テック用語、叫ぶと強そうな技に聞こえる気がする SRE 2 課の手塚です。
「ネクスト・ジェネレーション・ファイアウォール!!」
さて、今回は ASAv を起動したので、この手順を紹介します。
ASAv とは?
- Cisco Adaptive Security Virtual Appliance の略
- ファイアウォール・VPN 製品です
- 元々は ASA シリーズというロングセラーの物理アプライアンス製品があり、ASAv はこの仮想アプライアンス製品です
- AWS 向け ASAv は AWS Marketplace から入手できます
検証構成
ASAv 設置前
ASAv 設置先のネットワークと SSH 踏み台サーバ (Bastion) を事前に用意します(手順は省略します)。
ASAv 設置後
図の一番左の端末から Bastion を経由し、ASAv の management からログインします。
尚、今回の ASAv 起動に必須なサブネットは管理用 (test-a001:10.1.1.0/24) のみです。 他のサブネットは、ファイアウォール・VPN 用のネットワークインターフェイス追加時に利用します。
使用した ASAv のバージョン
| AWS Marketplace | バージョン | AMI ID | 更新 |
|---|---|---|---|
| Cisco Adaptive Security Virtual Appliance (ASAv) - BYOL | Linux/Unix, Other 9.14.1.10 | ami-0e00412dfd85bbf00 | 2020/07/10 |
メモ 2020/7 にバージョン 9.13 から 9.14 に更新されました。どちらもバージョンでも以降の手順は有効です。
New in version 9.14.1.10 and above: - 4xlarge: c5, c5n [ASAv100 throughput - 20G] - large, xlarge, 2xlarge: c5n Version 9.13 and above: [Flexible licensing: throughput - 100M/1G/2G/10G] - large, xlarge, 2xlarge: c3, c4, m4, c5 New in version 9.14.1.10 and above: Version 9.12 and below: [ASAv throughput - ASAv10-1G/ASAv20-2G] - large, xlarge: c3, c4, m4 Cisco Adaptive Security Virtual Appliance (ASAv) - BYOL
最大スループット 20 Gbps のファイヤウォール・VPN 装置をいつでも作成・削除できるとは、便利な時代になりました。
ASAv を起動する
AWS マネジメントコンソールから [EC2] > [インスタンス] > [インスタンスの作成] から開始します。
1 Amazon マシンイメージ(AMI)
- 画面左の [AWS Marketplace] を開きます
- "asav" で検索を行います
- 次の 2 つの Cisco Adaptive Security Virtual Appliance (ASAv) が表示されるので、自身の適したものを選択します。
| パッケージ | 時間料金 | ソフトウェアライセンス | 備考 |
|---|---|---|---|
| Standard Package | ソフトウェア + EC2 | 時間料金に含まれる | 特に制限なし |
| BYOL | EC2 のみ | 別途購入が必要 | ライセンスのインストールまでスループットは 100 Kbps に制限される |
メモ
You must install a smart license on the ASAv. Until you install a license, throughput is limited to 100 Kbps so you can perform preliminary connectivity tests. A smart license is required for regular operation. 参考: Cisco Adaptive Security Virtual Appliance (ASAv) Getting Started Guide, 9.13
2 インスタンスタイプの選択
ここでは c5.large を選択します。
メモ
- ASAv バージョン 9.14 では現行世代のインスタンス C4/M4/C5/C5n を選択できますが、ネットワーク性能とコストパフォーマンス両方の観点より、現時点では C5/C5n 系に絞られると考えます
- ちなみに本番環境の設置時は要件に AnyConnect Sessions: 10,000 があったため、c5.2xlarge を選択しました
- 参考:
3 インスタンスの設定
次の設定とします。ユーザデータは設定しません。
| 設定 | 値 | 備考 |
|---|---|---|
| ネットワーク | 10.1.0.0/16 | VPC CIDR |
| サブネット | 10.1.0.0/24 | プライベートサブネット |
| ネットワークインターフェイス > プライマリIP | 10.1.1.10 | management |
メモ C5 系 EC2 インスタンスと ASAv のネットワークインターフェイス対応
| EC2 | ASAv | 備考 |
|---|---|---|
| eth0 | Management0/0 | 上記で設定されるネットワークインターフェイス |
| eth1 | TenGigabitEthernet0/0 | 今回は設定せず。初回起動時に追加可能 |
| eth2 | TenGigabitEthernet0/1 | 今回は設定せず。起動後に追加可能 |
4 ストレージの追加
デフォルトとします。
5 タグの追加
