La nouvelle version du code ASA 9.2.1 est disponible au téléchargement sur cisco.com, cette release apporte son lot de nouveautés et introduits également la version virtuelle : l’ASAv.
Quoi de neuf dans cette release :
- Disponibilité de l’ASA Virtuel (ASAv)
L’ASAv supporte l’ensemble des fonctions des boitiers ASA Physique à l’exception du multi contexte et du clustering
Dans cette première release il est fourni sous la forme d’un OVA pour l’environnement Vmware et dès cet été il sera supporté sur les autres hyperviseurs.
La puissance du système dépend bien sûr du serveur sur lequel il est installé mais aussi de la License en nombre de CPU (1 à 4)
- Amélioration des protocoles de routage et Support de BGPv4
L’ASA supporte maintenant BGPv4, BGPv4 est un protocôle qui permet l’échange des informations de routage inter ISP, le code BVGPv4 de l’ASA introduit toute une serie de commande CLI et est également configurable en mode graphique :
En plus de BGP il est maintenant possible de renvoyer une route statique vers une interface Null0, c’est typiquement utilisé pour le renvoyer certaines route vers un black hole.
Amélioration notable également coté OSPF avec le support des « Fast Hello Packet » ce qui permet ainsi une convergence plus rapide.
Toujours dans OSPF de nouveaux timers (timers lsa arrival, timers pacing, timers throttle) sont introduits.
Enfin pour terminer sur la redistribution des routes peut maintenant être filtrée via des ACLs :
A noter l’introduction de la redistribution d’OSPF dans BGP
- Amélioration du mode cluster
- Support de l’inter site clustering en mode spanned Etherchannel, on peut ainsi positionner le cluster en partage entre deux DC. Ce déploiement est supporté uniquement avec les ASA en mode transparent, le mode roté sera supporté dans une release Future.
- La release 9.2 permet maintenant d’avoir jusqu’à 16 ASA par cluster, vous pouvez par exemple avoir 32 ports Etherchannel actifs distribués entre deux Nexus 7000 (16 ports Etherchannel chaque). Le support d’Etherchannel à 16 ports nécessite les modules F2 sur les Nexus 7000.
- Validation de l’interoperabilité du nexus 9300 avec le cluster ASA
- Amélioration du support LACP avec des switches traditionnels.
- Amélioration du Remote Accès VPN
- Support du Change of Authorization (COA) pour l’intégration avec ISE
En environnement VPN pour faire de la posture avec ISE il fallait obligatoirement déployer une appliance en coupure (mode inline), avec l’introduction de CoA dans l’ASA, on peut maintenant utiliser une appliance traditionnel ISE quel que soit sa localisation géographique.
- Support de la compression coté serveur en mode Clientless
- Upgrade de la partie Open SSL en 1.0.1 e avec désactivation de l’option Hearbeat, l’ASA n’est ainsi pas vulnérable au bug Heartbleed
- Embedded event manager (EEM)
Il est maintenant possible d’ecrire des scripts EEM tel qu’on les supportait déjà dans les commutateurs IOS. Ainsi par exemple sur un évènement Syslog on peut automatiquement lancer des commandes CLI :
- Support de 128 hosts SNMP qui peuvent interroger l’ASA en simultanés
- Taille des messages SNMP supportés augmentés à 1472 octets
- Ajout d’une MIB pour monitorer l’usage des « licenses Shared ».
Pour plus de détails veuillez consulter la release notes sur Cisco.com
Liens :
1 commentaires
Bravo pour cet excellent article.
Petite précision pour le lien “Release Notes”: il a été remplacé par “http://www.cisco.com/c/en/us/td/docs/security/asa/asa92/release/notes/asarn92.html”