Используем GNS3 для связи с реальными и виртуальными машинами VirtualBox. Про операционную систему Cisco IOS Устройства Cisco для виртуализации настольных систем, оптимизированные для взаимодействия с использованием мультимедиа

Как вы знаете, иногда на блоге публикуются статьи наших хороших знакомых.

Сегодня Евгений расскажет нам о виртуализации маршрутизатора Cisco.

Имеется классическая схема организации сети: уровень доступа (SW1, SW2, SW3), уровень распределения (R1) и присоединение к глобальной сети (R2). На маршрутизаторе R2 организован сбор статистики и настроен NAT. Между R2 и R3 установлен аппаратный брандмауэр с функциями фильтрации трафика и маршрутизации (схема 1)

Не так давно была поставлена задача по миграции всей сети на альтернативный шлюз (R4). Новый шлюз обладает кластерным функционалом и способен горизонтально масштабироваться за счет увеличения количества нод кластера. Согласно плану введения в эксплуатацию, требовалось, чтобы в определенный период времени в сети было одновременно два шлюза – старый (R2) – для всех клиентских сетей, и новый (R4) – для сетей, участвующих в тестировании нового шлюза (схема 2).

Попытки реализовать PBR (Policy-based routing) на внутреннем маршрутизаторе (R1) не увенчались успехом – трафик зацикливался. Руководство на просьбы дополнительного оборудования ответило отказом. Время шло, маршрутизатора не было, задача буксовала…

И тут на глаза попалась статья из Интернета, которая рассказывала об изоляции таблиц маршрутизации на маршрутизаторах Cisco.

Я решил получить дополнительный маршрутизатор с независимой таблицей маршрутизации на базе существующего оборудования. Для решения задачи был составлен новый проект (Схема 3), подразумевающий наличие дополнительного маршрутизатора с возможностью PBR.

Соединительная сеть между R1 и R5:

Сеть: 172.16.200.0 /30

Интерфейс на R1: 172.16.200.2 /30

Интерфейс на R5: 172.16.200.1 /30

VLANID: 100 – старый маршрутизатор

VLANID: 101 – новый маршрутизатор

Замечание: в качестве R5 используется виртуальный маршрутизатор, созданный на базе R3 (Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9_NPE-M), Version 15.0(1)M1, RELEASE SOFTWARE (fc1)).

Маршрутизатор R3 оснащен тремя гигабитными портами Ethernet, интерфейс Gi0/0 – используется для внутренней маршрутизации, Gi0/1 – для подключения к аппаратному файерволу, а Gi0/2 – для подключения к внешнему провайдеру.

Перейдем к настройке маршрутизатора R5.

Переходим в режим конфигурирования:
R3(config)#ip vrf zone1
этой командой на маршрутизаторе создается изолированная таблица маршрутизации. Название zone1 выбирается администратором самостоятельно. Так же можно назначить идентификатор и описание. Более подробно можно прочитать в документации. По завершению возвращаемся в режим конфигурирования с помощью команды exit .

Настраиваем сетевые интерфейсы:
R3(config)#interface GigabitEthernet0/0.100

R3(config-subif)#encapsulation dot1Q 100
R3(config-subif)#ip address 172.16.100.2 255.255.255.252
R3(config-subif)#exit
R3(config)#interface GigabitEthernet0/0.101
R3(config-subif)#ip vrf forwarding zone1
R3(config-subif)#encapsulation dot1Q 101
R3(config-subif)#ip address 172.16.100.6 255.255.255.252
R3(config-subif)#exit
R3(config)#interface GigabitEthernet0/0.1000
R3(config-subif)#ip vrf forwarding zone1
R3(config-subif)#encapsulation dot1Q 1000
R3(config-subif)#ip address 172.16.200.1 255.255.255.252
R3(config-subif)#exit
Сейчас необходимо настроить PBR. Для этого составим ACL, руководствуясь следующим правилом: все, кто попадает в ACL – маршрутизируются через старый шлюз, а остальные – через новый.
R3(config)#access-list 101 deny ip host 192.168.3.24 any
R3(config)#access-list 101 deny ip host 192.168.3.25 any
R3(config)#access-list 101 deny ip host 192.168.3.26 any
R3(config)#access-list 101 permit ip any any
Создаем Route-Map:
R3(config)#route-map gw1 permit 50
R3(config-route-map)#match ip address 101
R3(config-route-map)#set ip vrf zone1 next-hop 172.16.100.1
R3(config-route-map)#exit
И применяем его на интерфейс:
R3(config)#interface GigabitEthernet0/0.1000
R3(config-subif)#ip policy route-map gw1
R3(config-subif)#exit
Добавляем маршрут по умолчанию в таблицу маршрутизации zone1 :
R3(config)#ip route vrf zone1 0.0.0.0 0.0.0.0 GigabitEthernet0/0.101 172.16.100.5
и проверяем таблицу маршрутизации для zone1
R3#show ip route vrf zone1
Routing Table: zone1
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is 172.16.100.5 to network 0.0.0.0

