AWS 上に Cisco ASAv を起動する

記事タイトルとURLをコピーする

テック用語、叫ぶと強そうな技に聞こえる気がする SRE 2 課の手塚です。

「ネクスト・ジェネレーション・ファイアウォール!!」

さて、今回は ASAv を起動したので、この手順を紹介します。

ASAv とは?

  • Cisco Adaptive Security Virtual Appliance の略
  • ファイアウォール・VPN 製品です
  • 元々は ASA シリーズというロングセラーの物理アプライアンス製品があり、ASAv はこの仮想アプライアンス製品です
  • AWS 向け ASAv は AWS Marketplace から入手できます

検証構成

ASAv 設置前
ASAv 設置先のネットワークと SSH 踏み台サーバ (Bastion) を事前に用意します(手順は省略します)。 ASAv設置前

ASAv 設置後
図の一番左の端末から Bastion を経由し、ASAv の management からログインします。 ASAv設置後

尚、今回の ASAv 起動に必須なサブネットは管理用 (test-a001:10.1.1.0/24) のみです。 他のサブネットは、ファイアウォール・VPN 用のネットワークインターフェイス追加時に利用します。

使用した ASAv のバージョン

AWS Marketplace バージョン AMI ID 更新
Cisco Adaptive Security Virtual Appliance (ASAv) - BYOL Linux/Unix, Other 9.14.1.10 ami-0e00412dfd85bbf00 2020/07/10

メモ 2020/7 にバージョン 9.13 から 9.14 に更新されました。どちらもバージョンでも以降の手順は有効です。

New in version 9.14.1.10 and above: - 4xlarge: c5, c5n [ASAv100 throughput - 20G] - large, xlarge, 2xlarge: c5n Version 9.13 and above: [Flexible licensing: throughput - 100M/1G/2G/10G] - large, xlarge, 2xlarge: c3, c4, m4, c5 New in version 9.14.1.10 and above: Version 9.12 and below: [ASAv throughput - ASAv10-1G/ASAv20-2G] - large, xlarge: c3, c4, m4 Cisco Adaptive Security Virtual Appliance (ASAv) - BYOL

最大スループット 20 Gbps のファイヤウォール・VPN 装置をいつでも作成・削除できるとは、便利な時代になりました。

ASAv を起動する

AWS マネジメントコンソールから [EC2] > [インスタンス] > [インスタンスの作成] から開始します。

1 Amazon マシンイメージ(AMI)

  • 画面左の [AWS Marketplace] を開きます
  • "asav" で検索を行います
  • 次の 2 つの Cisco Adaptive Security Virtual Appliance (ASAv) が表示されるので、自身の適したものを選択します。
パッケージ 時間料金 ソフトウェアライセンス 備考
Standard Package ソフトウェア + EC2 時間料金に含まれる 特に制限なし
BYOL EC2 のみ 別途購入が必要 ライセンスのインストールまでスループットは 100 Kbps に制限される

メモ

You must install a smart license on the ASAv. Until you install a license, throughput is limited to 100 Kbps so you can perform preliminary connectivity tests. A smart license is required for regular operation. 参考: Cisco Adaptive Security Virtual Appliance (ASAv) Getting Started Guide, 9.13

2 インスタンスタイプの選択

ここでは c5.large を選択します。

メモ

  • ASAv バージョン 9.14 では現行世代のインスタンス C4/M4/C5/C5n を選択できますが、ネットワーク性能とコストパフォーマンス両方の観点より、現時点では C5/C5n 系に絞られると考えます
  • ちなみに本番環境の設置時は要件に AnyConnect Sessions: 10,000 があったため、c5.2xlarge を選択しました
  • 参考:

3 インスタンスの設定

次の設定とします。ユーザデータは設定しません。

設定 備考
ネットワーク 10.1.0.0/16 VPC CIDR
サブネット 10.1.0.0/24 プライベートサブネット
ネットワークインターフェイス > プライマリIP 10.1.1.10 management

メモ C5 系 EC2 インスタンスと ASAv のネットワークインターフェイス対応

EC2 ASAv 備考
eth0 Management0/0 上記で設定されるネットワークインターフェイス
eth1 TenGigabitEthernet0/0 今回は設定せず。初回起動時に追加可能
eth2 TenGigabitEthernet0/1 今回は設定せず。起動後に追加可能

