GNS3のCisco ASA：考えられるシナリオと関連バグ

ハブ上のGNS3エミュレーターに関する記事が複数あります。特定の技術の研究。

GNS3の最近のバージョンでは、Cisco ASAなどのデバイスをエミュレートできるようになりました。 このデバイスは多機能ファイアウォールであり、さまざまなモード（ルーテッド/トランスペアレント、シングル/マルチコンテキスト）で動作し、フォールトトレラント構成（アクティブ/スタンバイ、アクティブ/アクティブ）などで使用できます。 この記事では、テスト結果と、GNS3でこのデバイスを仮想化するときにこの機能がどの程度完全にサポートされるかについての結論を示します。

この記事が、GNS3の特定のトポロジをエミュレートするかどうかを決定し、仮想環境でソリューションをデバッグする際の時間を節約するのに役立つことを願っています。

ソースデータ
テストは、次のツールを使用して実行されました。
1. Windows Server 2003 R2 Standard仮想マシン（Intel Xeon E5420 2.50GHz、4Gb RAM）;
2. GNS3エミュレーターv.0.7.4;
3. Cisco ASA 8.0 OSイメージ（2）;
4. Cisco ASDM 6.4のグラフィカルな管理および監視ツール（5）。
5. 3725ルーター用のCisco IOS OSイメージ（c3725-adventerprisek9-mz.124-25d）;
6. Cisco ACS 4.2アクセス制御サーバー。
7. 3CDaemonに基づくFTP、TFTP、syslogサーバー。

テストトポロジと検証技術は、CCIEセキュリティの準備のために、Internetwork Expert（INE）の最初のWBから取得されました。 タスクとテスト対象のテクノロジーの説明は省略し、結果のみを残します。

GNS3でCisco ASAを実行する方法の説明は、 英語のリンク、さらにはロシア語で見つけることができます。

テストトポロジと検証

1.動的ルーティング

最初のテストでは、Cisco ASAのファイアウォール（以降MEと呼びます）がルーテッドモードとシングルモード（仮想コンテキストサポートなし）で開始しました。
トポロジーは図に示されています：


これらのチェックの一環として、動的ルーティングプロトコル（RIP、OSPF、EIGRP）の動作、再配布、IP SLAトラッキングがチェックされました。
管理対象スイッチが必要な場合は、NM-16ESWモジュールを搭載したCisco 3725ルーターを使用しました。

NM-16ESWモジュールの使用時にサポートされていないL2機能のリストは、公式Webサイトで提供されています 。
コマンドラインインターフェイスは、Cisco Catalystスイッチとは少し異なります。 注意してください。

実際には、Cisco ASAをエミュレートするときにWB1 INEで説明されているタスクに問題はありませんでした。 そして一般的に、先を見据えて、現時点ではGNS3ではルーティング/シングルモードのみが多かれ少なかれ完全に機能すると言います。
しかし、すでにこの段階でいくつかの補助的なバグが発生しました。 おそらく「バグ」という言葉は、エミュレーション中に生じた困難やエラーを正確に反映していないかもしれませんが、分類の統一のために使用します。

バグ番号1。 デバイスの起動後にスイッチングが実行された場合に備えて、基本構成を設定した後にCisco ASAをリブートする必要があります。 そうでない場合、接続は確立されず、デバイスは相互に認識しませんでした。

バグ番号2。 一般に、これはバグではなく、基本的なGNS3設定の機能です。 なぜなら GNS3が起動されたマシンでは、Cisco ACS4.2がインストールされ、ポート2000-2002はACS自体を直接リッスンしました。 また、GNS3はデフォルトでルーターのコンソールポートとして2000以降のポートを使用するため、ルーターを追加するときにこれらのポートを変更する必要があることに注意してください。

バグ番号3。 GNS3をオフにしてからオンにした後、ルーター構成は保存されません。 このバグは、一部のIOSイメージのGNS3の古いバージョンで、特に3700シリーズルーターを使用している場合に観察されました。エミュレートされた画像に依存します。 一般的に、誰かが遭遇した場合、この方法でこの問題を解決しようとすることができます。

