使用 VMware 部署 ASAv
- ASAv 的 VMware 功能支持
- ASAv 和 VMware 的先决条件
- ASAv 和 VMware 准则
- 解压缩 ASAv 软件并为 VMware 创建 Day 0 配置文件
- 使用 VMware vSphere Web 客户端部署 ASAv
- 使用 VMware vSphere 独立客户端和 Day 0 配置来部署 ASAv
- 使用 OVF 工具和 Day 0 配置来部署 ASAv
- 访问 ASAv 控制台
- 升级 vCPU 或吞吐量许可证
ASAv 的 VMware 功能支持
ASAv 的 VMware 功能支持 列出了 ASAv 的 Vmware 功能支持。
ASAv 和 VMware 的先决条件
您可以使用 VMware vSphere Web 客户端、vSphere 独立客户端或 OVF 工具部署 ASAv。有关系统要求,请参阅 思科 ASA 兼容性 。
对于 vSphere 交换机,您可以编辑第 2 层安全策略,并对 ASAv 接口使用的端口组应用安全策略例外。请参阅以下默认设置:
您可能需要为后面的 ASAv 配置修改这些设置。有关详细信息,请参阅 vSphere 文档。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ASAv 和 VMware 准则
选择 asav-vi.ovf 还是 asav-esxi.ovf 文件取决于部署目标:
对于故障切换部署,请确保备用设备具有相同的型号许可证;例如,两台设备均应为 ASAv30s。
首次使用 VMware vSphere Web 客户端部署 ASAv OVF 文件时,不能为管理接口指定 IPv6 地址;您可以在以后使用 ASDM 或 CLI 添加 IPv6 地址。
- ASAv OVF 部署不支持本地化(在非英语模式下安装组件)。请确保在 ASCII 兼容模式下在您的环境中安装 VMware vCenter 和 LDAP 服务器。
- 在安装 ASAv 之前,必须将键盘设置成美国英语,才能使用 VM 控制台。
- 分配给 ASAv 的内存大小专门针对吞吐量级别而定。除非您为不同的吞吐量级别申请许可证,否则不要在 编辑设置 (Edit Settings) 对话框中更改内存设置或任何 vCPU 硬件设置。调配不足可能会影响性能,过度调配会导致 ASAv 向您发出它将重新加载的警告;在等待期(对于 100-125% 过度调配为 24 小时;对于 125% 及更高过度调配为 1 小时)后,ASAv 将重新加载。
注意:如果需要更改内存或 vCPU 硬件设置,请仅使用 ASAv 的许可中记录的值。不要使用 VMware 建议的内存配置最小值、默认值和最大值。
请使用 ASAv show vm 和 show cpu 命令或者 ASDM 首页 (Home) > 设备控制面板 (Device Dashboard) > 设备信息 (Device Information) > 虚拟资源 (Virtual Resources) 选项卡或者 监控 (Monitoring) > 属性 (Properties) > 系统资源图 (System Resources Graphs) > CPU 窗格来查看资源分配以及任何过度调配或调配不足的资源。
解压缩 ASAv 软件并为 VMware 创建 Day 0 配置文件
在启动 ASAv 之前,您可以准备 Day 0 配置文件。此文件是包含将在 ASAv 启动时应用的 ASAv 配置的文本文件。此初始配置将放入您选择的工作目录中名为“day0-config”的文本文件,并写入首次启动时安装和读取的 day0.iso 文件。Day 0 配置文件必须至少包含将激活管理接口以及设置用于公钥身份验证的 SSH 服务器的命令,但它还可包含完整的 ASA 配置。该版本附带一个包含空 day0-config 的默认 day0.iso。day0.iso 文件(自定义 day0.iso 或默认 day0.iso)必须在首次启动过程中可用。
注意:要在初始部署过程中自动授权 ASAv,请将从思科智能软件管理器下载的智能许可身份 (ID) 令牌放入与 Day 0 配置文件处于同一目录且名为“idtoken”的文本文件。
注意: 如果要在透明模式下部署 ASAv,则必须在透明模式下将已知的运行 ASA 配置文件用作 Day 0 配置文件。这不适用于路由防火墙的 Day 0 配置文件。
注意: 我们在本示例中使用的是 Linux,但对于 Windows 也有类似的实用程序。
1.