S* 0.0.0.0/0 via 172.16.100.5, GigabitEthernet0/0.101
172.16.0.0/16 is variably subnetted, 6 subnets, 2 masks
C 172.16.100.0/30 is directly connected, GigabitEthernet0/0.100
L 172.16.100.2/32 is directly connected, GigabitEthernet0/0.100
C 172.16.100.4/30 is directly connected, GigabitEthernet0/0.101
L 172.16.100.6/32 is directly connected, GigabitEthernet0/0.101
C 172.16.200.0/30 is directly connected, GigabitEthernet0/0.1000
L 172.16.200.1/32 is directly connected, GigabitEthernet0/0.1000
Задача по разделению трафика клиентских сетей на разные шлюзы решена. Из минусов принятого решения хотелось бы отметить увеличение нагрузки на аппаратную часть маршрутизатора и ослабление безопасности, так как маршрутизатор, подключенный к глобальной сети, имеет прямое подключение к локальной сети в обход аппаратного брандмауэра.

Был выпущен новый релиз эмулятора GNS3 v1.4.0, а в феврале уже сразу несколько дополнительных версий v1.4.1 - v1.4.4.

В этой статье я постараюсь кратко пробежаться по его основным отличиям от предыдущей линейки версий 1.3.x, и дать некоторые практические рекомендации.

Более подробно все это будет разобрано в ближайшем обновлении видео курса . Для покупателей версии 3.0 это обновление будет доступно бесплатно, и я всех персонально оповещу о его готовности. А пока что, самое важное!

И ПЕРВОЕ – пожалуйста, обязательно дочитайте до конца этот обзор, прежде чем сразу же бежать ставить новую версию, дабы не наломать дров и не развалить то, что у вас уже наверняка собрано и стабильно работает.

ВТОРОЕ – Эта версия имеет ряд принципиальных архитектурных отличий и в связи с этим, очень «ограниченно совместима» с предыдущей линейкой v1.3.x.

И ТРЕТЬЕ – Новая версия пока ощутимо нестабильна и очень требовательна к ресурсам компьютера, таким как объем RAM, поддержка процессором CPU средств виртуализации VT-x/EPT и AMD-V/RVI и др. Поэтому, я бы пока не рассматривал ее как «боевую», основную для построения вашей лаборатории.

Но, несмотря на все это, новый релиз действительно классный, мощный и многофункциональный. Мне удалось собрать для демонстрационных целей и проверки взаимодействия различных компонентов эмуляции в среде GNS3 вот такую топологию.

Практического смысла в ней немного, но она позволяет запустить основные поддерживаемые сетевые устройства Cisco, и проверить их совместную работу. Цветом обозначено, что именно и с помощью какой подсистемы было запущено.

А здесь детали программно-аппаратной конфигурации хоста, на котором эта топология работает.

Обратите внимание на объем оперативной памяти, многоядерный процессор и аппаратную поддержку им виртуализации VT-x/EPT. Это принципиально для новой версии GNS3 v1.4.4.

Итак, по порядку. Начнем с особенностей версии 1.4.4

• Три вида серверов для работы GNS3 – локальный, виртуальная машина GNS3 VM, и удаленный сервер
• Виртуальная машина IOU VM заменена на GNS3 VM , и они теперь несовместимы!
• Изменено имя хоста в GNS3 VM на gns3vm , поэтому старая лицензия для IOU не работает и ее требуется модифицировать
• GNS3 VM 1.4 это новая виртуальная машина с предустановленными подсистемами IOU, Qemu и Dynamips для обеспечения их более стабильной и предсказуемой работы в среде VM Ubuntu x64 Linux
• GNS3 VM 1.4 это уже 64-битный Ubuntu, а не 32-битный Debian и для работы в нем KVM требуется поддержка виртуализации VT-x/EPT или AMD-V/RVI
• Виртуальная машина GNS3 VM 1.4 может запускаться как в VMware , так и VirtualBox . Но VMware предпочтительнее, так как VirtualBox не поддерживает «наследуемую виртуализацию». Что означает, что виртуальные машины (например, тот же Qemu) внутри GNS3 VM будут работать значительно медленнее, либо не будут работать вообще
• Упрощено обновление виртуальной машины GNS3 VM, теперь это делается через меню
• Включена поддержка VMware Workstation и Fusion для запуска через GNS3 эмулируемых устройств и PC, в дополнении к VirtualBox
• Новая концепция добавления различных типов пре-конфигурированных устройств в GNS3 (.gns3a Appliances ), значительно упрощающая их создание. Список готовых устройств можно посмотреть по ссылке: https://gns3.com/marketplace/appliances
• В GNS3 VM 1.4.4 поддерживается только Qemu версии 2.5.0. И как следствие, не работает привычная эмуляция ASA. Более того, официально ASA теперь не поддерживается командой GNS3, а вместо нее рекомендуется использовать её виртуальный вариант ASAv
• Новая удобно структурированная документация: https://gns3.com/support/docs
• Теперь можно вставлять свои символы устройств (в формате.svg)
• Поддержка VNC для устройств, эмулируемых с помощью Qemu
• В меню добавлена интерактивная подсказка по начальной конфигурации GNS3 (Setup Wizard )
• Автоматическая загрузка образов в GNS3 VM при создании шаблонов устройств

