CiscoのASA 5500-Xシリーズは、お馴染みのASA OS(Cisco Adaptive Security Appliance Software)とFTD(FirePOWER Threat Defence)の2種類のOSをサポートしています。
FTDは、もともとCiscoが買収したSourcefire社の製品をベースにして作られたものです。いわゆるNGFW製品になります。Cisco社は、10年ほど前から徐々にASA OSからFTD/FirePOWERにシフトしてきているのですが、シンプルなVPN構築だけでしたら、ASA OSでも十分かもしれません。
そのため、FTDがインストール済みのASAハードウェアを、ASA OS化する需要が時々あります。FTDからASA OSへの切り替えは、イメージファイルをtftpでコピーするだけで良いわけではありません。FTDはLinuxベースのOSなので、そもそも使用しているファイルシステムがASA OSと異なります(ASA OSは、FAT32ファイルシステムを採用しています)。そのため、1回フォーマットしないと、切り替えができないわけです。
ここでは、FTDからASA OSに変更するための手順を記載します。前提及び注意事項はこちらになります:
- Ciscoデバイスの接続方法(コンソールケーブルやTera Termなどのターミナルソフトの使い方)は省略します
- TFTPサーバの構築方法は省略します
- rommon操作、Cisco IOSやASA OSの一般的なコマンドを理解している方を対象としています
1. FTDの削除
まずは、既存のFTDを完全に削除します。rommonで操作するので、FTDのログインパスワードを知らなくても問題ありません。
ASAハードウェアを起動します。すでに起動している場合再起動します。
Cisco Systems ROMMON, Version 1.1.8, RELEASE SOFTWARE
Copyright (c) 1994-2015 by Cisco Systems, Inc.
Compiled Thu 06/18/2015 12:15:56.43 by builders
Current image running: Boot ROM1
Last reset cause: PowerCycleRequest
DIMM Slot 0 : Present
Platform ASA5506 with 4096 Mbytes of main memory
MAC Address: 04:62:73:a8:58:65
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.ブート中に、「Use BREAK or ESC to interrupt boot.」が表示されたらESCキーでrommonに入ります。
rommonでeraseコマンドを実行してdisk0を削除します。
※eraseを実行すると、今までのFTDが完全に削除されますので、必要に応じて事前にバックアップしておいてください。また、削除には数分かかります。
rommon 1 > dev
Devices in device table:
id name
disk0: On-board solid-state storage
disk1: External USB drive
rommon 2 > erase disk0:
erase: Erasing 7583 MBytes ...................................................
..............................................................................
..............................................................................
..............................................................................
rommon 3 >2. ASA OSイメージで起動する
ASAハードウェアの管理ポート(GE MGMTポート)を、TFTPサーバと同じネットワークに接続します。そして、rommonでIPアドレス等を設定します。
rommon 3 > address 192.168.1.188
rommon 4 > netmask 255.255.255.0
rommon 5 > gateway 192.168.1.1
rommon 6 > server 192.168.1.132
rommon 7 > file asa9-16-4-71-lfbff-k8.SPA
設定後、setコマンドで設定を確認したり、pingコマンドで疎通を確認したりできます。
rommon 8 > set
ADDRESS=192.168.1.188
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
SERVER=192.168.1.132
IMAGE=asa9-16-4-71-lfbff-k8.SPA
CONFIG=
PS1="rommon ! > "
MASK=255.255.255.0
rommon 9 > ping 192.168.1.1
Sending 10, 32-byte ICMP Echoes to 192.168.1.1 timeout is 4 seconds
!!!!!!!!!!
Success rate is 100 percent (10/10)確認できたら、tftpdnldコマンドでTFTPサーバ上のASA OSイメージを読み込んで、システムを起動します。ここで注意してほしいのは、このコマンドは実際にASA OSのイメージをローカルのフラッシュメモリにダウンロードしません。あくまでもリモートブート(TFTPブート)になります。
rommon 10 > tftpdnld
ADDRESS: 192.168.1.188
NETMASK: 255.255.255.0
GATEWAY: 192.168.1.1
SERVER: 192.168.1.132
IMAGE: asa9-16-4-71-lfbff-k8.SPA
MACADDR: 04:62:73:a8:58:65
VERBOSITY: Progress
RETRY: 40
PKTTIMEOUT: 7200
BLKSIZE: 1460
CHECKSUM: Yes
PORT: GbE/1
PHYMODE: Auto Detect
Receiving asa9-16-4-71-lfbff-k8.SPA from 192.168.1.132!!!!!!!!!!!!
