR-IOV est généralement préféré, car il offre une plus grande souplesse de déploiement. Voir la section Lignes directrices et limites relatives à la licence.

  • vmxnet3 : il s’agit d’un pilote de réseau para-virtualisé qui prend en charge le fonctionnement à 10 Gbit/s, mais nécessite également des cycles du CPU. Il s’agit de la valeur par défaut de VMware.

    Lorsque vous utilisez vmxnet3, vous devez désactiver le Large Receive Offload (LRO, déchargement important à la réception) pour éviter de mauvaises performances TCP.

Optimisation des performances

Pour obtenir les meilleures performances avec ASA virtuel, vous pouvez apporter des ajustements à la machine virtuelle et à l’hôte. Consultez Réglage de la performance pour de plus amples renseignements.

  • NUMA : vous pouvez améliorer les performances d’ASA virtuel en isolant les ressources du CPU de la machine virtuelle invitée en un seul nœud d‘accès à la mémoire non uniforme (NUMA). Consultez Lignes directrices NUMA pour de plus amples renseignements.

  • Receive Side Scaling (Dimensionnement côté réception) : l’ASA virtuel prend en charge Receive Côté Scaling (RSS), qui est une technologie utilisée par les adaptateurs réseau pour distribuer le trafic de réception réseau entre plusieurs cœurs de processeur. Pris en charge à partir de la version 9.13(1). Consultez Files d’attente RX multiples pour le dimensionnement de la réception (RSS). pour de plus amples renseignements.

  • VPN Optimization (Optimisation du VPN) : consultez Optimisation du réseau privé virtuel (VPN) pour obtenir des considérations supplémentaires afin d’optimiser les performances du VPN avec l’ASA virtuel.

Mise en grappes

À partir de la version 9.17, la mise en grappe est prise en charge sur les instances d’ASA virtuel déployées sur VMware. Consultez la section Grappe ASA pour l’ASAv pour de plus amples renseignements.

Lignes directrices relatives aux fichiers OVF

La sélection du fichier asav-vi.ovf ou asav-esxi.ovf repose sur la cible de déploiement :

  • asav-vi : pour le déploiement sur vCenter

  • asav-esxi : pour le déploiement sur ESXi (sans vCenter)

  • Le déploiement OVF d’ASA virtuel ne prend pas en charge la localisation (installation des composants en mode non anglais). Assurez-vous que VMware vCenter et les serveurs LDAP de votre environnement sont installés dans un mode compatible avec ASCII.

  • Vous devez régler votre clavier à l’anglais des États-Unis avant d’installer l’ASA virtuel et pour utiliser la console de VM.

  • Lorsque l’ASA virtuel est déployé, deux images ISO différentes sont montés sur l’hyperviseur ESXi :

    • Le premier disque monté comporte les variables d’environnement OVF générées par vSphere.

    • Le deuxième lecteur monté est day0.so.


    Attention

    Vous pouvez démonter les deux disques après le démarrage de la machine ASA virtuel. Cependant, le lecteur 1 (avec les variables d’environnement OVF) sera toujours monté chaque fois que l’ASA virtuel est mis hors tension ou sous tension, même si la case Connect at Power On (Connecter lors de la mise sous tension) n’est pas cochée.

Lignes directrices relatives à l’exportation du modèle OVF

L’option Exporter le modèle OVF dans vSphere vous aide à exporter un ensemble d’instances ASA virtuel existant en tant que modèle OVF. Vous pouvez utiliser un modèle OVF exporté pour déployer l’instance ASA virtuel dans le même environnement ou un environnement différent. Avant de déployer l’instance ASA virtuel à l’aide d’un modèle OVF exporté sur vSphere, vous devez modifier les détails de configuration dans le fichier OVF pour éviter l’échec du déploiement.

Pour modifier le fichier OVF exporté d’ASA virtuel.

  1. Connectez-vous à la machine locale où vous avez exporté le modèle OVF.

  2. Parcourez le menu et ouvrez le fichier OVF dans un éditeur de texte.

  3. Assurez-vous que la balise <vmw:ExtraConfig vmw:key="monitor_control.pseudo_perfctr" vmw:value="TRUE"></vmw:ExtraConfig> est présente.

  4. Supprimez la balise <rasd:ResourceSubType>vmware.cdrom.iso</rasd:ResourceSubType>.

    Ou

    Remplacez la balise <rasd:ResourceSubType>vmware.cdrom.iso</rasd:ResourceSubType> avec <rasd:ResourceSubType>vmware.cdrom.remotepassthrough</rasd:ResourceSubType>.

    Consultez le lien Le déploiement d’un fichier OVF échoue sur vCenter Server 5.1/5.5 lorsque les outils VMware sont installés (2034422) publié par VMware pour de plus amples renseignements.

  5. Saisissez les valeurs de propriété de UserPrivilege, OvfDeployment et ControllerType.

    Par exemple :
    - <Property ovf:qualifiers="ValueMap{"ovf", "ignore", "installer"}" ovf:type="string" ovf:key="OvfDeployment">
+ <Property ovf:qualifiers="ValueMap{"ovf", "ignore", "installer"}" ovf:type="string" ovf:key="OvfDeployment" ovf:value="ovf">
 
- <Property ovf:type="string" ovf:key="ControllerType">
+ <Property ovf:type="string" ovf:key="ControllerType" ovf:value="ASAv">
 
- <Property ovf:qualifiers="MinValue(0) MaxValue(255)" ovf:type="uint8" ovf:key="UserPrivilege">
+ <Property ovf:qualifiers="MinValue(0) MaxValue(255)" ovf:type="uint8" ovf:key="UserPrivilege" ovf:value="15">

  6. Enregistrez le fichier OVF.

  7. Déployez l’ASA virtuel à l’aide du modèle OVF Consultez Déployer l’ASA virtuel à l’aide du client web VMware vSphere.

Lignes directrices relatives au basculement pour la haute disponibilité

Pour les déploiements de basculement, assurez-vous que l’unité de secours a les mêmes droits de licence; par exemple, les deux unités doivent avoir le droit de 2 Gbit/s.


Important

Lors de la création d’une paire à haute accessibilité à l’aide d’ASA virtuel, il est nécessaire d’ajouter les interfaces de données à chaque ASA virtuel dans le même ordre. Si exactement les mêmes interfaces sont ajoutées à chaque ASA virtuel, mais dans un ordre différent, des erreurs peuvent s’afficher à la console ASA virtuel. La fonctionnalité de basculement peut également être affectée.

Pour le groupe de ports ESX utilisé pour l’interface interne d’ASA virtuel ou la liaison de basculement haute disponibilité d’ASA virtuel, configurez l’ordre de basculement du groupe de ports ESX avec deux cartes réseau virtuelles : l’une comme liaison ascendante active et l’autre comme liaison ascendante de secours. Ceci est nécessaire pour que les deux VM s’envoient des messages Ping ou que le lien de haute disponibilité d’ASA virtuel soit activé.

Lignes directrices vMotion

  • VMware exige que vous utilisiez le stockage partagé uniquement si vous prévoyez utiliser vMotion. Pendant le déploiement d’ASA virtuel, si vous avez une grappe d’hôtes, vous pouvez provisionner le stockage localement (sur un hôte précis) ou sur un hôte partagé. Cependant, si vous essayez d’utiliser l’ASA virtuel vMotion vers un autre hôte, l’utilisation du stockage local produira une erreur.

Allocation de mémoire et de vCPU pour le débit et les licences

  • La mémoire allouée à l’ASA virtuel est d’une taille spécifique pour le niveau de débit. Ne modifiez pas les paramètres de mémoire ni les paramètres matériels de vCPU dans la boîte de dialogue Edit Settings (Modifier les paramètres), sauf si vous demandez une licence pour un autre niveau de débit. Le provisionnement insuffisant peut affecter les performances.


    Remarque
    Si vous devez modifier la mémoire ou les paramètres matériels vCPU, utilisez uniquement les valeurs documentées dans Gestion des licences pour l’ASA virtuel. N’utilisez pas les valeurs minimales, par défaut et maximales de configuration de mémoire recommandées par VMware.

