思科 ASAv 简介

思科自适应安全虚拟设备 (ASAv) 可为虚拟环境提供完整的防火墙功能,从而确保数据中心流量和多租户环境的安全。

您可以使用 ASDM 或 CLI 管理和监控 ASAv。其他管理选项也可能可用。

ASAv 的先决条件

有关虚拟机监控程序支持的信息,请参阅 思科 ASA 兼容性

ASAv 准则

情景模式准则

仅支持单情景模式。不支持多情景模式。

故障切换准则

对于故障切换部署,请确保备用设备具有相同的型号许可证;例如,两台设备均应为 ASAv30s。

不支持的 ASA 功能

ASAv 不支持以下 ASA 功能:

  • 群集
  • 多情景模式
  • 主用/主用故障切换
  • EtherChannel
  • 共享 AnyConnect 高级许可证

ASAv5 的准则、功能和限制

  • 巨帧不受支持。
  • 部署在具有 1 GB 内存的 VMware、KVM 和 Hyper-V 上。

要在内存为 1 GB 的情况下运行,必须使用 9.5.1.200 或更高版本重新调配 ASAv5 虚拟机。只有运行 9.5.1.200 或更高版本的 ASAv 可以在内存为 1 GB 的情况下运行。如果尝试降级到以前的版本,则必须将内存增加至 2 GB。

  • 吞吐量为 100 Mbps。

在达到 100 Mbps 的阈值之后不久,ASAv5 将开始丢弃数据包(存在一些空余空间,以便您可以获得完整的 100 Mbps)。ASAv5 适用于要求内存占用较少且吞吐量较小的用户,使用户可以部署大量 ASAv5,而无需使用不必要的内存。

  • 支持每秒 8000 个连接、最多 25 个 VLAN、50,000 个并行会话和 50 个 VPN 会话。

ASAv 速率限制器

注意:ASAv 费率限制器实施 ASAv5 的吞吐量性能,并且提供了一些额外的空余空间,以便与授权和内置的实验室版本模式 ASAv 平台相匹配。

许可证授权 显示了与 ASAvs 的许可证授权相匹配的合规资源方案。

表 1 许可证授权

 

 

许可证授权

vCPU/RAM

吞吐量

实施速率限制器
实验室版本模式(无许可证)
所有平台
100 Kbps
ASAv5 (100M)
1vCPU/1 GB
100 Mbps
ASAv10 (1G)
1vCPU/2 GB
受限于 vCPU/RAM
ASAv30 (2G)
4vCPU/8 GB
受限于 vCPU/RAM

ASAv 状态和消息 显示了与 ASAv 的资源和授权相关的 ASAv 状态和消息。

表 2 ASAv 状态和消息

 

省/自治区

资源与授权比较

操作和消息
符合
资源 = 授权限制
(vCPU、GB、RAM)
设备的资源配备处于最佳状态
ASAv5(1 个 vCPU、1G)、ASAv10(1 个 vCPU、2G)、ASAv30(4 个 vCPU、8G)
无操作、无消息
资源 < 授权限制
调配不足
不执行任何操作,但是系统会记录关于 ASAv 无法以许可吞吐量运行的警告消息
不合规
资源 > 授权限制
过度调配
ASAv5 费率限制器参与限制性能并记录控制台上的警告消息。
ASAv10 和 ASAv30 在记录控制台上的错误消息后重新启动。

ASAv 的许可

ASAv 使用思科智能软件许可。有关详细信息,请参阅 适用于 ASAv 的智能软件许可

 

型号

许可证要求

ASAv5

标准许可证

请参阅以下规范:

  • 100 Mbps 吞吐量
  • 1 个 vCPU
  • 1 GB RAM
  • 50,000 个并行防火墙连接
  • 不支持 AWS

ASAv10

标准许可证

请参阅以下规范:

  • 1 Gbps 吞吐量
  • 1 个 vCPU
  • 2 GB RAM
  • 100,000 个并行防火墙连接
  • 在 c3.large 实例上支持 AWS

ASAv30

标准许可证

请参阅以下规范:

  • 2 Gbps 吞吐量
  • 4 个 vCPU
  • 8 GB RAM
  • 500,000 个并行防火墙连接
  • 在 c3.xlarge 实例上支持 AWS

注意:您必须在 ASAv 上安装智能许可证。在安装许可证之前,吞吐量限制为 100 kbps,以便您可以执行初步连接测试。需要安装智能许可证才能正常运行。

ASAv 接口和虚拟 NIC

作为虚拟化平台上的访客,ASAv 使用底层物理平台的网络接口。每个 ASAv 接口映射到一个虚拟 NIC (vNIC)。

ASAv 接

ASAv 包括以下千兆以太网接口:

  • Management 0/0
  • GigabitEthernet 0/0 到 0/8。请注意,如果将 ASAv 部署为故障切换对的成员,则 GigabitEthernet 0/8 将用于故障切换链路。
  • Hyper-V 最多支持八个接口。Management 0/0 和 GigabitEthernet 0/0 至 0/6。您可以将 GigabitEthernet 用作故障切换链路。

持的 vNIC

ASAv 支持以下 vNIC:

 

vNIC 类型

虚拟机监控程序支持

ASAv 版本

备注

VMware

KVM
e1000
9.2(1) 及更高版本
VMware 默认值。
Virtio
9.3(2.200) 及更高版本
KVM 默认值。