Краткие практические выводы по работе с новой версией GNS3 v1.4.4

• Требует мощных современных компьютеров с большим объемом оперативной памяти, многоядерным процессором и поддержкой им виртуализации VT-x/EPT или AMD-V/RVI
• Полноценно работает только с сервером GNS3 VM в среде VMware (Workstation или Fusion). Локальный сервер стабильно работает только с Dynamips и Qemu 2.5.0, а прилагаемая Qemu 0.11.0 не распознается и не запускается вообще
• В Windows 10 полностью нарушается работа Qemu версий v0.11.0 и v0.13.0
• Затруднено параллельное использование 2-х версий GNS3 v1.3.13 и v.1.4.4, даже если и ставить их в разные папки. Так как они работаю с одними и теми же конфигурационными файлами
• Новая версия заметно коррелируется с разработкой Cisco VIRL и образами виртуальных устройств для нее. Удалось успешно запустить следующие устройства Cisco VIRL :
  • IOSv
  • IOSvL2
  • IOS-XRv
  • CSR1000v
  • NX-OSv
  • ASAv
• Плюс, средствами самого GNS3:
  • Маршрутизаторы на Dynamips
  • Коммутаторы на Dynamips
  • Маршрутизаторы на Cisco IOU
  • Коммутаторы на Cisco IOU
  • IPS-4235
• Благодаря механизму импорта GNS3 Appliance , приведенная в этой статье тестовая топология была легко собрана за 15мин

• Для стабильной работы используйте версию GNS3 v1.3.13 с локальным сервером и IOU VM для Cisco IOU
• Можно, у нужно начинать знакомиться и работать с новой версией GNS3 v1.4, но на отдельном компьютере, отвечающем всем выше обозначенным требованиям
• Удобнее всего и надежнее запускать все эмулируемые устройства, включая Dynamips в виртуальной машине GNS3 VM под VMware Workstation или бесплатным VMware Player
• Большинство устройств легко импортируются в GNS3 как Appliace, но об этом, и многом другом в новой версии курса «Домашняя Лаборатория Cisco за 1 День - 2015!» v3.1 и обновлениях к нему

Все покупатели и будут сразу же оповещены в выходе обновления видео курса по версии GNS3 v1.4.

Для изучения Cisco курсов иногда требуется работать с реальными образами, так как Packet Tracer не всегда предоставляет все нужные нам возможности, его прошивка сильно урезана. Тогда на помощь нам приходит GNS3, о котором я писал ранее. С установкой и добавлением образов не должно возникнуть проблем, я думаю.

GNS3

Поэтому опишу типовую конфигурацию, которую мы будем воссоздавать:

Всё просто. На нашем реальном компьютере запускаем эмулятор GNS3. В нём работает виртуальная Cisco 2961, который цепляется к виртуальной машине VirtualBox (например, Windows XP). Можно строить конфигурации любой степени сложности, если позволят ресурсы, но мы остановимся на этой.

Итак, что нам нужно? Прежде всего, создаем новый интерфейс в системе, чтобы завернуть его в GNS3.

Для этого создаем новый интерфейс замыкания на себя (Loopback), адаптер Microsoft и сопоставляем его с облаком в GNS3.

Как ставить новый адаптер Loopback я описал в видео:

После создания интерфейса у нас появилось новое сетевое подключение в диспетчере реальной машины:

Я переименовал его в LOOPBACK, чтобы не перепутать ни с чем.

Теперь открываем GNS3:

Заходим в настройки и настраиваем VirtualBox машину:

В выпадающем списке есть все машины, которые установлены в гостевой ViBox. Выбираем любую, интересующую нас. В данном случае это Windows XP.

Далее перетаскиваем на поле GNS3 нужные нам объекты. Облако (это интерфейс в реальную машину), Виртуальную машину VirtualBox и роутер c2961, образ которого (взять можно с нашей файлопомойки) уже добавлен в гипервизор.

Заходим в настройки нашего облака C1. Здесь нам нужно указать, что оно связано с существующем интерфейсом LOOPBACK.