从 Cisco.com 下载压缩文件,并将其保存到本地磁盘:
http://www.cisco.com/go/asa-software
2. 将该文件解压缩到工作目录。请勿删除该目录中的任何文件。其中包括以下文件:
–asav-vi.ovf - 适用于 vCenter 部署。
–asav-esxi.ovf - 适用于非 vCenter 部署。
–day0.iso - 包含 day0-config 文件和 idtoken 文件(可选)的 ISO。
–asav-vi.mf - 适用于 vCenter 部署的清单文件。
–asav-esxi.mf - 适用于非 vCenter 部署的清单文件。
3. 在名为“day0-config”的文本文件中输入 ASAv 的 CLI 配置。添加三个接口的接口配置和所需的任何其他配置。
第一行应以 ASA 版本开头。day0-config 应该是有效的 ASA 配置。生成 day0-config 的最佳方式是从现有的 ASA 或 ASAv 复制一个运行配置的所需部分。day0-config 中的行顺序很重要,应与现有的 show run 命令输出中看到的顺序相符。
4. (可选)将思科智能软件管理器发布的智能许可证身份令牌文件下载到您的 PC。
5. (可选)从下载文件复制 ID 令牌并将其放入仅包含 ID 令牌的名为“idtoken”的文本文件。
6. 通过将文本文件转换成 ISO 文件生成虚拟 CD-ROM:
7. 在 Linux 上计算 day0.iso 的新 SHA1 值:
8. 在工作目录的 asav-vi.mf 文件中包括新的校验和,并将 day0.iso SHA1 值替换为新生成的值。
使用 VMware vSphere Web 客户端部署 ASAv
本节介绍如何使用 VMware vSphere Web 客户端部署 ASAv。Web 客户端需要 vCenter。如果您不具有 vCenter,请参阅使用 VMware vSphere 独立客户端和 Day 0 配置来部署 ASAv或使用 OVF 工具和 Day 0 配置来部署 ASAv。
访问 vSphere Web 客户端并安装客户端集成插件
本节介绍如何访问 vSphere Web 客户端。本节还介绍如何安装客户端集成插件,该插件是访问 ASAv 控制台所必需的。Macintosh 不支持某些 Web 客户端功能(包括插件)。请参阅 VMware 网站获取完整的客户端支持信息。
1. 从浏览器启动 VMware vSphere Web 客户端:
https:// vCenter_server : port /vsphere-client/
2. (仅需一次)安装客户端集成插件,以便访问 ASAv 控制台。
a. 在登录屏幕中,点击 下载客户端集成插件 (Download the Client Integration Plug-in) 以下载插件。
c. 安装插件后,重新连接到 vSphere Web 客户端。
3. 输入用户名和密码,然后点击 登录 (Login) ,或选中 使用 Windows 会话身份验证 (Use Windows session authentication) 复选框(仅限 Windows)。
使用 VMware vSphere Web 客户端部署 ASAv
要部署 ASAv,请使用 VMware vSphere Web 客户端(或 vSphere 客户端)和开放式虚拟化格式 (OVF) 的模板文件。在 vSphere Web 客户端中使用“部署 OVF 模板”(Deploy OVF Template) 向导来部署 ASAv 的思科软件包。该向导将解析 ASAv OVF 文件,创建将运行 ASAv 的虚拟机,并安装软件包。
大多数向导步骤是 VMware 的标准步骤。有关部署 OVF 模板的更多信息,请参阅 VMware vSphere Web 客户端联机帮助。
在部署 ASAv 之前,您必须在 vSphere 中配置至少一个网络(用于管理)。
1. 从 Cisco.com 下载 ASAv 压缩文件,并将其保存到 PC:
http://www.cisco.com/go/asa-software