Réservation de CPU

  • Par défaut, la réservation de CPU pour l’ASA virtuel est de 1 000 MHz. Vous pouvez modifier la quantité de ressources de CPU allouées à l’ASA virtuel en utilisant les paramètres de partages, de réservations et de limites (Edit Settings > Resources > CPU (Modifier les paramètres > Ressources > CPU)). L’abaissement du paramètre de réservation de CPU de 1 000 MHz peut être effectué si l’ASA virtuel peut réaliser l’objectif requis tout en étant sous la charge de trafic requise avec le paramètre inférieur. La quantité de CPU utilisée par un ASA virtuel dépend de la plateforme matérielle sur laquelle il s’exécute, ainsi que du type et de la quantité de travail qu’il effectue.

    Vous pouvez afficher le point de vue de l’hôte sur l’utilisation du CPU pour toutes vos machines virtuelles à partir du tableau d’utilisation du CPU (MHz), situé dans la vue Home (Accueil) de l’onglet Virtual Machine Performance (Performances de la machine virtuelle). Une fois que vous avez établi un test de référence pour l’utilisation du CPU lorsque l’ASA virtuel traite le volume de trafic typique, vous pouvez utiliser ces renseignements comme entrée pour ajuster la réservation du CPU.

    Consultez le lien Conseil d’amélioration des performances du CPU publié par VMware pour en savoir plus.

  • Vous pouvez utiliser les commandes show vm et show cpu d’ASA virtuel ou l’onglet Home (Accueil) > Device Dashboard (Tableau de bord des appareils) > Device Information (Renseignements sur l’appareil) > Virtual Resources (Ressources virtuelles) d’ADSM ou le volet Monitoring (Supervision) > Properties (Propriétés) > System Resources Graphs (Graphiques des ressources du système) > CPU (Processeur) pour afficher l’allocation des ressources et toutes les ressources qui sont surprovisionnées ou sous-provisionnées.

  • À partir de la version 9.16.x d’ASA virtuel, lorsque vous rétrogradez d’ASAv100, dont la configuration de l’appareil est de 16 vCPU et de 32 Go de RAM, à ASAv10, vous devez configurer l’appareil avec 1 vCPU et 4 Go de RAM.

Lignes directrices relatives au mode transparent sur le matériel UCS de série B

Des intermittences MAC ont été observées dans certaines configurations d’ASA virtuel fonctionnant en mode transparent sur le matériel Cisco UCS de série B. Lorsque des adresses MAC apparaissent à partir de différents emplacements, vous obtiendrez des paquets abandonnés.

Les lignes directrices suivantes aident à éviter les intermittences MAC lorsque vous déployez l’ASA virtuel en mode transparent dans les environnements VMware :

  • Regroupement NIC VMware : si vous déployez l’ASA virtuel en mode transparent sur le matériel UCS de série B, les groupes de ports utilisés pour les interfaces interne et externe ne doivent avoir qu’un seul lien ascendant actif, qui doit être le même. Vous configurez le regroupement de NIC VMware dans vCenter.

    Consultez la documentation de VMware pour obtenir des renseignements complets sur la configuration du regroupement NIC.

  • Inspection ARP : activez l’inspection ARP sur l’ASA virtuel et configurez de manière statique les entrées MAC et ARP sur l’interface sur laquelle vous souhaitez les recevoir. Consultez le Guide de configuration des opérations générales de la série Cisco Secure Firewall ASA pour en savoir plus sur l’inspection ARP et sur la façon de l’activer.

Directives et limites additionnelles

  • L’ASA virtuel démarre sans les deux disques IDE de CD/DVD si vous exécutez ESXi 6.7, vCenter 6.7, ASA Virtual 9.12 et versions ultérieures.

  • Le client Web vSphere n’est pas pris en charge pour le déploiement OVF d’ASA virtuel; utilisez plutôt le client vSphere.

Prise en charge des fonctionnalités de VMware pour ASA virtuel

Le tableau suivant énumère la prise en charge des fonctionnalités de VMware pour l’ASA virtuel.

Tableau 1. Prise en charge des fonctionnalités de VMware pour ASA virtuel

Fonctionnalités

Description

Prise en charge (Oui/Non)

Commentaire

Clonage à froid

La machine virtuelle est hors tension pendant le clonage.

Oui

¯

DRS

Utilisé pour la planification dynamique des ressources et la gestion de l’alimentation distribuée.

Oui

Non admissible.

Ajout à chaud

La machine virtuelle est en cours d’exécution pendant un ajout.

Non

¯

Clonage à chaud

La machine virtuelle est en cours d’exécution pendant le clonage.

Non

¯

Suppression à chaud

La machine virtuelle est en cours d’exécution pendant la suppression.

Non

¯

Snapshot

La machine virtuelle se bloque pendant quelques secondes.

Oui

À utiliser avec prudence. Vous pourriez perdre du trafic. Un basculement peut se produire.

Suspendre et reprendre

La machine virtuelle est suspendue, puis reprend.

Oui

¯

vCloud Director

Autorise le déploiement automatique des machines virtuelles.

Non

¯

Migration de machine virtuelle

La machine virtuelle est hors tension pendant la migration.

Oui

¯

vMotion

Utilisé pour la migration en direct des machines virtuelles.

Oui

Utiliser le stockage partagé. Consultez Lignes directrices vMotion.

VMware FT

Utilisé pour la haute disponibilité sur les machines virtuelles.

Non

Utiliser le basculement ASA virtuel pour les défaillances de machine ASA virtuel.

VMware haute disponibilité

Utilisé pour ESXi et les défaillances de serveur.

Oui

Utiliser le basculement ASA virtuel pour les défaillances de machine ASA virtuel.

VMware haute disponibilité avec pulsations de machine virtuelle

Utilisé pour les défaillances de machine virtuelle.

Non

Utiliser le basculement ASA virtuel pour les défaillances de machine ASA virtuel.

Client Windows autonome VMware vSphere

Utilisé pour déployer les machines virtuelles.

Oui

¯

Client Web VMware vSphere

Utilisé pour déployer les machines virtuelles.

Oui

¯

Prérequis

Politique de sécurité pour un commutateur standard vSphere

Vous pouvez déployer l’ASA virtuel à l’aide du client web VMware vSphere, du client autonome vSphere ou de l’outil OVF. Consultez Compatibilité Cisco Cisco Secure Firewall ASA pour connaître les exigences du système.

Pour un commutateur vSphere, vous pouvez modifier les politiques de sécurité de couche 2 et appliquer des exceptions aux politiques de sécurité pour les groupes de ports utilisés par les interfaces de l’ASA virtuel. Consultez les paramètres par défaut suivants :

  • Mode promiscuité : Reject (Refuser)

  • Modifications d’adresses MAC : Accept (Accepter)

  • Transmissions forgées : Accept (Accepter)

Vous devrez peut-être modifier ces paramètres pour les configurations ASA virtuel suivantes. Consultez la documentation de vSphere pour en savoir plus.

Tableau 2. Exceptions à la politique de sécurité du groupe de ports

Exception de sécurité

Mode de pare-feu routé

Mode de pare-feu transparent

Aucun basculement

Basculement

Aucun basculement

Basculement

Mode Promiscuous

<any>

<any>

Accepter

Accepter

Modifications d’adresses MAC :

<any>

Accepter

<any>

Accepter
Transmissions forgées

<any>

Accepter

Accepter

Accepter

Décompresser le logiciel ASA virtuel et créer un fichier de configuration de Day 0 (jour 0)

Vous pouvez préparer un fichier de configuration de Day 0 (jour 0) avant de lancer l’ASA virtuel. Ce fichier est un fichier texte qui contient la configuration de l’ASA virtuel à appliquer lors du lancement de l’ASA virtuel. Cette configuration initiale est placée dans un fichier texte nommé « day0-config » dans un répertoire de travail que vous avez choisi, puis manipulée dans un fichier day0.iso qui est monté et lu lors du premier démarrage. Au minimum, le fichier de configuration de Day 0 (jour 0) doit contenir des commandes pour activer l’interface de gestion et configurer le serveur SSH pour l’authentification par clé publique, mais il peut également contenir une configuration ASA complète. Un fichier day0.iso par défaut contenant un fichier day0-config vide est fourni avec la version. Le fichier day0.iso (votre fichier day0.iso personnalisé ou le fichier day0.iso par défaut) doit être disponible lors du premier démarrage.

Avant de commencer

Nous utilisons Linux dans cet exemple, mais il existe des utilitaires similaires pour Windows.

  • Pour autoriser automatiquement l’ASA virtuel lors du déploiement initial, placez le jeton d’identité de licence Smart (ID) que vous avez téléchargé à partir de Cisco Smart Software Manager dans un fichier texte nommé « idtoken » dans le même répertoire que le fichier de configuration de Day 0 (jour 0).

