जीएनएस 3 में सिस्को एएसए: संभावित परिदृश्य और संबंधित कीड़े

हब पर GNS3 एमुलेटर के लिए एक से अधिक लेख समर्पित किया गया है एक विशेष तकनीक का अध्ययन।

जीएनएस 3 के हाल के संस्करणों में अब सिस्को एएसए जैसे उपकरणों का अनुकरण करने की क्षमता है। यह डिवाइस एक बहुक्रियाशील फ़ायरवॉल है, जो विभिन्न मोड्स (रूटेड / ट्रांसपेरेंट; सिंगल / मल्टीपल संदर्भ) में काम कर सकता है, जिसका उपयोग फॉल्ट-टॉलरेंट कॉन्फ़िगरेशन (सक्रिय / स्टैंडबाय; सक्रिय / सक्रिय), आदि में किया जाता है। लेख GNS3 में इस उपकरण को वर्चुअलाइज करते समय पूरी तरह से इस कार्यक्षमता का समर्थन करने पर परीक्षण के परिणाम और निष्कर्ष प्रदान करता है।

मुझे उम्मीद है कि यह लेख आपको यह तय करने में मदद करेगा कि क्या जीएनएस 3 में एक विशेष टोपोलॉजी का अनुकरण करना है, और एक आभासी वातावरण में अपने समाधान को डिबगिंग करते समय भी समय की बचत करना है।

स्रोत डेटा
निम्नलिखित उपकरणों का उपयोग करके परीक्षण किया गया था:
1. विंडोज सर्वर 2003 आर 2 मानक वर्चुअल मशीन (इंटेल ज़ेओन E5420 2.50GHz, 4Gb RAM);
2. GNS3 एमुलेटर v.0.7.4;
3. सिस्को एएसए 8.0 ओएस छवि (2);
4. सिस्को एएसडीएम 6.4 ग्राफिकल प्रबंधन और निगरानी उपकरण (5);
5. सिस्को IOS OS छवि 3725 रूटर्स के लिए (c3725-adventerprisek9-mz.124-25d);
6. सिस्को एसीएस 4.2 एक्सेस कंट्रोल सर्वर;
7. एफ़टीपी, टीएफटीपी, 3 डब्लूएमएन पर आधारित syslog सर्वर।

CCIE सिक्योरिटी की तैयारी के लिए इंटरनैट नेटवर्क एक्सपर्ट (INE) के पहले WB से टेस्ट टोपोलॉजी और वेरिफिकेशन तकनीक ली गई थी। मैं कार्यों और परीक्षण की जा रही तकनीकों का वर्णन छोड़ दूंगा, मैं केवल परिणाम छोड़ दूंगा।

जीएनएस 3 में सिस्को एएसए को कैसे चलाना है, इसका एक विवरण अंग्रेजी में और यहां तक ​​कि रूसी में लिंक पर पाया जा सकता है।

परीक्षण टोपोलॉजी और सत्यापन

1. डायनेमिक रूटिंग

पहले परीक्षण में, सिस्को एएसए के फ़ायरवॉल (इसके बाद एमई के रूप में संदर्भित) को रूट किए गए और एकल मोड (वर्चुअल संदर्भ समर्थन के बिना) में शुरू हुआ।
टोपोलॉजी आकृति में दिखाया गया है:


इन जाँचों के भाग के रूप में, डायनामिक रूटिंग प्रोटोकॉल (RIP, OSPF, EIGRP), पुनर्वितरण, IP SLA ट्रैकिंग के संचालन की जाँच की गई।
ऐसे मामलों में जहां एक प्रबंधित स्विच की आवश्यकता होती है, NM-16ESW मॉड्यूल के साथ सिस्को 3725 राउटर का उपयोग किया गया था।