К сожалению, интерфейсы имеют неблагозвучные названия, поэтому приходится внимательно читать, чтобы не ошибиться. Таким же образом, кстати, можно связать виртуальную Cisco в GNS3 с любым другим интерфейсом, будь то Wireless или WAN. Выбираем нужный, кнопаем “Add”

Соединяем всё связями и запускаем. Тут же стартует виртуальная машина VirtualBox (Windows XP, мы ведь её указали). Там я настраиваю сетевой интерфейс, например, даю 192.168.200.2/24, а шлюзом ставлю *.1, т.е. это будет на роутере.

Тогда и в реальной машине открываю свойства LOOPBACK и даю ему другой сетевой адрес: 192.168.100.2/24, что не пересекается с виртуальной машиной. Ну шлюзом по умолчанию является само-собой *.1 этой подсети.

Вот такая картинка в итоге:

Подключаемся к роутеру R1 и идём в Console:

Здесь я навесил IP адреса, соответствующие шлюзам по умолчанию этих машин (реальной и виртуальной)

Вот конфигурация:

R1#conf t
R1(config)#int fa0/0
R1(config-if)#ip addr 192.168.100.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#int fa0/1
R1(config-if)#ip addr 192.168.200.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#

То есть со стороны реальной машины вешаем IP, который является шлюзом по-умолчанию для интерфейса Loopback, а со стороны виртуальной машины – IP, который является шлюзом по умолчанию для интерфейса виртуальной машины.

Теперь можем послать PING-запрос с виртуальной машины в реальную или наоборот:

Теперь мы можем поставить какой-нибудь WireShark или учиться иным способом маршрутизировать сеть, если добавить других виртуальных машин, адресов и LOOPBACK интерфейсов! Удачи!

Ни для кого не секрет, что для построения собственной вычислительной инфраструктуры ранее приходилось прибегать к использованию специализированного оборудования, предназначенного для самых разных целей, и тратить лишнюю копейку либо на его приобретение, либо на аренду. И это только начало эпопеи, ведь дальше вся ответственность управления инфраструктурой ложилась на плечи самой компании.

С появлением технологий виртуализации и растущими требованиями к производительности, доступности и надежности вычислительных систем бизнес все чаще и чаще стал делать выбор в пользу облачных решений и виртуальных площадок надежных IaaS-провайдеров. И это вполне объяснимо: у многих организаций повышаются требования, большинство из них хотят видеть гибкие решения, развернутые максимально быстро, и не иметь при этом никаких проблем по части управления инфраструктурой.

Такой подход на сегодняшний день не является чем-то новым, наоборот, становится все более и более привычной тактикой эффективного управления предприятием/инфраструктурой.

Перераспределение и перенос большинства рабочих нагрузок с физических площадок на виртуальные в том числе обуславливает необходимость проработки вопросов реализации безопасности. Безопасность - как с физической точки зрения, так и с точки зрения виртуальной - должна быть всегда на высоте. Безусловно, на рынке ИТ существует немало решений, призванных обеспечивать и гарантировать высокий уровень защиты виртуальных сред.

Остановимся более подробно на относительно недавно анонсированном виртуальном межсетевом экране Cisco ASAv , который пришел на смену облачному фаерволу Cisco ASA 1000v. Компания Cisco на своем официальномсайте сообщает о прекращении продажи и поддержки Cisco ASA 1000v, представив в замену флагманское средство защиты облачных, виртуальных инфраструктур в лице продукта Cisco ASAv.

Вообще стоит отметить, что за последние годы Cisco усилила активность в сегменте виртуализации, дополнив линейку аппаратных решений виртуализированными продуктами. Появление Cisco ASAv - очередное подтверждение этому.

Cisco ASAv (The Cisco Adaptive Security Virtual Appliance) , как было озвучено ранее, представляет собой виртуальный межсетевой экран. Ориентирован на работу в виртуальном окружении и обладает основными функциональными возможностями «железной» Cisco ASA, за исключением многоконтекстового режима и кластеризации.

Обзор Cisco ASAv

Cisco ASAv обеспечивает функциональность межсетевого экрана, выполняя защиту данных в дата-центрах и облачных окружениях. Cisco ASAv представляет собой виртуальную машину, которая может быть запущена на различных гипервизорах, включая VMware ESXi, взаимодействуя с виртуальными «свичами» для обработки трафика. Виртуальный брандмауэр может работать с различными виртуальными коммутаторами, включая Cisco Nexus 1000v, VMware dvSwitch и vSwitch. Cisco ASAv поддерживает реализацию Site-to-Site VPN, VPN удаленного доступа, а также организацию бесклиентного удаленного доступа VPN, как и на физических устройствах Cisco ASA.

Рисунок 1. Архитектура Cisco ASAv

Cisco ASAv использует лицензирование Cisco Smart Licensing, что в значительной степени упрощает развертывание, управление и отслеживание виртуальных экземпляров Cisco ASAv, используемых на стороне заказчиков.