  • Si vous souhaitez accéder au ASA virtuel à partir du port série de l’hyperviseur au lieu de la console virtuelle VGA, vous devez inclure le paramètre console serial (série de la console) dans le fichier de configuration de Day 0 (jour 0) pour utiliser le port série lors du premier démarrage.

  • Si vous souhaitez déployer l’ASA virtuel en mode transparent, vous devez utiliser un fichier de configuration ASA connu en cours d'exécution en mode transparent comme fichier de configuration de Dat 0 (jour 0). Cela ne s’applique pas à un fichier de configuration de Day 0 (jour 0) pour un pare-feu avec routeur.

  • Consultez les lignes directrices relatives aux fichiers OVF dans Lignes directrices et limites relatives à la licence pour de plus amples renseignements sur le montage des images ISO sur l’hyperviseur ESXi.

Procédure

Étape 1

Téléchargez le fichier ZIP à partir de Cisco.com et enregistrez-le sur votre disque local :

https://www.cisco.com/go/asa-software

Remarque

 

Une connexion à Cisco.com et un contrat de service Cisco sont requis.

Étape 2

Décompressez le fichier dans un répertoire de travail. Ne supprimez aucun fichier du répertoire. Les fichiers suivants sont inclus :

  • asav-vi.ovf : pour les déploiements vCenter.

  • asav-esxi.ovf : pour les déploiements autres que vCenter.

  • boot.vmdk : image du disque de démarrage.

  • disk0.vmdk : image du disque ASA virtuel.

  • day0.iso : ISO contenant un fichier day0-config et éventuellement un fichier idtoken.

  • asav-vi.mf : fichier manifeste pour les déploiements vCenter.

  • asav-esxi.mf : fichier manifeste pour les déploiements autres que vCenter.

Étape 3

Saisissez la configuration CLI pour l’ASA virtuel dans un fichier texte appelé « day0-config ». Ajoutez des configurations d’interface pour les trois interfaces et toute autre configuration de votre choix.

La première ligne doit commencer par la version de l’ASA. La configuration day0-config doit être une configuration ASA valide. La meilleure façon de générer le fichier day0-config est de copier les parties souhaitées d’une configuration en cours d’exécution à partir d’un ASA ou d’ASA virtuel. L’ordre des lignes dans day0-config est important et doit correspondre à l’ordre observé dans une sortie de commande show running-config existante.

Voici deux exemples du fichier day0-config. Le premier exemple montre un fichier day0-config lors du déploiement d’un ASA virtuel avec les interfaces Gigabit Ethernet. Le deuxième exemple montre un fichier day0-config lors du déploiement d’un ASA virtuel avec les interfaces 10 Gigabit Ethernet. Vous utiliseriez ce fichier day0-config pour déployer un ASA virtuel avec des interfaces SR-IOV; consultez Lignes directrices et limites relatives à la licence.

Exemple:

ASA Version 9.4.1
!
console serial
interface management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
no shutdown
interface gigabitethernet0/0
nameif inside
security-level 100
ip address 10.1.1.2 255.255.255.0
no shutdown
interface gigabitethernet0/1
nameif outside
security-level 0
ip address 198.51.100.2 255.255.255.0
no shutdown
http server enable
http 192.168.1.0 255.255.255.0 management
crypto key generate rsa modulus 1024
username AdminUser password paSSw0rd
ssh 192.168.1.0 255.255.255.0 management
aaa authentication ssh console LOCAL
call-home
http-proxy 10.1.1.1 port 443
license smart
feature tier standard
throughput level 2G

Exemple:

ASA Version 9.8.1
!
console serial
interface management 0/0
management-only
nameif management
security-level 0
ip address 192.168.0.230 255.255.255.0
!
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 10.10.10.10 255.255.255.0
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 10.10.20.10 255.255.255.0
!
route management 0.0.0.0 0.0.0.0 192.168.0.254
!
username cisco password cisco123 privilege 15
!
aaa authentication ssh console LOCAL
ssh 0.0.0.0 0.0.0.0 management
ssh timeout 60
ssh version 2
!
http 0.0.0.0 0.0.0.0 management
!
logging enable
logging timestamp
logging buffer-size 99999
logging buffered debugging
logging trap debugging
!
dns domain-lookup management
DNS server-group DefaultDNS
name-server 64.102.6.247
!
license smart
feature tier standard
throughput level 10G
!
crypto key generate rsa modulus 2048

Étape 4

(Facultatif) Téléchargez le fichier de jeton d'identité de la licence Smart émis par Cisco Smart Software Manager sur votre PC.

Étape 5

(Facultatif) Copiez le jeton d'identification à partir du fichier téléchargé et placez-le dans un fichier texte nommé « idtoken » qui contient uniquement le jeton d’identité.

Le jeton d'identité enregistre automatiquement l’ASA virtuel sur le serveur de licences Smart.

Étape 6

Générez le CD-ROM virtuel en convertissant le fichier texte en fichier ISO :

Exemple:

stack@user-ubuntu:-/KvmAsa$ sudo genisoimage -r -o day0.iso day0-config idtoken
I: input-charset not specified, using utf-8 (detected in locale settings)
Total translation table size: 0
Total rockridge attributes bytes: 252
Total directory bytes: 0
Path table size (byptes): 10
Max brk space used 0
176 extents written (0 MB)
stack@user-ubuntu:-/KvmAsa$

Étape 7

Calculez une nouvelle valeur SHA1 sur Linux pour le fichier day0.iso :

Exemple:

openssl dgst -sha1 day0.iso
SHA1(day0.iso)= e5bee36e1eb1a2b109311c59e2f1ec9f731ecb66 day0.iso

Étape 8

Incluez la nouvelle somme de contrôle dans le fichier asav-vi.mf dans le répertoire de travail et remplacez la valeur day0.iso SHA1 par la nouvelle valeur générée.

Exemple:

SHA1(asav-vi.ovf)= de0f1878b8f1260e379ef853db4e790c8e92f2b2
SHA1(disk0.vmdk)= 898b26891cc68fa0c94ebd91532fc450da418b02
SHA1(boot.vmdk)= 6b0000ddebfc38ccc99ac2d4d5dbfb8abfb3d9c4
SHA1(day0.iso)= e5bee36e1eb1a2b109311c59e2f1ec9f731ecb66

Étape 9

Copiez le fichier day0.iso dans le répertoire où vous avez décompressé le fichier ZIP. Vous remplacerez le fichier day0.iso par défaut (vide).

Lorsqu’une machine virtuelle est déployée à partir de ce répertoire, la configuration du fichier day0.iso nouvellement généré est appliquée.

Déployer l’ASA virtuel à l’aide du client web VMware vSphere

Cette section décrit comment déployer l’ASA virtuel à l’aide du client web VMware vSphere. Le client web nécessite vCenter. Si vous n’avez pas vCenter, consultez Déployer l’ASA virtuel à l’aide du client autonome VMware vSphere et d’une configuration Day0 (Jour0) ou Déployer l’ASA virtuel à l’aide de l’outil OVF et d’une configuration Day0 (Jour0).

Accéder au client web vSphere et installer le module d’intégration du client

Cette section décrit comment accéder au client web vSphere. Cette section décrit également comment installer le module d’intégration client, qui est requis pour l’accès à la console ASA virtuel. Certaines fonctionnalités client Web (y compris le module d’extension) ne sont pas prises en charge sur Macintosh. Consultez le site Web de VMware pour obtenir des informations complètes sur l’assistance des clients.

Procédure

Étape 1

Lancez le client Web VMware vSphere à partir de votre navigateur :

https:// vCenter_server:port/vsphere-client/

Par défaut, le port est 9443.

Étape 2

(Une seule fois) Installez le module d’intégration client pour pouvoir accéder à la console ASA virtuel.

  1. Dans l’écran de connexion, téléchargez le module d’extension en cliquant sur Download the Client Integration Plug-in (télécharger le module d’intégration de client).

  2. Fermez votre navigateur, puis installez le module d’extension à l’aide du programme d’installation.

  3. Après l’installation du module d’extension, reconnectez-vous au client Web vSphere.

Étape 3

Saisissez votre nom d’utilisateur et votre mot de passe, puis cliquez sur Login (connexion), ou cochez la case Use Windows session authentication (utiliser l’authentification de session Windows) (Windows uniquement).