...3. ASA OSでのフォーマットとイメージダウンロード
ASA OS起動後、設定画面に入るかのプロンプトが表示されますが、noでパスします。
Pre-configure Firewall now through interactive prompts [yes]? no特権モードに切り替え、適当にenableパスワードを設定します。
ciscoasa> en
The enable password is not set. Please set it now.
Enter Password: *****
Repeat Password: *****
Note: Save your configuration so that the password persists across reboots
("write memory" or "copy running-config startup-config").
ciscoasa#disk0をフォーマットします。
ciscoasa# format disk0:
Format operation may take a while. Continue? [confirm]
Format operation will destroy all data in "disk0:". Continue? [confirm]
Initializing partition - done!
Creating FAT32 filesystem
mkfs.fat 4.1 (2017-01-24)
System tables written to disk
Format of disk0 complete管理I/FのIPアドレスを設定します。
ciscoasa# configure terminal
ciscoasa(config)# interface management 1/1
ciscoasa(config-if)# nameif management
INFO: Security level for "management" set to 0 by default.
ciscoasa(config-if)# ip address 192.168.1.188 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# route management 0.0.0.0 0.0.0.0 192.168.1.1ASA OSのイメージをダウンロードします。
ciscoasa# copy tftp://192.168.1.132/asa9-16-4-71-lfbff-k8.SPA disk0:
Address or name of remote host [192.168.1.132]?
Source filename [asa9-16-4-71-lfbff-k8.SPA]?
Destination filename [asa9-16-4-71-lfbff-k8.SPA]?
Accessing tftp://192.168.1.132/asa9-16-4-71-lfbff-k8.SPA...!!!!4. 設定の保存
起動イメージの設定をします。また、もしもconfig-registerが設定されていると設定が反映されないので、消しておきます。
ciscoasa# configure terminal
ciscoasa(config)# no config-register
ciscoasa(config)# boot system disk0:/asa9-16-4-71-lfbff-k8.SPA最後の設定を保存し再起動します。
ciscoasa(config)# write memory
Building configuration...
Cryptochecksum: de840e4a 527fa8f4 5beb9931 790695f3
3693 bytes copied in 0.370 secs
[OK]
ciscoasa# reload
Proceed with reload? [confirm]5. ライセンスキーの投入
ASA OSでは、ライセンスキーなしだと「Basic License」となり、基本的な機能が利用できます。
ciscoasa# show activation-key
Serial Number: AAA1234567X
Running Permanent Activation Key: 0x00000000 0x00000000 0x00000000 0x00000000 0x00000000
The Running Activation Key is not valid, using default settings:
The Running Activation Key feature: 2 security contexts exceed the limit on the platform, reduced to 0 security contexts.
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 5 perpetual
Inside Hosts : Unlimited perpetual
Failover : Disabled perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Disabled perpetual
Carrier : Disabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 10 perpetual
Total VPN Peers : 12 perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
Shared License : Disabled perpetual
Total TLS Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Cluster : Disabled perpetual
This platform has a Base license.
Failed to retrieve flash permanent activation key.
The flash permanent activation key is the SAME as the running permanent key.シリアル番号さえあれば、Cisco Software Centralより無料で3DESのライセンスを取得できます。3DESがあればVPNなどの基本機能の利用に困らないと思います。ライセンスキーは、メールで届きますので、そのまま投入します。
ciscoasa# configure terminal
ciscoasa(config)# activation-key abcd1234 abcd1234 abcd1234 abcd1234 abcd1234
Validating activation key. This may take a few minutes...
Failed to retrieve permanent activation key.
Both Running and Flash permanent activation key was updated with the requested key.ライセンスキー投入後、再度利用できる機能を確認すると、Encryption-3DES-AESがEnabledになっていることを確認できます。
ciscoasa# show activation-key
Serial Number: AAA1234567X
Running Permanent Activation Key: 0xabcd1234 0xabcd1234 0xabcd1234 0xabcd1234 0xabcd1234
The Running Activation Key feature: 2 security contexts exceed the limit on the platform, reduced to 0 security contexts.
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 5 perpetual
Inside Hosts : Unlimited perpetual
Failover : Disabled perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Carrier : Disabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 10 perpetual
Total VPN Peers : 12 perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
Shared License : Disabled perpetual
Total TLS Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Cluster : Disabled perpetual
This platform has a Base license.
The flash permanent activation key is the SAME as the running permanent key.