Ключевые особенности и преимущества Cisco ASAv

• Единый междоменный уровень безопасности

Cisco ASAv обеспечивает единый уровень безопасности между физическими и виртуальными площадками с возможностью использования нескольких гипервизоров. В контексте построения ИТ-инфраструктуры клиенты зачастую используют гибридную модель, когда часть приложений заточена под физическую инфраструктуру компании, а другая - под виртуальную площадку с несколькими гипервизорами. Cisco ASAv использует консолидированные опции развертывания, при которых единая политика безопасности может применяться как для физических, так и для виртуальных устройств.

• Простота управления

Cisco ASAv использует программный интерфейс передачи репрезентативного состояния (Representational State Transfer, REST API) на основе обычного HTTP-интерфейса, который дает возможность управлять самим устройством, а также изменять политики безопасности и мониторить статусы состояний.

• Легкость развертывания

Cisco ASAv с заданной конфигурацией может быть развернута за очень короткий промежуток времени.

Cisco ASAv представляет семейство продуктов, доступных в следующих моделях:

Рисунок 2. Семейство продуктов Cisco ASAv

Спецификация Cisco ASAv

	Cisco ASAv5	Cisco ASAv10	Cisco ASAv30
Пропускная способность с контролем состояния соединений (Maximum)	100 Мбит/с	1 Гбит/с	2 Гбит/с
Пропускная способность с контролем состояния соединений (Multiprotocol)	50 Мбит/с	500 Мбит/с	1 Гбит/с
Пропускная способность с VPN (3DES/AES)	30 Мбит/с	125 Мбит/с	300 Мбит/с
Количество подключений в секунду	8 000	20 000	60 000
Количество одновременных сеансов	50 000	100 000	500 000
Количество виртуальных локальных сетей (VLAN)	25	50	200
Количество пользовательских сеансов VPN между узлами сети и с клиентом IPsec	50	250	750
Количество пользовательских сеансов VPN AnyConnect или доступа без клиентской программы	50	250	750
Количество пользователей системы защиты облаков от интернет-угроз Cisco Cloud Web Security	250	1 000	5 000
Поддержка высокой доступности	Active/standby	Active/standby	Active/standby
Поддержка гипервизоров	VMware ESX/ESXi 5.X, KVM 1.0	VMware ESX/ESXi 5.X, KVM 1.0	VMware ESX/ESXi 5.X, KVM 1.0
Количество vCPU	1	1	4
Память	2 Гб	2 Гб	8 Гб
HDD	8 Гб	8 Гб	16 Гб

Функциональность VMware, поддерживаемая в ASAv

Функциональность	Описание	Поддержка (Да/Нет)
Холодное клонирование	Виртуальные машины выключаются в ходе клонирования	Да
DRS	Используется для динамического планирования ресурсов и распределенного управления мощностями	Да
Hot add	Виртуальные машины остаются запущенными в ходе добавления дополнительных ресурсов	Да
Hot clone (горячее клонирование)	В процессе клонирования виртуальные машины остаются запущенными	Нет
Hot removal (горячее удаление)	В процессе удаления ресурсов виртуальные машины остаются запущенными	Да
Снимки	Виртуальные машины приостанавливаются на несколько секунд	Да
Приостановка и возобновление	Виртуальные машины приостанавливаются, а затем возобновляют свою работу	Да
vCloud Director	Позволяет автоматическое развертывание виртуальных машин	Нет
Миграция виртуальных машин	Виртуальные машины выключаются в процессе миграции	Да
vMotion	Используется «живая» миграция виртуальных машин	Да
VMware FT (технология непрерывной доступности)	Используется для высокой доступности виртуальных машин	Нет
VMware HA	Минимизирует потери от сбоев физического оборудования и перезапускает виртуальные машины на другом хосте в кластере в случае сбоя	Да
VMware vSphere Standalone Windows Client		Да
VMware vSphere Web Client	Используется для развертывания виртуальных машин	Да

Развертывание ASAv с помощью веб-клиента VMware vSphere

Если вы решили развернуть ASAv на удаленной площадке IaaS-провайдера либо на любой другой виртуализированной площадке, во избежание неожиданных и нерабочих моментов сразу стоит обратить внимание на дополнительные требования и ограничения:

• Развертывание ASAv из файла ova не поддерживает локализацию. Необходимо убедиться, что VMware vCenter и LDAP сервера в вашем окружении используют режим совместимости ASCII.
• До установки ASAv и использования консоли виртуальных машин необходимо задать предопределенную раскладку клавиатуры (United States English).

Для установки ASAv можно воспользоваться веб-клиентом VMware vSphere. Для этого необходимо выполнить подключение с помощью предопределенной ссылки в формате . По умолчанию используется порт 9443, но в зависимости от специфики настройки значение может отличаться.