Déployer l’ASA virtuel à l’aide du client web VMware vSphere

Pour déployer l’ASA virtuel, utilisez le client web VMware vSphere (ou le client vSphere) et un fichier de modèle dans le format OVF (Open Virtualization Format). Vous utilisez l’assistant de déploiement du modèle OVF dans le client web vSphere pour déployer le paquet Cisco pour l’ASA virtuel. L’assistant analyse le fichier OVF ASA virtuel, crée la machine virtuelle sur laquelle vous allez exécuter l’ASA virtuel et installe le paquet.

La plupart des étapes de l’assistant sont standard pour VMware. Pour en savoir plus sur le modèle de déploiement OVF, consultez l’aide en ligne du client web VMware vSphere.

Avant de commencer

Vous devez avoir au moins un réseau configuré dans vSphere (pour la gestion) avant de déployer l’ASA virtuel.

Procédure

Étape 1

Téléchargez le fichier ZIP ASA virtuel à partir de Cisco.com et enregistrez-le sur votre ordinateur :

http://www.cisco.com/go/asa-software

Remarque

 

Une connexion à Cisco.com et un contrat de service Cisco sont requis.

Étape 2

Dans le volet Navigator (Navigateur) du client web vSphere, cliquez sur vCenter.

Étape 3

Cliquez sur Hosts and Clusters (Hôtes et grappes).

Étape 4

Faites un clic droit sur le centre de données, la grappe ou l’hôte dans lequel vous souhaitez déployer l’ASA virtuel et choisissez Déployer le modèle OVF.

L’assistant de déploiement du modèle OVF s’affiche.

Étape 5

Suivez les écrans de l’assistant comme indiqué.

Étape 6

Dans l’écran Setup networks (Configuer les réseaux), mappez un réseau à chaque interface ASA virtuel que vous souhaitez utiliser.

Les réseaux ne peuvent pas être en ordre alphabétique. S’il est trop difficile de trouver vos réseaux, vous pouvez modifier les réseaux plus tard à partir de la boîte de dialogue Edit Settings (Modifier les paramètres). Après le déploiement, cliquez avec le bouton droit sur l’instance ASA virtuel et choisissez Edit Settings (Modifier les paramètres) pour accéder à la boîte de dialogue Edit Settings (Modifier les paramètres). Cependant, cet écran n’affiche pas les ID d’interface ASA virtuel (uniquement les ID d’adaptateur réseau). Consultez la concordance suivante des ID d’adaptateur réseau et des ID d’interface ASA virtuel :

ID d’adaptateur réseau

ID d’interface ASA virtuel

Adaptateur réseau 1

Management 0/0

Adaptateur réseau 2

GigabitEthernet 0/0

Adaptateur réseau 3

GigabitEthernet 0/1

Adaptateur réseau 4

GigabitEthernet 0/2

Adaptateur réseau 5

GigabitEthernet 0/3

Adaptateur réseau 6

GigabitEthernet 0/4

Adaptateur réseau 7

GigabitEthernet 0/5

Adaptateur réseau 8

GigabitEthernet 0/6

Adaptateur réseau 9

GigabitEthernet 0/7

Adaptateur réseau 10

GigabitEthernet 0/8

Vous n’avez pas besoin d’utiliser toutes les interfaces ASA virtuel; cependant, le client Web vSphere vous oblige à attribuer un réseau à toutes les interfaces. Pour les interfaces que vous n’avez pas l’intention d’utiliser, vous pouvez simplement laisser l’interface désactivée dans la configuration ASA virtuel. Après avoir déployé l’ASA virtuel, vous pouvez éventuellement revenir au client web vSphere pour supprimer les interfaces supplémentaires de la boîte de dialogue Edit Settings (Modifier les paramètres). Pour en savoir plus, consultez l’aide en ligne du client web vSphere.

Remarque

 

Pour les déploiements de basculement/haute disponibilité, GigabitEthernet 0/8 est préconfiguré comme interface de basculement.

Étape 7

Si votre réseau utilise un mandataire HTTP pour l’accès Internet, vous devez configurer l’adresse du mandataire pour les licences Smart dans la zone Smart Call Home Settings (Paramètres de Smart Call Home). Ce mandataire est également utilisé pour Smart Call Home en général.

Étape 8

Pour les déploiements de basculement/haute disponibilité, dans l’écran du modèle de personnalisation, configurez les éléments suivants :

  • Précisez l’adresse IP de gestion en veille.

    Lorsque vous configurez vos interfaces, vous devez spécifier une adresse IP active et une adresse IP de secours sur le même réseau. Lorsque l’unité principale bascule, l’unité secondaire adopte les adresses IP et MAC de l’unité principale et commence à transmettre le trafic. L’unité qui est maintenant en état de veille prend le relais des adresses IP et MAC de secours. Étant donné que les périphériques réseau ne constatent aucun changement dans l’association d’adresses MAC à l’adresse IP, aucune entrée ARP ne change et n’expire sur le réseau.

  • Configurez les paramètres de liaison de basculement dans la zone HA Connection Settings (Paramètres de connexion à haute disponibilité).

    Les deux unités d'une paire de basculement communiquent en permanence sur une liaison de basculement pour déterminer l'état de fonctionnement de chaque unité. GigabitEthernet 0/8 est préconfiguré comme liaison de basculement. Saisissez les adresses IP actives et de secours pour le lien sur le même réseau.

Étape 9

Après avoir terminé l’assistant, le client web vSphere traite la VM; vous pouvez voir l’état « Initalize OVF Deployment » (Initier le déploiement OVF) dans le volet Recent Tasks (Tâches récentes) de la zone Global Information (Information globale).

Lorsqu’il a terminé, vous voyez l’état d’achèvement du déploiement du modèle OVF.

L’instance de machine ASA virtuel s’affiche ensuite sous le centre de données spécifié dans l’inventaire.

Étape 10

Si la machine ASA virtuel n’est pas encore en cours d’exécution, cliquez sur Power On the virtual machine (Mettre la machine virtuelle sous tension).

Attendez que l’ASA virtuel démarre avant d’essayer de vous connecter à ASDM ou à la console. Lorsque l’ASA virtuel démarre pour la première fois, il lit les paramètres fournis par le fichier OVF et les ajoute à la configuration système ASA virtuel. Il reprend ensuite automatiquement le processus de démarrage jusqu’à ce qu’il soit opérationnel. Ce processus de double démarrage se produit uniquement lorsque vous déployez l’ASA virtuel pour la première fois. Pour afficher les messages de démarrage, accédez à la console ASA virtuel en cliquant sur l’onglet Console.

Étape 11

Pour les déploiements de basculement/haute disponibilité, répétez cette procédure pour ajouter l’unité secondaire. Consultez les consignes suivantes :

  • Définissez le même niveau de débit que l’unité principale.

  • Saisissez exactement les mêmes paramètres d’adresse IP que pour l’unité principale. Les configurations de démarrage sur les deux unités sont identiques, à l’exception du paramètre identifiant une unité comme principale ou secondaire.

Prochaine étape

Pour enregistrer avec succès l’ASA virtuel auprès de l’autorité de licence de Cisco, l’ASA virtuel nécessite un accès Internet. Vous devrez peut-être effectuer une configuration supplémentaire après le déploiement pour obtenir un accès Internet et un enregistrement de licence réussi.

Déployer l’ASA virtuel à l’aide du client autonome VMware vSphere et de la configuration Day0 (Jour0).

Pour déployer l’ASA virtuel, utilisez le client VMware vSphere et le fichier de modèle au format OVF (open virtualization format) (asav-vi.ovf pour un déploiement vCenter ou asav-esxi.ovf pour un déploiement non vCenter). Vous utilisez l’assistant de déploiement du modèle OVF dans le client vSphere pour déployer le paquet Cisco pour l’ASA virtuel. L’assistant analyse le fichier OVF ASA virtuel, crée la machine virtuelle sur laquelle vous allez exécuter l’ASA virtuel et installe le paquet.

La plupart des étapes de l’assistant sont standard pour VMware. Pour en savoir plus sur l’assistant de déploiement du modèle OVF, consultez l’aide en ligne du client VMware vSphere.

Avant de commencer

Procédure

Étape 1

Lancez le client VMware vSphere et choisissez File (Fichier) > Deploy OVF Template (Déployer le modèle OVF).

L’assistant de déploiement du modèle OVF s’affiche.

Étape 2

Accédez au répertoire de travail où vous avez décompressé le fichier asav-vi.ovf et sélectionnez-le.