2.ネットワーク設定

2番目のテストでは、Cisco ASA MEもルーテッドシングルモードで実行しました。


このテストでは、アクセスリスト（ACL）の動作、さまざまなNATオプション（動的NAT、PAT、静的NAT、PAT、動的ポリシーNAT、静的ポリシーNAT、PAT、アイデンティティNAT、NAT免除、外部動的NAT）、 ASDM、DNS Doctoring機能、断片化されたトラフィックの処理、MEを介したBGP接続の受け渡し、マルチキャスト、NTPプロトコル操作、イベントロギング（syslog、SNMP）、DHCPサーバーとしてのME操作、トラフィックポリシングおよびシェーピング。

ASDM制御にはいくつかの問題がありました（GNS3でASDMを構成する方法に関するビデオの指示を見ることができます）。 ASDMをオンにすると、デバイスログは次のメッセージでブロックされます。
%ASA-5-402128: CRYPTO: An attempt to allocate a large memory block
failed, size: size, limit: limit
デバッグが少し複雑になります。 フィルタを使用するか、このメッセージのログを無効にすることもできます（ no logging message 402128 ）。

重大な欠陥のうち：
バグ番号4。 DHCPサーバーとしてのCisco ASA MEは、GNS3環境では機能しません。

3.トランスペアレントモードのCisco ASA

3番目のテストでは、透過モードでのMEの動作が確認されました。 トランスペアレントモードのASAは、より多くのインターフェイスを持つことができるにもかかわらず、データ転送に2つのインターフェイス（シングルモード）のみ（および制御トラフィック用の1つの専用インターフェイス）しか使用できません。


このモードでは、GNS3環境でのCisco ASAの本格的な動作はサポートされていません。 ルーターからチェックする場合、Mgmtインターフェイスを使用できますが、ファイアウォールで接続を確立しようとする試みが表示されるにもかかわらず、トラフィックはファイアウォールを通過しません。
実際、このため、ARPインスペクション、Ethertype ACL、トランスペアレントファイアウォールNATなどのメカニズムの動作を確認することはできませんでした。

バグ番号5。 Cisco ASAの透過モードは、GNS3環境ではサポートされていません。

4.仮想コンテキストモードのCisco ASA

このモードでは、CustomerA、CustomerBの2つの仮想コンテキストが作成されました。
CustomerAコンテキストで使用されるインターフェイス：E0 / 1.121（InsideA）、E0 / 2（DMZ）、E0 / 0（Outside）
CustomerBコンテキストで使用されるインターフェイス：E0 / 1.122（InsideB）、E0 / 2（DMZ）、E0 / 0（Outside）


DMZおよび外部インターフェイスは、コンテキスト間で共有されます。

GNS3では、このモードはmac-address auto （ no mac-address auto ）コマンドが無効になっている場合にのみサポートされます。 このコマンドは、各コンテキストの共有インターフェイスに仮想MACアドレスを生成します。 仮想MACは、適切なコンテキストで配信するパッケージを分類するための基準の1つです。 したがって、切断するときは、他の分類基準が使用されます（アクティブなNAT変換のエントリ）。
シナリオにネットワークアドレス変換の使用が含まれていない場合、いくつかのコンテキストで共有インターフェイスで同じIPとMAC​​を使用することはできません。

バグ番号6。 仮想コンテキストの使用は、 mac-address autoコマンドが無効になっている場合にのみ可能です。これにより、Cisco ASA MEの可能な展開シナリオに制限が課せられます。

5.アクティブ/スタンバイモードでのフェイルセーフ構成

このモードでは、1つのデバイスのみがアクティブになり、2番目のデバイスはパッシブ状態になります。 デバイスは、構成と接続状態のテーブルを相互に同期します。これにより、アクティブな部分に障害が発生した場合に、すでに確立されている接続が切断されません。