NM-16ESW मॉड्यूल का उपयोग करते समय असमर्थित L2 फ़ंक्शन की सूची आधिकारिक वेबसाइट पर दी गई है।
कमांड लाइन इंटरफ़ेस सिस्को कैटलिस्ट स्विच से थोड़ा अलग है। सावधान रहें।

वास्तव में, सिस्को एएसए का अनुकरण करते समय WB1 INE में वर्णित कार्यों के साथ कोई समस्या नहीं थी। और सामान्य तौर पर, मैं आगे देख रहा हूं, मेरा कहना है कि इस समय GNS3 में केवल रूट किए गए / एकल मोड कम या ज्यादा पूरी तरह से काम करते हैं।
हालांकि, पहले से ही इस स्तर पर कई सहायक कीड़े दिखाई दिए। शायद शब्द "बग" उत्सर्जन के दौरान उत्पन्न होने वाली कठिनाइयों और त्रुटियों को सही ढंग से प्रतिबिंबित नहीं करता है, लेकिन वर्गीकरण की एकता के लिए मैं इसका उपयोग करूंगा।

बग नंबर 1। डिवाइस चालू होने के बाद स्विचिंग चालू होने पर मूल कॉन्फ़िगरेशन सेट करने के बाद सिस्को एएसए को रिबूट करने की आवश्यकता है। अन्यथा, कनेक्शन स्थापित नहीं किया गया था, डिवाइस एक-दूसरे को नहीं देखते थे।

बग नंबर 2। सामान्य तौर पर, यह बग नहीं है, लेकिन मूलभूत GNS3 सेटिंग्स की एक विशेषता है। क्योंकि उस मशीन पर जहां GNS3 लॉन्च किया गया था, सिस्को ACS4.2 स्थापित किया गया था, फिर 2000-2002 के बंदरगाहों को सीधे एसीईएस में ही सुना गया था। और GNS3 डिफ़ॉल्ट रूप से रूटर्स के लिए कंसोल पोर्ट के रूप में 2000 से शुरू होने वाले पोर्ट का उपयोग करता है। इसलिए, सावधान रहें कि आपको राउटर जोड़ते समय इन पोर्ट को बदलने की आवश्यकता है।

बग नंबर 3। GNS3 को चालू और बंद करने के बाद राउटर कॉन्फ़िगरेशन सहेजा नहीं गया है। यह बग कुछ IOS छवियों पर GNS3 के पुराने संस्करणों में देखा गया था, विशेष रूप से जब 3700 श्रृंखला राउटर के साथ काम कर रहा था। वर्तमान संस्करण में मुझे 3725 के साथ काम करने में कोई समस्या नहीं थी, लेकिन जानकारी है कि यह समस्या 3745 से बनी हुई है ... हालांकि यहां सब कुछ संभव है। उत्सर्जित छवि पर निर्भर करता है। सामान्य तौर पर, यदि कोई सामना करता है, तो आप इस तरह से इस समस्या को हल करने का प्रयास कर सकते हैं।

2. नेटवर्क सेटिंग्स

दूसरे परीक्षण में, सिस्को एएसए एमई ने राउड, सिंगल मोड में भी भाग लिया।


इस परीक्षण में हमने एक्सेस सूचियों (ACL), विभिन्न NAT विकल्पों (डायनेमिक NAT, PAT; स्थिर; PAT; डायनेमिक पॉलिसी NAT, स्थिर नीति NAT, PAT; पहचान NAT; NAT छूट; बाहरी डायनेमिक NAT) के संचालन की जाँच की। ASDM, DNS डॉक्टरिंग फ़ंक्शन, खंडित ट्रैफ़िक को संसाधित करना, MEs, मल्टीकास्टिंग, NTP प्रोटोकॉल ऑपरेशन, इवेंट लॉगिंग (syslog, SNMP), ME ऑपरेशन के माध्यम से DHCP सर्वर, ट्रैफ़िक पुलिसिंग और आकार देने के रूप में BGP कनेक्शन पास करना।