Étape 3

Les détails du modèle OVF sont affichés. Passez en revue les écrans suivants. Vous n’avez à modifier aucune configuration si vous choisissez d’utiliser un fichier de configuration Day0 (Jour0) personnalisé.

Étape 4

Un résumé des paramètres de déploiement s’affiche dans le dernier écran. Cliquez sur Finish (Terminer) pour déployer la VM.

Étape 5

Mettez l’ASA virtuel sous tension, ouvrez la console VMware et attendez le deuxième démarrage.

Étape 6

Connectez-vous en SSH à l’ASA virtuel et terminez la configuration souhaitée. Si vous n’avez pas toute la configuration souhaitée dans le fichier de configuration Day0 (Jour0), ouvrez une console VMware et terminez la configuration nécessaire.

L’ASA virtuel est maintenant entièrement opérationnel.

Déployer l’ASA virtuel à l’aide de l’outil OVF et de la configuration Day0 (Jour0)

Cette section décrit comment déployer l’ASA virtuel à l’aide de l’outil OVF, qui nécessite un fichier de configuration day0 (jour0).

Avant de commencer

  • Le fichier day0.iso est requis lorsque vous déployez l’ASA virtuel à l’aide de l’outil OVF. Vous pouvez utiliser le fichier day0.iso vide par défaut fourni dans le fichier ZIP, ou vous pouvez utiliser un fichier de configuration Day0 (Jour0) personnalisé que vous générez. Consultez Décompresser le logiciel ASA virtuel et créer un fichier de configuration de Day 0 (jour 0) pour créer un fichier de configuration Day0 (Jour0).

  • Assurez-vous que l’outil OVF est installé sur un PC Linux ou Windows et qu’il est connecté à votre serveur ESXi cible.

Procédure

Étape 1

Vérifiez que l’outil OVF est installé :

Exemple:

linuxprompt# which ovftool

Étape 2

Créez un fichier .cmd avec les options de déploiement souhaitées :

Exemple:

linuxprompt# cat launch.cmd
ovftool \
--name="asav-941-demo" \
--powerOn \
--deploymentOption=4Core8GB \
--diskMode=thin \
--datastore=datastore1 \
--acceptAllEulas \
--net:Management0-0="Portgroup_Mgmt" \
--net:GigabitEthernet0-1="Portgroup_Inside" \
--net:GigabitEthernet0-0="Portgroup_Outside" \
--prop:HARole=Standalone \
asav-esxi.ovf \
vi://root@10.1.2.3/

Étape 3

Exécutez le fichier cmd :

Exemple:

linuxprompt# ./launch.cmd

L’ASA virtuel est activé; attendez le deuxième démarrage.

Étape 4

Connectez-vous en SSH à l’ASA virtuel pour terminer la configuration au besoin. Si une configuration supplémentaire est requise, ouvrez la console VMware sur l’ASA virtuel et appliquez la configuration nécessaire.

L’ASA virtuel est maintenant entièrement opérationnel.

Accéder à la console ASA virtuel

Dans certains cas, avec ASDM, vous devrez peut-être utiliser l’interface de ligne de commande pour le dépannage. Par défaut, vous pouvez accéder à la console VMware vSphere intégrée. Vous pouvez également configurer une console série de réseau, qui a de meilleures capacités, notamment pour copier et coller.


Remarque

Si vous déployez l’ASA virtuel à l’aide d’un fichier de configuration de Day0 (Jour0), vous pouvez inclure le paramètre console serial (série de la console) dans le fichier de configuration pour utiliser le port série sur le premier démarrage au lieu de la console virtuelle VGA; voir Décompresser le logiciel ASA virtuel et créer un fichier de configuration de Day 0 (jour 0).

Utiliser la console VMware vSphere

Pour la configuration initiale ou le dépannage, accédez à l’interface de ligne de commande à partir de la console virtuelle fournie par l’intermédiaire du client web VMware vSphere. Vous pourrez configurer ultérieurement l’accès à distance à l’interface de ligne de commande pour Telnet ou SSH.

Avant de commencer

Pour le client web vSphere, installez le module d’intégration de client, qui est requis pour l’accès à la console ASA virtuel.

Procédure

Étape 1

Dans le client web VMware vSphere, cliquez avec le bouton droit sur l’instance ASA virtuel dans l’inventaire et choisissez Open Console (Ouvrir la console). Vous pouvez également cliquer sur Launch Console (Lancer la console) sous l’onglet Summary (Résumé).

Étape 2

Cliquez dans la console et appuyez sur Enter (Entrée). Remarque : appuyez sur Ctrl + Alt pour libérer le curseur.

Si l’ASA virtuel démarre toujours, des messages de démarrage s’affichent.

Lorsque l’ASA virtuel démarre pour la première fois, il lit les paramètres fournis par le fichier OVF et les ajoute à la configuration système ASA virtuel. Il reprend ensuite automatiquement le processus de démarrage jusqu’à ce qu’il soit opérationnel. Ce processus de double démarrage se produit uniquement lorsque vous déployez l’ASA virtuel pour la première fois.

Remarque

 

Jusqu’à ce que vous installiez une licence, le débit est limité à 100 kbit/s afin que vous puissiez effectuer des tests de connectivité préalables. Une licence est requise pour le fonctionnement normal. Vous voyez également les messages suivants répétés sur la console jusqu’à ce que vous installiez une licence : 

Warning: ASAv platform license state is Unlicensed.
Install ASAv platform license for full functionality.

L’invite suivante s’affiche :

ciscoasa>

Cette invite indique que vous êtes en mode EXEC utilisateur. Le mode EXEC utilisateur donne uniquement accès aux commandes de base.

Étape 3

Accédez au mode d’exécution privilégié.

Exemple:

ciscoasa> enable

Le message suivant s’affiche :

Password:

Étape 4

Appuyez sur la touche Enter (Entrée) pour continuer. Par défaut, le champ du mot de passe est vide. Si vous avez déjà défini un mot de passe d’activation, saisissez-le au lieu d’appuyer sur Enter (Entrée).

L’invite passe à :

ciscoasa#

Toutes les commandes non liées à la configuration sont disponibles en mode d’exécution privilégié. Vous pouvez également passer en mode de configuration à partir du mode d'exécution privilégié.

Pour quitter le mode privilégié, entrez la commande disable, exit ou quit.

Étape 5

Accédez au mode de configuration globale :

ciscoasa# configure terminal

L’invite change comme suit :

ciscoasa(config)#

Vous pouvez commencer à configurer l’ASA virtuel à partir du mode de configuration globale. Pour quitter le mode de configuration globale, entrez la commande exit, quit ou end.

Configurer un port de console de série de réseau

Pour une meilleure expérience de la console, vous pouvez configurer un port série réseau individuellement ou relié à un concentrateur de port série virtuel (vSPC) pour l’accès à la console. Consultez la documentation de VMware vSphere pour en savoir plus sur chaque méthode. Sur l’ASA virtuel, vous devez envoyer la sortie de la console à un port série plutôt qu’à la console virtuelle. Cette procédure décrit comment activer la console de port série.

Procédure

Étape 1

Configurez un port série réseau dans VMware vSphere. Consultez la documentation de VMware vSphere.

Étape 2

Sur l’ASA virtuel, créez un fichier appelé « use_ttyS0 » dans le répertoire racine de disk0. Ce fichier n’a pas besoin d’avoir du contenu; il doit simplement exister à cet emplacement :

disk0 :/use_ttyS0

  • À partir d’ASDM, vous pouvez charger un fichier texte vide portant ce nom à l’aide de la boîte de dialogue Tools (Outils) > File Management (Gestion des fichiers).

  • Au niveau de la console vSphere, vous pouvez copier un fichier existant (n’importe quel fichier) dans le système de fichiers sous le nouveau nom. Par exemple : 

    ciscoasa(config)# cd coredumpinfo
ciscoasa(config)# copy coredump.cfg disk0:/use_ttyS0

Étape 3

Rechargez l’ASA virtuel.

  • Dans ASDM, choisissez Tools (Outils) > System Reload (Recharger le système).

  • Dans la console vSphere, saisissez reload (recharger).

    L’ASA virtuel arrête l’envoi à la console vSphere et l’envoie plutôt à la console série.

Étape 4

Utilisez Telnet à l’adresse IP de l’hôte vSphere et au numéro de port que vous avez spécifié lorsque vous avez ajouté le port série; ou utilisez Telnet à l’adresse IP et au port vSPC.