テスト中、ルーターR1はルーターR2へのtelnet接続を確立し、その後、障害をシミュレートしました（アクティブなMEに接続されたスイッチSW1のポートをオフにすることにより）。 論理的には、フェールオーバーペアが切り替えられ、telnet接続が引き続き機能するはずです。 ME間でステートフルリンクを設定しました。
ただし、GNS3仮想環境では、結果は異なります。 フェールオーバーペアの切り替えが発生しましたが、Telnetセッションが中断されました。 さらに、ファイアウォールを通過するトラフィックはまったく機能しなくなりました。 これは、アクティブな部分が変更されたという事実にもかかわらず、クラスターは最初のファイアウォールのMACアドレスでARP要求に応答し続けたという事実によるものです（ただし、パッシブモードに既に切り替えられています）。 クラスタペアの完全な再起動後、状況は変わりません。

バグ番号7。 アクティブデバイスをパッシブデバイスに切り替えた後、フェールオーバーモードのアクティブ/スタンバイのCisco ASAは、ARP要求への誤った応答により、トラフィックの通過を停止します。

私の知る限り、Cisco PIX 7バージョンをエミュレートするとき、この問題は発生しません。 したがって、必要に応じてこのソリューションを使用してください。

6.アクティブ/アクティブモードでのフェイルセーフ構成

このモードでは、両方のデバイスがアクティブです。 これはいくつかの仮想コンテキストを使用することで実現され、その一部はクラスターの一部でアクティブになり、一部は他でアクティブになります。


前の段落で説明したものと同様の検証が計画されました。 しかし、それは少し早く終わりました。 理由は次のとおりです。デバイスはクラスタに結合されますが、トラフィックは通過しません。 アクティブ/アクティブのフェールオーバー構成では、仮想MACアドレスが使用されます。

バグ番号8。 トラフィックは、アクティブ/アクティブフェールオーバーモードのCisco ASAクラスタを通過しません。

7.冗長インターフェース

最後のテストでは、Cisco ASAの冗長インターフェイスを使用してスキームを構築しました。これにより、複数の物理インターフェイスを論理インターフェイスに結合できます。 この場合、1つのインターフェイスのみがアクティブになり、2番目のインターフェイスは最初のインターフェイスが失敗した後にのみアクティブになります。


テストでは、アクティブなASAインターフェイスに接続されているスイッチポートが切断されました。 障害が検出された後、2番目のMEインターフェイスがアクティブになります。 ただし、GNS3環境では、MEはその部分でスイッチのポート切断を検出しなかったため、アイドルインターフェイスはアクティブ状態のままでした。

バグ番号9。 MEに隣接するデバイスで物理接続が失敗した場合、冗長インターフェイスの切り替えは発生しません。

結論

テストでは、GNS3環境でのすべてのCisco ASA動作モードが完全にサポートされているわけではないことが示されています。 ルーティングされたシングルモードモードを使用する場合、問題は最も少なくなりました。 一般的に、このモードは最も一般的であり、機能面で最も完全です。 透過モードでは、ファイアウォールは正しく機能しませんでした。
仮想コンテキストを使用するモードはGNS3で可能ですが、仮想MACアドレスを生成する機能を無効にする必要があります。これにより、Cisco ASAで作業する際に多くのシナリオを実装できなくなります。
2つのASAデバイスがフェールオーバークラスターにマージされていることを確認することが目標の場合、GNS3を使用できます。 ただし、アクティブ/スタンバイモードの場合、切り替え中（障害の場合）、すべての場合でアクティブ/アクティブの場合、トラフィックはクラスターペアを通過しません。
冗長インターフェイスを使用すると、アクティブ/スタンバイモードに似た状況が発生します。 アクティブインターフェイスに障害が発生した場合、トラフィックはASAを通過しません。

テストで使用されたすべての構成は、実際の機器でテストされ、苦情なしに機能したことに注意してください。

おそらく、これまたはGNS3でそのCisco ASA動作モードを完全に起動する方法があります。その場合、露出セッションを調整し、コメントでこの知識を共有できます。

このソリューションが誰かにとって新しいものである場合、公式Webサイトでそれを知ることができます。また、シスコ試験の準備をするCBT Nuggetsスタディガイドの有名な著者からの「小さな」40分のビデオを見ることができます。