任意です。ここでは Name タグを追加します。
| キー | 値 |
|---|---|
| Nama | asav |
6 セキュリティグループの設定
Bastion から ASAv の Management に SSH 接続を許可します。
| 設定 | 値 |
|---|---|
| セキュリティグループの割り当て | 新しいセキュリティグループを作成する |
| セキュリティグループ名 | asav-management |
| 説明 | 任意 |
| タイプ | プロトコル | ポート範囲 | ソース | 説明 |
|---|---|---|---|---|
| SSH | TCP | 22 | カスタム: Bastion の sg-id | 任意 |
7 インスタンス作成の確認
- 設定を確認し、問題がなければ「起動」に進みます
- 新しいキーペアを作成し、キーペアをダウンロードします。
| 設定 | 値 |
|---|---|
| キーペア名 | asav |
- 「インスタンスの起動」を実行します
メモ
- 上記手順の通り、AWS マネジメントコンソール上でキーペアを作成した場合は該当しませんが、もしここで鍵長が 4096bit の公開鍵を選択した場合、ASAv への SSH 接続時に
Permission denied (publickey,password).のエラーが発生します - もし 4096 bit の公開鍵を利用する場合、別途設定が必要です
The PKF key can be up to 4096 bits. Use PKF format for keys that are too large to for the ASA support of the Base64 format (up to 2048 bits). We introduced the following commands: ssh authentication. 参考: Chapter: Management Access
ASAv 初期設定
ログイン
- Bastion 経由で ASAv に SSH でログインします
- SSH ポートフォワーディングもしくは ssh-agent
- ASAv の初期ユーザ名は
adminです
コマンド モードについて
ここではユーザ モードと特権 EXEC モードについて説明します。
ユーザ モード
ログイン直後はユーザ モードと呼ばれる状態です。コマンドプロンプトに > が表示されます。
ciscoasa>
ユーザ モードで可能な操作は限られるため、コンフィグ変更や保存を行うには、特権 EXEC モードへ移行します。
特権 EXEC モード
特権 EXEC モードはコンフィグ変更等が許可されたモードです。コマンドプロンプトに # が表示されます。
ciscoasa#
特権 EXEC モードを利用するには、 ユーザ モードで enable コマンドを実行します。
また、初回 enable 時は、enable パスワードの登録が必要です。
ciscoasa> ena
The enable password is not set. Please set it now.
Enter Password: *****
Repeat Password: *****
Note: Save your configuration so that the password persists across reboots
("write memory" or "copy running-config startup-config").
ciscoasa#
次回の enable 時より、上で設定したパスワードが必要です。
ciscoasa> enable Password: ***** ciscoasa#
メモ ここで設定した enable パスワードはまだ_保存されていません。インスタンスの再起動でパスワードはクリアされるため、次のコンフィグ保存が必要です。
コンフィグ保存
enable パスワードを設定したので、ここで一度コンフィグを保存します。
コンフィグを保存するには、特権 EXEC モードで write コマンドを実行します。
ciscoasa# write Building configuration... Cryptochecksum: 3acdc299 c842ec6d 1d63b3fe 3e0a94d4 7266 bytes copied in 0.60 secs [OK] ciscoasa#
課題
今回は起動手順にフォーカスを当てたため、ファイアウォール・VPN 設定がありません。こちらは機会があれば。
まとめ
今回 AWS 上に ASAv を起動し、次の知見を得ました。
- パッケージは 2 つ
- Standard Packege: 即本番利用可能。ライセンス込み
- BYOL: 即テスト可能。ライセンスインストールまで 100 Kbps のスループット制限あり
- 検証・本番共 C5/C5n インスタンスから必要スペックに応じてタイプ選択
- 初回起動時、公開鍵の鍵長は 2048 bit にする。AWS マネジメントコンソールで作成したキーペアであれば問題なし
- 初回ログイン後はまずコンフィグ保存
それでは次回もよろしくお願いします。
参考
- Cisco Adaptive Security Virtual Appliance (ASAv) - BYOL
- Cisco Adaptive Security Virtual Appliance (ASAv) Getting Started Guide, 9.14
- Amazon EC2 料金表
- Chapter: Management Access
手塚 忠 (Tadashi Tetsuka) 記事一覧はコチラ
カスタマーサクセス部所属、2019 年 2 月入社のネットワークエンジニア。シリアルコンソールがマネジメントコンソールに変わったが、スイッチ愛は今も変わらず。 2023 Japan AWS Top Engineers (Networking), 2023 AWS ALL Certifications Engineers