4 ストレージの追加

デフォルトとします。

5 タグの追加

任意です。ここでは Name タグを追加します。

キー
Nama asav

6 セキュリティグループの設定

Bastion から ASAv の Management に SSH 接続を許可します。

設定
セキュリティグループの割り当て 新しいセキュリティグループを作成する
セキュリティグループ名 asav-management
説明 任意
タイプ プロトコル ポート範囲 ソース 説明
SSH TCP 22 カスタム: Bastion の sg-id 任意

7 インスタンス作成の確認

  • 設定を確認し、問題がなければ「起動」に進みます
  • 新しいキーペアを作成し、キーペアをダウンロードします。
設定
キーペア名 asav
  • 「インスタンスの起動」を実行します

メモ

  • 上記手順の通り、AWS マネジメントコンソール上でキーペアを作成した場合は該当しませんが、もしここで鍵長が 4096bit の公開鍵を選択した場合、ASAv への SSH 接続時に Permission denied (publickey,password). のエラーが発生します
  • もし 4096 bit の公開鍵を利用する場合、別途設定が必要です
The PKF key can be up to 4096 bits. Use PKF format for keys that are too large to for the ASA support of the Base64 format (up to 2048 bits). We introduced the following commands: ssh authentication. 参考: Chapter: Management Access

ASAv 初期設定

ログイン

  • Bastion 経由で ASAv に SSH でログインします
    • SSH ポートフォワーディングもしくは ssh-agent
  • ASAv の初期ユーザ名は admin です

コマンド モードについて

ここではユーザ モードと特権 EXEC モードについて説明します。

ユーザ モード

ログイン直後はユーザ モードと呼ばれる状態です。コマンドプロンプトに > が表示されます。

ciscoasa> 

ユーザ モードで可能な操作は限られるため、コンフィグ変更や保存を行うには、特権 EXEC モードへ移行します。

特権 EXEC モード

特権 EXEC モードはコンフィグ変更等が許可されたモードです。コマンドプロンプトに # が表示されます。

ciscoasa# 

特権 EXEC モードを利用するには、 ユーザ モードで enable コマンドを実行します。 また、初回 enable 時は、enable パスワードの登録が必要です。

ciscoasa> ena
The enable password is not set.  Please set it now.
Enter  Password: *****
Repeat Password: *****
Note: Save your configuration so that the password persists across reboots
("write memory" or "copy running-config startup-config").
ciscoasa# 

次回の enable 時より、上で設定したパスワードが必要です。

ciscoasa> enable
Password: *****
ciscoasa#

メモ ここで設定した enable パスワードはまだ_保存されていません。インスタンスの再起動でパスワードはクリアされるため、次のコンフィグ保存が必要です。

コンフィグ保存

enable パスワードを設定したので、ここで一度コンフィグを保存します。

コンフィグを保存するには、特権 EXEC モードで write コマンドを実行します。

ciscoasa# write
Building configuration...
Cryptochecksum: 3acdc299 c842ec6d 1d63b3fe 3e0a94d4 

7266 bytes copied in 0.60 secs
[OK]
ciscoasa# 

課題

今回は起動手順にフォーカスを当てたため、ファイアウォール・VPN 設定がありません。こちらは機会があれば。

まとめ

今回 AWS 上に ASAv を起動し、次の知見を得ました。

  • パッケージは 2 つ
    • Standard Packege: 即本番利用可能。ライセンス込み
    • BYOL: 即テスト可能。ライセンスインストールまで 100 Kbps のスループット制限あり
  • 検証・本番共 C5/C5n インスタンスから必要スペックに応じてタイプ選択
  • 初回起動時、公開鍵の鍵長は 2048 bit にする。AWS マネジメントコンソールで作成したキーペアであれば問題なし
  • 初回ログイン後はまずコンフィグ保存

それでは次回もよろしくお願いします。

参考

手塚 忠 (Tadashi Tetsuka) 記事一覧はコチラ

SRE2課所属。AWS認定8冠。前職はネットワークエンジニアで2019/2よりAWSエンジニアに転向。シリアルコンソールがマネジメントコンソールに変わったが、ネットワーク愛は今も変わらず。