Bei dieser Version gibt es mal wieder eine Reihe sehr interessanter Neuerungen. Produktiv würde ich so eine frische Software zwar meist nicht einsetzen, aber wenn die ersten Bugs erstmal raus sind, dann wird es sehr interessant.
Für welche ASAs gibt es die neue Software:
Alle Nutzer der “Legacy”-ASAs (das sind die 5510/20/40/50/80) kommen nicht mehr in den Genuss dieser Software. Für diese Geräte ist bei 9.1x Schluss. Für die 5505 ist diese Software allerdings verfügbar; diese ASA ist aber auch noch nicht EOS.
Die neuen Features:
Diese sind in den Release-Notes zur 9.2(x) aufgeführt. Sehr interessant finde ich die folgenden neuen Funktionen:
- Unterstützung der ASAv
- BGP Support
- Null0-Interface
- ISE Change of Authorization
- Embedded Event Manager (EEM)
- Auto-Enable
Die ASAv läuft unter VMware vSphere und kommt in der kleinsten Version mit einer vCPU und 2GB RAM aus. Das könnte gerade für den Lab-Einsatz sehr interessant werden. Ein paar Features der regulären ASA sind aber nicht unterstützt.
Danach wurde ich schon häufiger gefragt. Damit kann man sich jetzt in einigen Situationen den extra WAN-Router vor der ASA sparen.
Auf dem Router kann man ganze Netze in das Null0-Interface routen. Das kann jetzt auch die ASA.
Um für VPN-User eine geänderte Autorisierung erzwingen zu können wurde in einer ISE-Umgebung bisher ein ISE-Inline-Node verwendet. Der wird jetzt nicht mehr benötigt.
Ein aussergewöhnlich leistungsfähiges Tool um Aktionen zu automatisieren.
Jetzt kann man nach der Anmeldung direkt im Enable-Mode landen, ohne sich erneut authentifizieren zu müssen.
Insgesamt eine sehr interessante Erweiterung der ASA-Funktionalität. Ein paar Features auf die ich schon länger hoffe (z.B. RA-VPNs in Security-Kontexten oder FlexVPN) sind zwar immer noch nicht enthalten, aber ein paar Features muss sich Cisco ja auch für die nächsten Versionen lassen.