ASDM नियंत्रण के साथ कुछ कठिनाइयाँ थीं (आप GDM3 में ASDM को कैसे कॉन्फ़िगर करें, इस पर वीडियो निर्देश देख सकते हैं)। ASDM चालू करने के बाद, डिवाइस लॉग को निम्न संदेशों के साथ ब्लॉक किया गया है:
%ASA-5-402128: CRYPTO: An attempt to allocate a large memory block
failed, size: size, limit: limit
जो थोड़ा डिबगिंग को जटिल करता है। आप फ़िल्टर का उपयोग कर सकते हैं, या इस संदेश के लॉगिंग को भी अक्षम कर सकते हैं ( no logging message 402128 )।

महत्वपूर्ण दोषों में से:
बग नंबर 4। एक CCP सर्वर के रूप में सिस्को ASA ME GNS3 वातावरण में काम नहीं करता है।

3. पारदर्शी मोड में सिस्को एएसए

तीसरे परीक्षण में, पारदर्शी मोड में ME के ​​संचालन की जाँच की गई। पारदर्शी मोड में एएसए डेटा ट्रांसफर (और कंट्रोल ट्रैफ़िक के लिए एक समर्पित इंटरफ़ेस) के लिए केवल दो इंटरफेस (एकल मोड में) का उपयोग कर सकता है, इस तथ्य के बावजूद कि इसमें अधिक इंटरफेस हो सकते हैं।


इस मोड में, GNS3 वातावरण में सिस्को एएसए के पूर्ण संचालन का समर्थन नहीं किया गया है। राउटर्स से जांच करने पर Mgmt इंटरफ़ेस उपलब्ध है, लेकिन फ़ायरवॉल पर ट्रैफ़िक पास नहीं होता है, इस तथ्य के बावजूद कि फ़ायरवॉल पर कनेक्शन स्थापित करने का प्रयास प्रदर्शित किया जाता है।
दरअसल, इसकी वजह से एआरपी इंस्पेक्शन, एथेराइप एसीएल, ट्रांसपेरेंट फायरवॉल एनएटी जैसे तंत्र के संचालन की जांच करना संभव नहीं था।

बग नंबर 5। CNS ASA में पारदर्शी मोड GNS3 वातावरण में समर्थित नहीं है।

4. वर्चुअल संदर्भ मोड में सिस्को एएसए

इस मोड में, दो वर्चुअल संदर्भ बनाए गए थे: CustomerA, CustomerB।
ग्राहक संदर्भ द्वारा प्रयुक्त इंटरफेस: E0 / 1.121 (इनसाइड), E0 / 2 (DMZ), E0 / 0 (बाहर)
ग्राहक संदर्भ द्वारा प्रयुक्त इंटरफेस: E0 / 1.122 (इनसाइड बी), E0 / 2 (DMZ), E0 / 0 (बाहर)


DMZ और बाहरी इंटरफेस संदर्भों के बीच साझा किए जाते हैं।

GNS3 में, यह मोड तभी समर्थित होगा जब mac-address auto ( no mac-address auto ) कमांड अक्षम हो। यह कमांड प्रत्येक संदर्भ के लिए एक साझा इंटरफ़ेस पर एक वर्चुअल मैक एड्रेस उत्पन्न करता है। एक वर्चुअल मैक सही संदर्भ में डिलीवरी के लिए एक पैकेज को वर्गीकृत करने के मानदंडों में से एक है। इसलिए, जब डिस्कनेक्ट हो रहा है, तो वर्गीकरण के अन्य मानदंडों का उपयोग किया जाएगा (सक्रिय एनएटी अनुवाद में प्रविष्टियां)।
यदि आपके परिदृश्य में नेटवर्क एड्रेस ट्रांसलेशन का उपयोग शामिल नहीं है, तो आप कई संदर्भों में एक साझा इंटरफ़ेस पर एक ही आईपी और मैक का उपयोग नहीं कर पाएंगे।