• При первоначальном обращении к веб-клиенту VMware vSphere необходимо выполнить установку плагина (Client Integration Plug-in), который доступен для скачивания непосредственно из окна аутентификации.
• После успешной установки следует переподключиться к веб-клиенту VMware vSphere и выполнить вход, введя логин и пароль.
• Перед началом установки Cisco ASAv необходимо скачать ASAv OVA файл с сайта http://cisco.com/go/asa-software , а также убедиться в наличии как минимум одного сконфигурированного сетевого интерфейса vSphere.
• В окне навигации веб-клиента VMware vSphere необходимо переключиться в панель vCenter и перейти в Hosts and Clusters . Кликая по дата-центру, кластеру или хосту, в зависимости от того, куда вы решили установить Cisco ASAv, выбрать опцию развертывания шаблона OVF (Deploy OVF Template ).

Рисунок 3. Развертывание OVF шаблона ASAv

• В окне мастера развертывания шаблона OVF в секции Source необходимо выбрать установочный OVA файл Cisco ASAv. Обратите внимание, что в окне обзора деталей (Review Details ) выводится информация о пакете ASAv.

Рисунок 4. Обзор деталей установки ASAv

• Приняв лицензионное соглашение на странице Accept EULA , переходим к определению имени экземпляра Cisco ASAv и местоположения файлов виртуальной машины.
• В коне выбора конфигурации (Select configuration ) нужно использовать следующие значения:
  • Для Standalone-конфигурации выбрать 1 (или 2, 3, 4) vCPU Standalone.
  • Для Failover-конфигурации выбрать 1 (или 2, 3, 4) vCPU HA Primary.
• В окне выбора хранилища (Select Storage ) определить формат виртуального диска, для экономии места полезным будет выбор опции Thin provision . Также необходимо выбрать хранилище, в котором будет запускаться ASAv.

Рисунок 5. Окно выбора хранилища

• В окне конфигурации сети (Setup network ) выбирается сетевой интерфейс, который будет использоваться при работе ASAv. Обратите внимание: список сетевых интерфейсов задается не в алфавитном порядке, что порой вызывает сложности в нахождении нужного элемента.

Рисунок 6. Окно конфигурации сетевых параметров

При развертывании экземпляра ASAv с помощью диалогового окна редактирования настроек сети можно вносить изменения в сетевые параметры. На рисунке 7 показан пример соответствия идентификаторов сетевых адаптеров (Network Adapter ID) и идентификаторов сетевых интерфейсов ASAv (ASAv Interface ID).

Рисунок 7. Соответствие сетевых адаптеров и интерфейсов ASAv

• Нет необходимости использовать все интерфейсы ASAv, однако веб-клиент vSphere требует назначения сетей всем интерфейсам. Интерфейсы, которые не планируется задействовать, необходимо перевести в состояниеDisabled (отключены) в настройках ASAv. После развертывания ASAv в веб-консоли vSphere можно удалить лишние интерфейсы, используя диалоговое окно редактирования настроек (Edit Settings ).
• В окне кастомизации шаблона (Customize template ) необходимо выставить ряд ключевых настроек, включая конфигурацию параметров IP-адреса, маски подсети и шлюза по умолчанию. Аналогично следует задать IP-адрес клиента, разрешенный для ASDM-доступа, и, если требуется отдельный шлюз для связи с клиентом, задать его IP-адрес.

Рисунок 8. Окно кастомизации шаблона

• Кроме того, в опции «Тип развертывания» (Type of deployment ) следует выбрать тип установки ASAv из трех возможных вариантов: Standalone, HA Primary, HA Secondary.

Рисунок 9. Выбор соответствующего типа установки ASAv

В окне готовности к завершению (Ready to complete ) отображается суммарная информация конфигурации Cisco ASAv. Активация опции запуска после развертывания (Power on after deployment ) позволит запустить виртуальную машину по завершении работы мастера.

• За процессом развертывания OVF-шаблона ASAv и статусом выполненных задач можно следить в консоли задач (Task Console ).

Рисунок 10. Статус развертывания OVF-шаблона

• Если виртуальная машина ASAv еще не запущена, необходимо выполнить ее старт, используя опцию запуска (Power on the virtual machine ). При первом запуске ASAv происходит считывание параметров, заданных в файле OVA, и конфигурация системных значений на его основе.

Рисунок 11. Запуск виртуальной машины ASAv

Подводя итоги по установке ASAv, не можем не отметить приятный факт, что весь процесс - от скачивания пакета, развертывания и запуска - занимает не более 15-20 минут. При этом последующие настройки, например такие как VPN, характеризуются незначительными временными затратами, тогда как при настройке физической ASA потребовалось бы гораздо больше времени. Cisco ASAv можно разворачивать и удаленно, обеспечивая гибкость и удобство процесса для компаний, использующих удаленные площадки.