2. 在 vSphere Web 客户端的 Navigator 窗格中,点击 vCenter 。
3. 点击 主机和集群 (Hosts and Clusters) 。
4. 右键点击要部署 ASAv 的数据中心、集群或主机,然后选择部署 OVF 模板 (Deploy OVF Template)。
系统将显示 部署 OVF 模板 (Deploy OVF Template) 向导。
6. 在 设置网络 (Setup networks) 屏幕中,将网络映射到要使用的每个 ASAv 接口。
网络可能没有按字母顺序排序。如果很难找到您的网络,可以稍后在编辑设置 (Edit Settings) 对话框中更改网络。在部署后,右键点击 ASAv 实例,然后选择 编辑设置 (Edit Settings) 以访问 编辑设置 (Edit Settings) 对话框。但是,该屏幕不会显示 ASAv 接口 ID(仅显示网络适配器 ID)。请参阅下面的网络适配器 ID 和 ASAv 接口 ID 的索引:
您不需要使用所有 ASAv 接口;但是,vSphere Web 客户端要求为所有接口都分配网络。对于您不打算使用的接口,只需在 ASAv 配置中禁用该接口。在部署 ASAv 后,您可以返回到 vSphere Web 客户端以从编辑设置 (Edit Settings) 对话框中删除额外的接口。有关详细信息,请参阅 vSphere Web 客户端联机帮助。
注意:对于故障切换/HA 部署,GigabitEthernet 0/8 已预配置为故障切换接口。
7. 如果网络使用 HTTP 代理来访问互联网,则必须在 Smart Call Home 设置 (Smart Call Home Settings) 区域中配置智能许可的代理地址。此代理一般也用于 Smart Call Home。
8. 对于故障切换/HA 部署,请在 自定义模板 (Customize template) 屏幕中:
当您配置接口时,必须在相同网络上指定一个主用 IP 地址和一个备用 IP 地址。当主设备进行故障切换时,辅助设备会使用主设备的 IP 地址和 MAC 地址,并开始传送流量。此时处于备用状态的设备会接管备用 IP 地址和 MAC 地址。由于网络设备不会发现 MAC 与 IP 地址配对的变化,网络上的任意位置都不会发生 ARP 条目变化或超时。
–在 HA 连接设置 (HA Connection Settings) 区域中配置故障切换链路设置。
故障切换对中的两台设备会不断地通过故障切换链路进行通信,以便确定每台设备的运行状态。GigabitEthernet 0/8 已预配置为故障切换链路。输入同一网络上的链路的活动和备用 IP 地址。
9. 完成该向导后,vSphere Web 客户端将处理 VM;您可以在 全局信息 (Global Information) 区域的 最近任务 (Recent Tasks) 窗格中看到“初始化 OVF 部署 (Initialize OVF deployment)”状态。
完成后,您会看到部署 OVF 模板 (Deploy OVF Template) 完成状态。
然后在清单 (Inventory) 中的指定数据中心下会显示 ASAv VM 实例。
10. 如果 ASAv VM 尚未运行,请点击 启动虚拟机 (Power on the virtual machine) 。
等待 ASAv 启动,然后尝试与 ASDM 或控制台连接。当 ASAv 首次启动时,将读取通过 OVF 文件提供的参数,并将它们添加到 ASAv 系统配置中。然后将自动重启引导过程,直到正常运行。仅当首次部署 ASAv 时,才会出现双重启动过程。要查看启动消息,请点击 控制台 (Console) 选项卡来访问 ASAv 控制台。
11. 对于故障切换/HA 部署,重复此过程以添加备用设备。请参阅以下准则:
–输入与主设备 完全相同的 IP 地址设置 。除了用于标识设备是主设备还是备用设备的参数外,两个设备中的 bootstrap 配置相同。