Mettre à niveau la licence vCPU ou débit

L’ASA virtuel utilise une licence débit, qui affecte le nombre de vCPU que vous pouvez utiliser.

Si vous souhaitez augmenter (ou diminuer) le nombre de vCPU pour votre ASA virtuel, vous pouvez demander une nouvelle licence, appliquer la nouvelle licence et modifier les propriétés de la machine virtuelle dans VMware pour qu’elles correspondent aux nouvelles valeurs.


Remarque

Les vCPU attribuées doivent correspondre à la licence CPU ASA virtuel ou à la licence débit. La mémoire RAM doit également être de taille appropriée pour les vCPU. Lors de la mise à niveau ou de la rétrogradation, assurez-vous de suivre cette procédure et de rapprocher la licence et les vCPU immédiatement. L’ASA virtuel ne fonctionne pas correctement en cas d’incompatibilité persistante.

Procédure

Étape 1

Demandez une nouvelle licence.

Étape 2

Appliquez la nouvelle licence. Pour les paires de basculement, appliquez de nouvelles licences aux deux unités.

Étape 3

Effectuez l’une des opérations suivantes, selon que vous utilisez le basculement, ou non :

  • Basculement : dans le client Web vSphere, éteignez l’ASA virtuel en mode veille. Par exemple, cliquez sur l’ASA virtuel, puis sur Power Off the virtual machine (éteindre la machine virtuelle), ou cliquez avec le bouton droit sur l’ASA virtuel et choisissez Shut Down Guest OS (arrêter le système d'exploitation invité).

  • Aucun basculement : dans le client Web vSphere, éteignez l’ASA virtuel. Par exemple, cliquez sur l’ASA virtuel, puis sur Power Off the virtual machine (éteindre la machine virtuelle), ou cliquez avec le bouton droit sur l’ASA virtuel et choisissez Shut Down Guest OS (arrêter le système d'exploitation invité).

Étape 4

Cliquez sur l’ASA virtuel, puis sur Edit Virtual machine settings (modifier les paramètres de la machine virtuelle) (ou cliquez avec le bouton droit sur l’ASA virtuel et choisissez Edit Settings (modifier les paramètres).

La boîte de dialogue Edit Settings (modifier les paramètres) s’affiche.

Étape 5

Reportez-vous aux exigences de CPU et de mémoire dans Gestion des licences pour l’ASA virtuel pour déterminer les valeurs correctes pour la nouvelle licence vCPU.

Étape 6

Sous l’onglet Virtual Hardware (matériel virtuel), pour le CPU, choisissez la nouvelle valeur dans la liste déroulante.

Étape 7

Pour Memory (mémoire), entrez la nouvelle valeur de la mémoire RAM.

Étape 8

Cliquez sur OK.

Étape 9

Mettez l’ASA virtuel. Par exemple, cliquez sur Power On the Virtual Machine (mettez la machine virtuelle sous tension).

Étape 10

Pour les paires de basculement :

  1. Ouvrez une console à l’unité active ou lancez ASDM sur l’unité active.

  2. Une fois que l’unité en mode veille a terminé de démarrer, basculez vers l’unité en mode veille :

    • ASDM : choisissez Monitoring (supervision) > Properties (propriétés) > Faillover (basculement) > Status (état), et cliquez sur Make Standby (mettre en veille).

    • Interface de ligne de commande : failover active

  3. Répétez les étapes 3 à 9 pour l'unité active.

Prochaine étape

Consultez la Gestion des licences pour l’ASA virtuel pour de plus amples renseignements.

Réglage de la performance

Amélioration de la performance pour les configurations ESXi

Vous pouvez améliorer la performance d’un ASA virtuel dans l’environnement ESXi en réglant les paramètres de configuration du CPU de l’hôte ESXi. L’option Scheduling Affinity (planification de l’affinité) vous permet de contrôler la répartition des CPU des machines virtuelles sur les cœurs physiques de l’hôte (et sur les hyperthreads si l’hyperthreading est activé). En utilisant cette fonctionnalité, vous pouvez affecter chaque machine virtuelle aux processeurs de l’ensemble d’affinité spécifié.

Consultez les documents VMware suivants pour plus d’informations :

Lignes directrices NUMA

L’accès mémoire non uniforme (NUMA, Non-Uniform Memory Access) est une architecture de mémoire partagée qui décrit le placement des modules de mémoire principaux en ce qui concerne les processeurs dans un système multiprocesseur. Lorsqu’un processeur accède à la mémoire qui ne se trouve pas dans son propre nœud (mémoire distante), les données doivent être transférées sur la connexion NUMA à un débit plus lent qu’il ne le serait lors de l’accès à la mémoire locale.

L’architecture du serveur x86 est composée de plusieurs connecteurs et de plusieurs cœurs dans un connecteur. Chaque connecteur CPU, ainsi que sa mémoire et son entrée-sortie, est appelé nœud NUMA. Pour lire efficacement les paquets à partir de la mémoire, les applications invitées et les périphériques associés (comme la carte d’interface réseau) doivent résider sur le même nœud.

Pour une performance ASA virtuel optimale :

  • La machine ASA virtuel doit fonctionner sur un seul nœud numa. Si un seul ASA virtuel est déployé de sorte qu’il fonctionne sur deux connecteurs, la performance sera considérablement réduite.

  • Un ASA virtuel à 8 cœurs (Exemple d’architecture NUMA à 8 cœurs) exige que chaque connecteur du CPU hôte ait au moins 8 cœurs par connecteur. Il faut tenir compte des autres machines virtuelles en cours d’exécution sur le serveur.

  • Un ASA virtuel [ ] ( [] 16 cœurs (Exemple d’architecture NUMA ASA virtuel à 16 cœurs) exige que chaque connecteur du CPU hôte ait un minimum de 16 cœurs par connecteur. Il faut tenir compte des autres machines virtuelles en cours d’exécution sur le serveur.

  • La carte réseau (NIC) doit se trouver sur le même nœud NUMA que la machine ASA virtuel.


    Remarque

    L’ASA virtuel ne prend pas en charge les nœuds multiples d‘accès à la mémoire non uniforme (numéro) et plusieurs connecteurs de CPU pour les cœurs physiques.

La figure suivante montre un serveur avec deux connecteurs pour CPU, chaque CPU ayant 18 cœurs. L’ASA virtuel à 8 cœurs exige que chaque connecteur du CPU hôte ait au moins 8 cœurs.

Illustration 1. Exemple d’architecture NUMA à 8 cœurs

La figure suivante montre un serveur avec deux connecteurs pour CPU, chaque CPU ayant 18 cœurs. L’ASA virtuel à 16 cœurs exige que chaque connecteur du CPU hôte ait au moins 16 cœurs.

Illustration 2. Exemple d’architecture NUMA ASA virtuel à 16 cœurs

Vous trouverez plus de renseignements sur l’utilisation des systèmes NEMA avec ESXi dans le document VMware Gestion des ressources de vSphere pour votre version de VMware ESXi. Pour vérifier les versions les plus récentes de ce document et d’autres documents pertinents, consultez la page http://www.vmware.com/support/pubs

Files d’attente RX multiples pour le dimensionnement de la réception (RSS).

L’ASA virtuel prend en charge le dimensionnement de la réception (RSS), qui est une technologie utilisée par les adaptateurs réseau pour distribuer le trafic de réception réseau entre plusieurs cœurs de processeur. Pour un débit maximal, chaque vCPU (cœur) doit avoir sa propre file d’attente NIC RX. Notez qu’un déploiement typique de réseau privé virtuel (VPN) d’accès à distance peut utiliser une seule paire d’interfaces interne/externe.


Important

La version 9.13(1) ou ultérieure d’ASA virtuel est nécessaire pour utiliser plusieurs files d’attente RX.

Pour une machine virtuelle à 8 cœurs avec une paire d’interfaces interne/externe, chaque interface aura 4 files d’attente RX, comme indiqué dans Files d’attente RX RSS à 8 cœurs ASA virtuel .

Illustration 3. Files d’attente RX RSS à 8 cœurs ASA virtuel

Pour une machine virtuelle à 16 cœurs avec une paire d’interfaces interne/externe, chaque interface aura 8 files d’attente RX, comme indiqué dans Files d’attente RX RSS à 16 cœurs ASA virtuel.

Illustration 4. Files d’attente RX RSS à 16 cœurs ASA virtuel

Le tableau suivant présente les vNIC de l’ASA virtuel pour VMware et le nombre de files d’attente RX prises en charge. Consultez vNIC recommandées pour obtenir des descriptions des vNIC prises en charge.