От установки к управлению ASAv

Для управления ASAv можно воспользоваться старым добрым инструментом ASDM (Adaptive Security Device Manager), который представляет собой удобное решение с графическим пользовательским интерфейсом. В процессе развертывания ASAv задается доступ к ASDM, с помощью которого в дальнейшем можно выполнять различные настройки, мониторинг и устранение неисправностей. С клиентской машины, IP-адрес которой указывался в процессе развертывания, в дальнейшем и происходит подключение. Для доступа к ASDM используется веб-браузер c указанием значения IP-адреса ASAv.

Запуск ASDM

На машине, определенной в качестве клиента ASDM, необходимо запустить браузер и указать значения ASAv в формате https://asav_ip_address/admin , в результате чего появится окно со следующими опциями:

• установить ASDM Launcher и запустить ASDM;
• запустить ASDM;
• стартовать мастер запуска.

Рисунок 12. Пример запуска инструмента ASDM

Установить ASDM Launcher и запустить ASDM

Для запуска установщика выбираем «Установить ASDM Launcher и запустить ASDM». В полях «имя пользователя» и «пароль» (в случае новой установки) можно не задавать значения и нажать «ОК». Без настроенной HTTPS-аутентификации доступ к ASDM происходит без указания верительных данных. В случае, если включена HTTPS-аутентификация, необходимо указать логин и пароль.

• Сохраните установщик локально и начните установку. По завершении установки ASDM-IDM Launcher запустится автоматически.
• Введите IP-адрес ASAv и нажмите «ОК».

Запустить ASDM

Также можно использовать Java Web Start для запуска ASDM напрямую, без выполнения установки. Выбираем опцию «Запустить ASDM», после чего откроется окно ASDM-IDM Launcher.

Рисунок 13. Подключение к ASAv с использованием ASDM-IDM Launcher

Стартовать мастер запуска

При выборе опции «Стартовать мастер запуска» (Run Startup Wizard) вы можете задать следующие параметры конфигурации ASAv

• Hostname (Имя хоста)
• Domain name (Доменное имя)
• Administrative password (Пароль администратора)
• Interfaces (Интерфейсы)
• IP addresses (IP-адреса)
• Static routes (Статические маршруты)
• DHCP server (DHCP-сервер)
• NAT rules (Правила NAT)
• and more (и другие настройки…)

Использование консоли VMware vSphere

Для выполнения начальной конфигурации, устранения неисправностей, доступа к интерфейсу командной строки (CLI) можно воспользоваться консолью ASAv, доступной из веб-клиента VMware vSphere.

Важно! Для работы с консолью ASAv необходимо установить плагин (Client Integration Plug-In).

До тех пор, пока не установлена лицензия, будет наблюдаться ограничение пропускной способности в 100 кбит. В продакшен-среде для полноценной функциональности требуется наличие лицензии. Информация о лицензии отображается в консоли ASAv.

Рисунок 15. Пример отображения информации о лицензии

Подключаясь к консоли ASAv, можно работать в нескольких режимах.

Привилегированный режим

• Параметр ciscoasa> в окне консоли свидетельствует о работе в режиме EXEC, в котором доступны только базовые команды. Для переключения в привилегированный режим EXEC необходимо запустить командуciscoasa> enable , после чего потребуется ввести пароль (Password), если пароль был задан, если же нет - нажать Enter.
• Вывод значения ciscoasa# в окне консоли свидетельствует о переключении в привилегированный режим. В нем возможно использование неконфигурационных команд. Для выполнения конфигурационных команд необходимо переключиться в режим конфигурации. Переключиться в него также можно из привилегированного режима.
• Для выхода из привилегированного режима используются команды disable , exit или quit.

Глобальный режим конфигурации

• Для переключения в глобальный режим конфигурации используют команду:

ciscoasa# configure terminal

• При успешном переключении в режим конфигурации отображается индикатор готовности глобального режима конфигурации, который выглядит следующим образом:

ciscoasa (config)#

• Для вызова списка всех возможных команд следует обратиться к справке:

ciscoasa (config)# help ?

После чего выводится список всех доступных команд в алфавитном порядке, как показано на рисунке 16.

Рисунок 16. Пример отображения команд в глобальном режиме конфигурации

• Для выхода из глобального режима конфигурации используются команды exit, quit или end .

Новая инфраструктура виртуализации Cisco Virtualization Experience Infrastructure (VXI) решает проблемы, связанные с фрагментированностью существующих решений, которые существенно усложняют внедрение виртуальных настольных систем. Кроме того, новая инфраструктура расширяет возможности виртуализации традиционных настольных систем для обработки мультимедийных данных и видео.