注意: 要向思科许可颁发机构成功注册 ASAv,ASAv 需要访问互联网。部署之后可能需要执行其他配置才能实现互联网访问和成功注册许可证。
使用 VMware vSphere 独立客户端和 Day 0 配置来部署 ASAv
要部署 ASAv,请使用 VMware vSphere 客户端和开放式虚拟化格式 (OVF) 模板文件(asav-vi.ovf 适用于 vCenter 部署,asav-esxi.ovf 适用于非 vCenter 部署)。在 vSphere 客户端中使用“部署 OVF 模板”(Deploy OVF Template) 向导来部署 ASAv 的思科软件包。该向导将解析 ASAv OVF 文件,创建将运行 ASAv 的虚拟机,并安装软件包。
大多数向导步骤是 VMware 的标准步骤。有关“部署 OVF 模板”(Deploy OVF Template) 向导的更多信息,请参阅 VMware vSphere 客户端联机帮助。
- 在部署 ASAv 之前,您必须在 vSphere 中配置至少一个网络(用于管理)。
- 按照解压缩 ASAv 软件并为 VMware 创建 Day 0 配置文件中的步骤创建 Day 0 配置。
1. 启动 VMware vSphere 客户端,然后依次选择 文件 (File) > 部署 OVF 模板 (Deploy OVF Template) 。
此时将出现“部署 OVF 模板”(Deploy OVF Template) 向导。
2. 浏览至您将 asav-vi.ovf 文件解压缩到的工作目录,然后选择该文件。
3. 此时将显示“OVF 模板详细信息”(OVF Template Details) 页面。继续执行以下各个屏幕。如果您选择使用 Day 0 配置文件,则不必更改任何配置。
4. 最后一个屏幕会显示部署设置的摘要。点击 完成 (Finish) 以部署虚拟机。
5. 启动 ASAv,打开 Vmware 控制台,然后等待第二次启动。
6. 通过 SSH 连接到 ASAv 并完成所需的配置。如果 Day 0 配置文件中不具有您需要的所有配置,请打开 Vmware 控制台并完成必要的配置。
使用 OVF 工具和 Day 0 配置来部署 ASAv
- 使用 OVF 工具部署 ASAv 时需要 day0.iso 文件。您可以使用默认的空 day0.iso 文件(压缩文件中提供),也可以使用您生成的自定义 Day 0 配置文件。要创建 Day 0 配置文件,请参阅解压缩 ASAv 软件并为 VMware 创建 Day 0 配置文件。
- 确保 OVF 工具已安装在 Linux 或 Windows PC 上,并且已连接到您的目标 ESXi 或 vCenter 服务器。
4. 通过 SSH 连接到 ASAv 完成所需的配置。如果需要更多配置,请打开 VMware 控制台,进入 ASAv,并应用必要的配置。
访问 ASAv 控制台
对于 ASDM,在某些情况下可能需要使用 CLI 进行故障排除。默认情况下,您可以访问内置 VMware vSphere 控制台,也可以配置网络串行控制台,它具有更好的功能,包括复制和粘贴。
使用 VMware vSphere 控制台
对于初始配置或故障排除,从通过 VMware vSphere Web 客户端提供的虚拟控制台访问 CLI。您可以稍后为 Telnet 或 SSH 配置 CLI 远程访问。
对于 vSphere Web 客户端,安装客户端集成插件,该插件是访问 ASAv 控制台所必需的。
1. 在 VMware vSphere Web 客户端中,右键点击清单 (Inventory) 中的 ASAv 实例,然后选择 打开控制台 (Open Console) 。或者,您可以点击 摘要 (Summary) 选项卡上的 启动控制台 (Launch Console) 。
2. 点击控制台,然后按 Enter 键 。注意:按 Ctrl + Alt 可释放光标。
当 ASAv 首次启动时,将读取通过 OVF 文件提供的参数,并将它们添加到 ASAv 系统配置中。然后将自动重启引导过程,直到正常运行。仅当首次部署 ASAv 时,才会出现双重启动过程。