Tableau 3. NIC/vNIC recommandées par VMware

Carte NIC

Pilote vNIC

Technologie de pilote

Nombre de files d’attente RX

Rendement

x710*

i40e

PCI Passthrough (transmission directe de PCI)

8 max

PCI Passthrough (transmission directe de PCI) offre la plus haute performance des cartes réseau (NIC) testées. En mode de transmission directe, la carte d’interface réseau est dédiée au ASA virtuel et ne constitue pas un choix optimal pour virtuel.

i40evf

SR-IOV

4

Le SR-IOV avec la carte réseau x710 a un débit inférieur (environ 30 %) à PCI Passthrough (transmission directe de PCI). i40evf sur VMware a un maximum de 4 files d’attente RX par i40evf . 8 files d’attente RX sont nécessaires pour obtenir un débit maximal sur une machine virtuelle à 16 cœurs.

x520

ixgbe-vf

SR-IOV

2

ixgbe

PCI Passthrough (transmission directe de PCI)

6

Le pilote ixgbe (en mode PCI Passthrough) dispose de 6 files d’attente RX. La performance est similaire à celle d’i40evf (SR-IOV).

S. O.

vmxnet3

Paravirtualisation

8 max

Non recommandé pour ASAv100.

S. O.

e1000

Non recommandé par VMware.

* L’ASA virtuel n’est pas compatible avec le pilote d’hôte i40en de 1.9.5 pour la carte réseau x710. Les versions de pilote plus anciennes ou plus récentes fonctionneront. Consultez Identifier les versions des pilotes NIC et du micrologiciel pour en savoir plus sur les commandes ESXCLI pour identifier ou vérifier les versions du pilote NIC et du micrologiciel.

Identifier les versions des pilotes NIC et du micrologiciel

Si vous devez identifier ou vérifier les informations relatives à la version de votre micrologiciel et de votre pilote, il est possible de trouver ces données à l’aide des commandes ESXCLI.

  • Pour obtenir une liste des cartes réseau (NIC) installées, connectez-vous avec le protocole SSH à l’hôte pertinent et exécutez la commande esxcli network nic list. Cette commande devrait vous fournir une liste des périphériques et des informations générales.

  • Après avoir obtenu une liste des cartes réseau (NIC) installées, vous pouvez extraire des informations détaillées sur la configuration. Exécutez la commande esxcli network nic get en précisant le nom de la carte d'interface réseau (NIC) nécessaire : esxcli network nic get –n<nic name>.


Remarque

Les informations générales sur l’adaptateur de réseau peuvent également être consultées à partir du client VMware vSphere. L’adaptateur et le pilote se trouvent sous Physical Adapters (adaptateurs physiques) dans l’onglet Configure (configurer).

Provisionnement d’interface SR-IOV

SR-IOV permet à plusieurs machines virtuelles de partager un seul adaptateur réseau PCIe à l’intérieur d’un hôte. SR-IOV définit ces fonctions :

  • Fonction physique (PF) : les PF sont des fonctions PCIe complètes qui comprennent les capacités SR-IOV. Celles-ci s’affichent comme des cartes réseau (NIC) statiques normales sur le serveur hôte.

  • Fonction virtuelle (VF) : les VF sont des fonctions PCIe allégées qui aident au transfert de données. Une VF est dérivée d’une PF et gérée par l’intermédiaire d’une PF.

Les VF peuvent fournir une connectivité allant jusqu’à 10 Gbit/s à la machine ASA virtuel dans une structure de système d’exploitation virtualisé. Cette section explique comment configurer les VF dans un environnement KVM. La prise en charge de SR-IOV sur l’ASA virtuel est expliquée dans ASA virtuel et provisionnement de l’interface SR-IOV.

Sur ASAv5 et ASAv10, le pilote VMXNET3 est fortement recommandé pour une performance optimale. De plus, l’interface SR-IOV, lorsqu’elle est utilisée en combinaison (mélange d’interfaces), améliore la performance du réseau avec ASA virtuel, en particulier avec l’allocation de plus de cœurs et de ressources pour le processeur (CPU).

Lignes directrices et limites relatives à la licence

Lignes directrices relatives aux interfaces SR-IOV

VMware vSphere 5.1 et les versions ultérieures prennent en charge SR-IOV dans un environnement avec des configurations spécifiques uniquement. Certaines fonctionnalités de vSphere ne sont pas opérationnelles lorsque SR-IOV est activé.

En plus des exigences système pour l’ASA virtuel et SR-IOV comme décrit dans Lignes directrices et limites des interfaces SR-IOV, vous devez passer en revue les configurations prises en charge pour l’utilisation de SR-IOV dans la documentation de VMware pour en savoir plus sur les exigences, les cartes réseau prises en charge, la disponibilité des fonctionnalités et les exigences de mise à niveau pour VMware et SR-IOV.

ASA virtuel sur VMware à l’aide de l’interface SR-IOV prend en charge le mélange de types d’interfaces. Vous pouvez utiliser SR-IOV ou VMXNET3 pour l’interface de gestion et SR-IOV pour l’interface de données.

Cette section montre diverses étapes d’installation et de configuration pour le provisionnement des interfaces SR-IOV sur un système VMware. Les renseignements figurant dans cette section ont été créés à partir de périphériques dans un environnement de laboratoire spécifique, en utilisant VMware ESXi 6.0 et le client web vSphere, un serveur Cisco série UCS C et un adaptateur de serveur Ethernet Intel X520 - DA2.

Limites des interfaces SR-IOV

Lorsque l’ASA virtuel est démarré, sachez que les interfaces SR-IOV peuvent s’afficher dans l’ordre inverse de celui présenté dans ESXi. Cela pourrait entraîner des erreurs de configuration d’interface qui entraîneront un manque de connectivité réseau pour une machine ASA virtuel particulière.


Mise en garde
Il est important de vérifier le mappage de l’interface avant de commencer à configurer les interfaces réseau SR-IOV sur l’ASA virtuel. Cela garantit que la configuration de l’interface réseau s’appliquera à la bonne interface d’adresse MAC physique sur l’hôte de machine virtuelle.
Après le démarrage du ASA virtuel, vous pouvez confirmer quelle adresse MAC est mappée à quelle interface. Utilisez la commande show interface (afficher l’interface) pour afficher des renseignements détaillés sur l’interface, y compris l’adresse MAC d’une interface. Comparez l’adresse MAC avec les résultats de la commande show kernel ifconfig pour confirmer l’affectation d’interface correcte.

Vérifier le BIOS de l’hôte ESXi

Pour déployer l’ASA virtuel avec les interfaces SR-IOV sur VMware, la virtualisation doit être prise en charge et activée. VMware fournit plusieurs méthodes pour vérifier la prise en charge de la virtualisation, y compris leur Guide de compatibilité en ligne pour la prise en charge de SR-IOV et un programme utilitaire d’identification de CPU téléchargeable qui détecte si la virtualisation est activée ou désactivée.

Vous pouvez également déterminer si la virtualisation est activée dans le BIOS en vous connectant à l’hôte ESXi.

Procédure

Étape 1

Connectez-vous à l’interface Shell ESXi en utilisant l’une des méthodes suivantes :

  • Si vous avez un accès direct à l’hôte, appuyez sur Alt+F2 pour ouvrir la page de connexion sur la console physique de la machine.
  • Si vous vous connectez à l’hôte à distance, utilisez le protocole SSH ou une autre connexion de console distante pour démarrer une session sur l’hôte.

Étape 2

Saisissez un nom d’utilisateur et un mot de passe reconnus par l’hôte.

Étape 3

Exécutez la commande suivante :

Exemple:
esxcfg-info|grep "\----\HV Support"

Le résultat de la commande HV Support indique le type de prise en charge d’hyperviseur disponible. Voici les descriptions des valeurs possibles :

0 – VT/AMD-V indique que la prise en charge n’est pas disponible pour ce matériel.

1 – VT/AMD-V indique que VT ou AMD-V peut être disponible, mais qu’il n’est pas pris en charge par ce matériel.

2 – VT/AMD-V indique que VT ou AMD-V est disponible, mais n’est actuellement pas activé dans le BIOS.

3 – VT/AMD-V indique que VT ou AMD-V est activé dans le BIOS et peut être utilisé.