Cisco VXI помогает преодолеть главные препятствия, мешающие предприятиям без ущерба для ощущений пользователей воспользоваться финансовыми преимуществами, возможностями защиты данных и средствами поддержки гибкого стиля работы, которые предоставляет виртуализация настольных систем, а также возможностями интеграции мультимедийных функций и функций совместной работы с использованием видео. Кроме того, Cisco VXI сокращает совокупную стоимость владения решениями для виртуализации настольных систем за счет радикального увеличения количества виртуальных систем, поддерживаемых одним сервером.

По прогнозам аналитиков, виртуализация настольных систем может сократить расходы на поддержку персональных компьютеров на 51 процент (на каждого пользователя) при том, что доля этой статьи расходов в ИТ-бюджетах, связанных с ПК, составляет 67 процентов. Виртуальные настольные системы также помогают защищать корпоративную интеллектуальную собственность за счет размещения информации не на физических пользовательских устройствах, а в центре обработки данных. При этом конечные пользователи смогут самостоятельно выбирать устройство, с помощью которого они получат доступ к своему виртуальному компьютеру. Все перечисленные преимущества в сочетании с повышением производительности и гибкости бизнеса с помощью мультимедийных и видеоприложений повышают ценность сетевых решений для конечных пользователей и компаний.

Среди рекомендуемых Cisco архитектур на основе Cisco VXI можно выделить следующие: архитектуру для совместной работы Cisco Collaboration, для центров обработки данных Cisco Data Center Virtualization и для сетей без границ Cisco Borderless Networks, – а также лучшие программные средства и устройства для виртуализации настольных систем.

На совместимость с решением Cisco VXI протестированы следующие технологии Cisco: приложения системы унифицированных коммуникаций (Cisco Unified Communications), оптимизированные для виртуальной среды и оконечных устройств, включая планшетный компьютер Cisco Cius; платформа Cisco Quad™; решение для балансировки нагрузки и оптимизации работы приложений Cisco ACE; программное обеспечение Cisco для ускорения работы глобальных сетей; многофункциональные устройства безопасности Cisco ASA; VPN-клиент Cisco AnyConnect™; среда унифицированных вычислений Cisco UCS™; коммутаторы семейств Cisco Nexus® и Cisco Catalyst®, предназначенные для центров обработки данных; многоуровневые коммутаторы для сетей хранения данных Cisco MDS; маршрутизаторы Cisco ISR.

В состав решения Cisco VXI входят системы виртуализации настольных компьютеров Citrix XenDesktop® 5 и VMware View™ 4.5, предоставленные лидерами отрасли, компаниями Citrix и VMware. Новая инфраструктура также поддерживает приложения для управления и обеспечения безопасности, системы хранения от компаний EMC и NetApp и множество приложений Microsoft.

Система Cisco VXI поддерживает широкий ассортимент оконечных устройств, в том числе IP-телефоны Cisco Unified, ноутбуки, корпоративные планшетные компьютеры, включая Cisco Cius и смартфоны. Cisco вместе с лидером отрасли компанией Wyse оптимизировала ряд аппаратных и программных технологий, чтобы сократить время отклика приложений, работающих в среде Cisco VXI и в связанных с ней архитектурах. Пользуясь открытостью экосистемы Cisco, компании DevonIT и IGEL также проверили свои устройства на совместимость с решением Cisco VXI.

Элементы решения Cisco VXI спроектированы и протестированы для совместной работы в разных вариантах установки, наилучшим образом отвечающих требованиям заказчика. Помимо гибкой поддержки мультимедиа, данное решение обеспечивает совместимость с широким кругом пользовательских устройств и методов доступа, предоставляя пользователям гибкую свободу выбора в зависимости от требований бизнеса или конкретного приложения.

Устройства Cisco для виртуализации настольных систем, оптимизированные для взаимодействия с использованием мультимедиа

Cisco анонсировала два устройства Cisco Virtualization Experience Client (VXC), поддерживающие функции виртуализации настольных систем в "бесклиентной" форме в тандеме с системой унифицированных коммуникаций Cisco:

• Cisco VXC 2100 - компактное устройство, физически интегрированное с IP-телефонами Cisco Unified серий 8900 и 9900, которое позволяет оптимизировать среду рабочего места пользователя. Оно поддерживает питание по каналам Ethernet (Power-over-Ethernet, PoE) и может работать с одним или двумя мониторами. Устройство имеет четыре порта USB для подключения мыши и клавиатуры, если это необходимо для работы в виртуальной среде.
• Cisco VXC 2200 - отдельное компактное бесклиентное устройство с обтекаемым корпусом, предоставляющее пользователям доступ к виртуальной настольной системе и бизнес-приложениям, работающим в виртуализированной среде. Устройство Cisco VXC 2200, при разработке которого учитывались требования охраны окружающей среды, может получать питание либо по каналам Ethernet (Power-over-Ethernet, PoE), либо с помощью дополнительного блока питания. Это устройство также имеет четыре порта USB и два видеопорта, с помощью которых подключаются устройства, необходимые для работы в виртуальной среде.