注意:在安装许可证之前,吞吐量限制为 100 kbps,以便您可以执行初步连接测试。需要安装许可证才能正常运行。在安装许可证之前,您还会看到以下消息在控制台上重复出现:
该提示符表明您正处于用户 EXEC 模式。用户 EXEC 模式仅能获取基本命令。
4. 按 Enter 键继续。默认情况下,密码为空。如果以前设置过启用密码,请输入该密码而不是按 Enter 键。
在特权 EXEC 模式中,所有非配置命令均可用。还可从特权 EXEC 模式进入配置模式。
要退出特权模式,请输入 disable 、 exit 或 quit 命令。
配置网络串行控制台端口
为获得更好的控制台体验,可以单独配置网络串行端口或连接到虚拟串行端口集中器 (vSPC) 进行控制台访问。有关每种方法的详细信息,请参阅 VMware vSphere 文档。在 ASAv 上,您必须将控制台输出发送到串行端口而不是虚拟控制台。本节介绍如何启用串行端口控制台。
1. 在 VMware vSphere 中配置网络串行端口。请参阅 VMware vSphere 文档。
2. 在 ASAv 上的 disk0 的根目录下创建一个名为“use_ttyS0”的文件。此文件不需要有任何内容;它只需在以下位置存在:
–在 ASDM 中,可以使用 工具 (Tools) > 文件管理 (File Management) 对话框上传该名称的空文本文件。
–在 vSphere 控制台中,您可以将文件系统中的现有文件(任何文件)复制为新名称。例如:
–在 ASDM 中依次选择 工具 (Tools) > 系统重新加载 (System Reload) 。
ASAv 停止发送到 vSphere 控制台,而是发送到串行控制台。
4. Telnet 到您在添加串行端口时指定的 vSphere 主机 IP 地址和端口号,或 Telnet 到 vSPC IP 地址和端口。
升级 vCPU 或吞吐量许可证
ASAv 使用吞吐量许可证,它会影响您可以使用的 vCPU 数量。
如果要增加(或减少)ASAv 的 vCPU 数量,您可以申请新许可证、应用新许可证,并在 VMware 中更改 VM 属性以匹配新值。
注意:分配的 vCPU 数量必须匹配 ASAv 虚拟 CPU 许可证或吞吐量许可证。RAM 也必须针对 vCPU 数量进行正确调整。升级或降级时,请务必按照此过程操作并立即调整许可证和 vCPU。如果存在持续不匹配,ASAv 无法正常工作。
2. 应用新许可证。对于故障切换对,将新许可证应用到两个设备。
–有故障切换 - 在 vSphere Web 客户端中,关闭 备用 ASAv。例如,点击 ASAv,然后点击 关闭虚拟机 (Power Off the virtual machine) ,或者右键点击 ASAv,然后选择 关闭访客操作系统 (Shut Down Guest OS) 。
–无故障切换 - 在 vSphere Web 客户端中,关闭 ASAv。例如,点击 ASAv,然后点击 关闭虚拟机 (Power Off the virtual machine) ,或者右键点击 ASAv,然后选择 关闭访客操作系统 (Shut Down Guest OS) 。
4. 点击 ASAv,然后点击 编辑虚拟机设置 (Edit Virtual machine settings) (或者右键点击 ASAv,然后选择 编辑设置 (Edit Settings) )。
系统将显示 编辑设置 (Edit Settings) 对话框。
5. 请参阅 ASAv 的许可中的 CPU/内存要求以确定新 vCPU 许可证的正确值。
6. 在 虚拟硬件 (Virtual Hardware) 选项卡上,从下拉列表中为 CPU 选择新值。
7. 对于 内存 (Memory) ,输入 RAM 的新值。
9. 打开 ASAv 的电源。例如,点击 启动虚拟机 (Power On the Virtual Machine) 。
- ASDM:依次选择 监控 (Monitoring) > 属性 (Properties) > 故障切换 (Failover) > 状态 (Status) ,然后点击 备用 (Make Standby) 。
反餽