बग नंबर 6। वर्चुअल संदर्भों का उपयोग केवल तभी संभव है जब mac-address auto कमांड अक्षम हो, जो सिस्को एएसए एमई के संभावित परिनियोजन परिदृश्यों पर प्रतिबंध लगाता है।

5. सक्रिय / स्टैंडबाय मोड में फ़ेलसेफ़ कॉन्फ़िगरेशन

इस मोड में, केवल एक डिवाइस सक्रिय है, दूसरा निष्क्रिय स्थिति में है। डिवाइस एक-दूसरे के साथ, साथ ही कनेक्शन राज्यों की तालिका को सिंक्रनाइज़ करते हैं, जो सक्रिय भाग की विफलता के मामले में पहले से ही स्थापित कनेक्शनों को नहीं तोड़ने की अनुमति देता है।


परीक्षण के दौरान, राउटर R1 ने राउटर R2 के लिए एक टेलनेट कनेक्शन स्थापित किया, जिसके बाद एक विफलता का अनुकरण किया गया था (सक्रिय ME से जुड़े स्विच SW1 के पोर्ट को बंद करके)। तार्किक रूप से, विफलता जोड़ी को स्विच किया जाना चाहिए, टेलनेट कनेक्शन को काम करना जारी रखना चाहिए, क्योंकि ME ने राज्य-लिंक को कॉन्फ़िगर किया।
हालांकि, GNS3 आभासी वातावरण में, परिणाम अलग था। विफलता जोड़ी स्विचिंग हुई, लेकिन टेलनेट सत्र बाधित हो गया। इसके अलावा, फायरवॉल के माध्यम से यातायात ने काम करना बंद कर दिया। यह इस तथ्य के कारण है कि, इस तथ्य के बावजूद कि सक्रिय भाग बदल गया है, क्लस्टर ने पहले फायरवॉल के मैक पते के साथ एआरपी अनुरोधों का जवाब देना जारी रखा (हालांकि यह पहले से ही निष्क्रिय मोड में बदल गया है)। क्लस्टर जोड़ी के पूर्ण रीबूट के बाद, स्थिति नहीं बदली है।

बग नंबर 7। सक्रिय डिवाइस को एक निष्क्रिय एक पर स्विच करने के बाद, विफलता / मोड में सिस्को एएसए सक्रिय / स्टैंडबाय एआरपी अनुरोधों के लिए गलत प्रतिक्रियाओं के कारण स्वयं के माध्यम से यातायात को रोक देता है।

जहाँ तक मुझे पता है, सिस्को PIX 7 संस्करण का अनुकरण करते समय, यह समस्या उत्पन्न नहीं होती है। इसलिए, यदि आवश्यक हो, तो इस समाधान का उपयोग करें।

6. सक्रिय / सक्रिय मोड में Failsafe विन्यास

इस मोड में, दोनों डिवाइस सक्रिय हैं। यह कई आभासी संदर्भों का उपयोग करके प्राप्त किया जाता है, जिनमें से कुछ क्लस्टर के एक भाग पर सक्रिय होते हैं, कुछ दूसरे पर।


पिछले पैराग्राफ में वर्णित के समान सत्यापन की योजना बनाई गई थी। हालाँकि, यह थोड़ा पहले समाप्त हो गया। कारण इस प्रकार है: उपकरणों को एक क्लस्टर में जोड़ा जाता है, लेकिन ट्रैफ़िक इसके माध्यम से नहीं गुजरता है, क्योंकि एक्टिव / एक्टिव का फेलओवर कॉन्फ़िगरेशन वर्चुअल मैक एड्रेस का उपयोग करता है।

बग नंबर 8। सक्रिय / सक्रिय विफलता मोड में सिस्को एएसए क्लस्टर से ट्रैफ़िक नहीं गुजरता है।