Exemple:
~ # esxcfg-info|grep "\----\HV Support"
         |----HV Support...........................3

La valeur 3 indique que la virtualisation est prise en charge et activée.
Prochaine étape

  • Activez SR-IOV sur l’adaptateur physique de l’hôte.

Activer SR-IOV sur l’adaptateur physique de l’hôte

Utilisez le client web vSphere pour activer SR-IOV et définir le nombre de fonctions virtuelles sur votre hôte. Vous ne pouvez pas connecter des machines virtuelles aux fonctions virtuelles avant de le faire.

Avant de commencer
Procédure

Étape 1

Dans le client web vSphere, accédez à l’hôte ESXi sur lequel vous souhaitez activer SR-IOV.

Étape 2

Dans l’onglet Manage (Gérer), cliquez sur Networking (Mise en réseau) et sélectionnez Physical Adapters (Adaptateurs physiques).

Vous pouvez consulter la propriété SR-IOV pour voir si un adaptateur physique prend en charge SR-IOV.

Étape 3

Sélectionnez l’adaptateur physique et cliquez sur Edit Adapter Settings (Modifier les paramètres de l’adaptateur).

Étape 4

Sous SR-IOV, sélectionnez Enabled (Activé) dans le menu déroulant Status (État).

Étape 5

Dans la zone de texte Number of virtual functions (Nombre de fonctions virtuelles), saisissez le nombre de fonctions virtuelles que vous souhaitez configurer pour l’adaptateur.

Remarque

 

Pour ASAv50, nous vous recommandons de NE PAS utiliser plus d’une VF par interface. Une dégradation des performances est susceptible de se produire si vous partagez l’interface physique avec plusieurs fonctions virtuelles.

Étape 6

Cliquez sur OK.

Étape 7

Redémarrez l’hôte ESXi.

Les fonctions virtuelles deviennent actives sur le port NIC représenté par l’entrée d’adaptateur physique. Elles apparaissent dans la liste PCI Devices (Appareils PCI) de l’onglet Settings (Paramètres) de l’hôte.

Prochaine étape

  • Créez un vSwitch standard pour gérer les fonctions et les configurations SR-IOV.

Créer un commutateur vSphere

Créez un commutateur vSphere pour gérer les interfaces SR-IOV.

Procédure

Étape 1

Dans le client web vSphere, accédez à l’hôte ESXi.

Étape 2

Sous Manage (Gérer), sélectionnez Networking (Mise en réseau), puis Virtual switches (Commutateurs virtuels).

Étape 3

Cliquez sur l’icône Add host networking (Ajouter la mise en réseau des hôtes), qui est l’icône en forme de globe vert avec le signe plus (+).

Étape 4

Sélectionnez un type de connexion Virtual Machine Port Group for a Standard Switch (Groupe de ports de machines virtuelles pour un commutateur standard) et cliquez sur Next (Suivant).

Étape 5

Sélectionnez New standard switch (Nouveau commutateur standard) et cliquez sur Next (Suivant).

Étape 6

Ajoutez des adaptateurs réseau physiques au nouveau commutateur standard.

  1. Sous Affected Adapters (Adaptateurs attribués), cliquez sur le signe plus vert (+) pour Add Adapters (Ajouter des adaptateurs).

  2. Sélectionnez l’interface réseau correspondante pour SR-IOV dans la liste. Par exemple, Intel(R) 82599, 10 Gigabit, connexion réseau à double port.

  3. Dans le menu déroulant Failover order group (Groupe de commandes de basculement), sélectionnez parmi les Active adapters (Adaptateurs actifs).

  4. Cliquez sur OK.

Étape 7

Saisissez une Network label (Étiquette de réseau) pour le vSwitch SR-IOV et cliquez sur Next (Suivant).

Étape 8

Passez en revue vos sélections sur la page Ready to complete (Prêt à terminer), puis cliquez sur Finish (Terminer).

Illustration 5. Nouveau vSwitch avec une interface SR-IOV associée
Prochaine étape

  • Examinez le niveau de compatibilité de votre machine virtuelle.

Mettre à niveau le niveau de compatibilité des machines virtuelles

Le niveau de compatibilité détermine le matériel virtuel disponible pour la machine virtuelle, qui correspond au matériel physique disponible sur la machine hôte. La machine ASA virtuel doit être au niveau matériel 10 ou supérieur. Cela exposera la fonctionnalité de transmission directe SR-IOV à l’ASA virtuel. Cette procédure met immédiatement à niveau l’ASA virtuel vers la dernière version de matériel virtuel prise en charge.

Pour en savoir plus sur les versions matérielles et la compatibilité des machines virtuelles, consultez la documentation d’administration de la machine virtuelle de vSphere.

Procédure

Étape 1

Connectez-vous au serveur vCenter à partir du client Web vSphere.

Étape 2

Localisez la machine ASA virtuel que vous souhaitez modifier.

  1. Sélectionnez un centre de données, un dossier, une grappe, un ensemble de ressources ou un hôte et cliquez sur l’onglet Related Objects (objets associés).

  2. Cliquez sur Virtual Machines (machines virtuelles) et sélectionnez la machine ASA virtuel dans la liste.

Étape 3

Mettez la machine virtuel sélectionnée sous tension.

Étape 4

Faites un clic droit sur l’ASA virtuel et sélectionnez Actions > All vCenter Actions (toutes les actions de centre virtuel) > Compatibility (compatibilité) > Upgrade VM Compatibility (mettre à niveau la compatibilité de la machine virtuelle).

Étape 5

Cliquez sur Yes (Oui) pour confirmer le mise à niveau.

Étape 6

Choisissez l’option ESXi 5.5 and later (ESXi  5.5 ou ultérieure) pour la compatibilité des machines virtuelles.

Étape 7

(Facultatif) Sélectionnez Only upgrade after normal guest OS shutdown (Mettre à niveau seulement après l’arrêt normal du système d’exploitation invité).

La machine virtuelle sélectionnée est mise à niveau vers la version matérielle correspondante pour le paramètre de compatibilité que vous avez choisi, et la nouvelle version matérielle est mise à jour dans l’onglet Summary (sommaire) de la machine virtuelle.

Prochaine étape

  • Associez l’ASA virtuel à une fonction virtuelle par l’intermédiaire d’un adaptateur de réseau de transmission directe SR-IOV.

Attribuer la carte NIC SR-IOV à l’ASA virtuel

Pour vous assurer que la machine ASA virtuel et la carte réseau physique peuvent échanger des données, vous devez associer l’ASA virtuel à une ou plusieurs fonctions virtuelles en tant qu’adaptateurs réseau de transmission directe SR-IOV. La procédure suivante explique comment affecter la carte réseau SR-IOV à la machine ASA virtuel à l’aide du client web vSphere.

Procédure

Étape 1

Connectez-vous au serveur vCenter à partir du client web vSphere.

Étape 2

Localisez la machine ASA virtuel que vous souhaitez modifier.

  1. Sélectionnez un centre de données, un dossier, une grappe, un ensemble de ressources ou un hôte et cliquez sur l’onglet Related Objects (Objets associés).

  2. Cliquez sur Virtual Machines (Machines virtuelles) et sélectionnez la machine ASA virtuel dans la liste.

Étape 3

Dans l’onglet Manage (Gérer) de la machine virtuelle, sélectionnez Settings (Paramètres) > VM Hardware (Matériel VM).

Étape 4

Cliquez sur Edit (Modifier) et sélectionnez l’onglet Virtual Hardware (Matériel virtuel).

Étape 5

Dans le menu déroulant New device (Nouveau périphérique), sélectionnez Network (Réseau) et cliquez sur Add (Ajouter).

Une interface New Network (Nouveau réseau) s’affiche.

Étape 6

Développez la section New Network (Nouveau réseau) et sélectionnez une option SR-IOV disponible.

Étape 7

Dans le menu déroulant Adapter Type (Type d’adaptateur), sélectionnez SR-IOV passthrough (Transmission directe SR-IOV).

Étape 8

Dans le menu déroulant Physical Function (Fonction physique), sélectionnez l’adaptateur physique qui correspond à l’adaptateur de machine virtuelle de transmission directe.

Étape 9

Mettez l’ordinateur virtuel sous tension.

Lorsque vous mettez la machine virtuelle sous tension, l’hôte ESXi sélectionne une fonction virtuelle libre dans l’adaptateur physique et la mappe à l’adaptateur de transmission directe SR-IOV. L’hôte valide toutes les propriétés de l’adaptateur de machine virtuelle et de la fonction virtuelle sous-jacente.