7. निरर्थक इंटरफेस

पिछले परीक्षण में, सिस्को एएसए पर निरर्थक इंटरफेस के साथ एक योजना बनाई गई थी, जो कई भौतिक इंटरफेस को तार्किक रूप से संयोजित करने की अनुमति देती है। इस मामले में, केवल एक इंटरफ़ेस सक्रिय है, पहले की विफलता के बाद ही दूसरा सक्रिय है।


परीक्षण में, सक्रिय एएसए इंटरफ़ेस से जुड़ा स्विच पोर्ट काट दिया गया था। विफलता का पता चलने के बाद, दूसरा ME इंटरफ़ेस सक्रिय होना था। हालांकि, जीएनएस 3 के वातावरण में, एमई ने अपने हिस्से के लिए, स्विच पर पोर्ट डिस्कनेक्शन का पता नहीं लगाया और, तदनुसार, निष्क्रिय इंटरफ़ेस सक्रिय स्थिति में होना जारी रहा।

बग नंबर 9। जब एमई से सटे डिवाइस पर एक भौतिक कनेक्शन विफल हो जाता है, तो निरर्थक इंटरफ़ेस स्विच करना नहीं होता है।

निष्कर्ष

परीक्षणों से पता चला है कि GNS3 वातावरण में ऑपरेशन के सभी सिस्को एएसए पूरी तरह से समर्थित नहीं हैं। रूट किए गए, एकल मोड मोड का उपयोग करते समय कम से कम समस्याएं उत्पन्न हुईं। सामान्य तौर पर, यह मोड कार्यक्षमता के मामले में सबसे लोकप्रिय और सबसे पूर्ण है। पारदर्शी मोड में, फ़ायरवॉल ने सही तरीके से काम नहीं किया।
वर्चुअल संदर्भों का उपयोग करने वाला मोड GNS3 में संभव है, लेकिन वर्चुअल मैक एड्रेस बनाने के कार्य को अक्षम करने के अधीन है, जो सिस्को एएसए के साथ काम करते समय कई परिदृश्यों को लागू करने की अनुमति नहीं देगा।
यदि आपका लक्ष्य यह सत्यापित करना है कि दो एएसए उपकरणों को एक विफलता क्लस्टर में विलय कर दिया गया है, तो आप जीएनएस 3 का उपयोग कर सकते हैं। हालाँकि, सक्रिय / स्टैंडबाय मोड के मामले में, स्विचिंग के दौरान क्लस्टर जोड़ी के माध्यम से ट्रैफ़िक नहीं जाएगा (विफलता के मामले में), और सभी मामलों में सक्रिय / सक्रिय के मामले में।
सक्रिय / स्टैंडबाय मोड के समान स्थिति निरर्थक इंटरफेस का उपयोग करते समय होती है। यदि सक्रिय इंटरफ़ेस विफल हो जाता है, तो कोई भी यातायात एएसए से नहीं गुजरेगा।

मैं ध्यान देता हूं कि परीक्षणों में उपयोग किए गए सभी कॉन्फ़िगरेशन वास्तविक उपकरणों पर परीक्षण किए गए थे और शिकायतों के बिना काम किया था।

शायद GNS3 में इसे या उस सिस्को एएसए ऑपरेटिंग मोड को पूरी तरह से लॉन्च करने के तरीके हैं, जिस स्थिति में आप एक्सपोज़र सत्र की व्यवस्था कर सकते हैं और इस ज्ञान को टिप्पणियों में साझा कर सकते हैं।

यदि यह समाधान किसी के लिए नया है, तो आप इसे आधिकारिक वेबसाइट पर जानना शुरू कर सकते हैं - और सिस्को नगेट्स अध्ययन के प्रसिद्ध लेखक से एक "छोटा" 40 मिनट का वीडियो भी देख सकते हैं, जो सिस्को परीक्षाओं की तैयारी के लिए है - जेरेमी सियोयारा।