Segurança e VPN : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.x e Superior: Exemplo de Configuração de Contextos Múltiplos

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (20 Fevereiro 2009) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Informações de Apoio
      Arquivos de Configuração de Contexto
      Acesso de Gerenciamento aos Contextos de Segurança
Configuração
      Diagrama de Rede
      Ativação ou Desativação do Modo de Contextos Múltiplos
      Configuração de um Contexto de Segurança
      ASA 8.x - Configuração do Espaço de Execução do Sistema
      Alteração entre Contextos e Espaço de Execução do Sistema
      ASA - Configuração de Context1
      ASA - Configuração de Context2
      Gravação das Alterações de Configuração no Modo de Contextos Múltiplos
Verificação
Troubleshooting
      Restauração do Modo de Contexto Único
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve os passos usados para configurar contextos múltiplos em security appliances.

Você pode particionar um único security appliance em vários dispositivos virtuais, conhecidos como contextos de segurança. Cada contexto é um dispositivo independente, com a sua própria política de segurança, interfaces e administradores. Os contextos múltiplos são semelhantes a vários dispositivos autônomos. Muitos recursos possuem suporte no modo de contextos múltiplos, o que inclui tabelas de roteamento, recursos de firewall, IPS e gerenciamento. Não há suporte a alguns recursos, incluindo VPN e protocolos de roteamento dinâmico.

Você pode usar contextos de segurança múltiplos nestas situações:

  • Você é um provedor de serviços e deseja vender serviços de segurança para muitos clientes. Ao ativar contextos de segurança múltiplos no security appliance, você poderá implementar uma solução de economia de espaço de baixo custo que mantém todo o tráfego de clientes separado e protegido, além de facilitar a configuração.

  • Você é uma grande corporação ou um campus de universidade e deseja manter seus departamentos completamente separados.

  • Você é uma corporação que deseja fornecer políticas de segurança distintas a diferentes departamentos.

  • Você possui uma rede que necessite de mais de um security appliance.

Nota: No modo de contextos múltiplos, você pode atualizar ou fazer o downgrade do software PIX/ASA somente no modo System EXEC, mas não em outros modos de contexto.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento baseiam-se nestas versões de software e hardware:

  • Cisco 5500 Series Adaptive Security Appliance com a versão 7.x ou posterior do software.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser usada com o Cisco PIX 500 Series Security Appliance versão 7.x ou posterior.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Arquivos de Configuração de Contexto

Configurações de Contexto

O security appliance inclui uma configuração para cada contexto que identifica a política de segurança, interfaces e quase todas as opções que você pode configurar em um dispositivo autônomo. Você pode armazenar configurações de contexto na memória flash interna ou em um cartão de memória flash externo, ou pode baixá-las de um servidor TFTP, FTP, ou HTTP(S).

Configuração do Sistema

O administrador do sistema adiciona e gerencia contextos pela configuração de cada local de configuração do contexto, interfaces alocadas e outros parâmetros operacionais de contexto na configuração do sistema, que, como uma configuração de modo único, é a configuração de inicialização. A configuração do sistema identifica as configurações básicas para o security appliance. A configuração do sistema não inclui interfaces de rede ou configurações de rede para si. Em vez disso, quando o sistema precisa acessar recursos de rede (como downloads de contexto do servidor), ele usa um dos contextos projetados como o contexto admin. A configuração do sistema não inclui uma interface de failover especializada somente para tráfego de failover.

Configuração do Contexto Admin

O contexto admin é como qualquer outro contexto, exceto que quando um usuário faz login no contexto admin, ele possui direitos de administrador do sistema e pode acessar o sistema e todos os outros contextos. O contexto admin não possui restrições e pode ser usado como um contexto normal, mas, como o login no contexto admin concede privilégios de administrador sobre todos os contextos, é necessário restringir o acesso ao contexto admin aos usuários apropriados. O contexto admin deve residir na memória flash, e não remotamente.

Se o seu sistema já estiver no modo de contextos múltiplos, ou se você converter do modo único, o contexto admin será criado automaticamente como um arquivo na memória flash interna chamado admin.cfg. Esse contexto é chamado "admin". Se você não desejar usar admin.cfg como o contexto admin, você poderá alterar o contexto admin.

Acesso de Gerenciamento aos Contextos de Segurança

O security appliance fornece acesso de administrador do sistema no modo de contextos múltiplos, bem como acesso para administradores de contexto individuais. Estas seções descrevem o login como um administrador de sistema ou como um administrador de contexto.

Acesso de Administrador de Sistema

Você pode acessar o security appliance como um administrador de sistema de duas formas:

  • Acessar o console do security appliance.

    No console, acessar o espaço de execução do sistema.

  • Acessar o contexto admin com Telnet, SSH, ou ASDM.

    Consulte "Gerenciando Acesso ao Sistema", para ativar o acesso Telnet, SSH e SDM.

Como administrador de sistema, você pode acessar todos os contextos.

Quando você altera um contexto de admin ou do sistema, o seu nome de usuário é alterado para o nome de usuário padrão "enable_15". Se você configurou a autorização de comandos nesse contexto, você precisará configurar os privilégios de autorização para o usuário "enable_15", ou poderá fazer login com um nome diferente para o qual você tenha fornecido privilégios suficientes na configuração de autorização de comandos para o contexto. Para fazer login com um nome de usuário, execute o comando de login. Por exemplo, você pode fazer login no contexto admin com o nome de usuário "admin". O contexto admin não possui qualquer configuração de autorização de comandos, mas todos os outros contextos incluem autorização de comandos. Para conveniência, cada configuração de contexto inclui um usuário "admin" com o máximo de privilégios. Quando você altera do contexto admin para context A, o seu nome de usuário é alterado de forma que você deverá fazer login novamente como "admin" com o comando de login. Quando você altera para context B, você deve inserir novamente o comando para fazer login como "admin".

O espaço de execução do sistema não oferece suporte a comandos de AAA, mas você pode configurar a sua própria senha de modo enable, bem como os nomes de usuário no banco de dados local para fornecer logins individuais.

Acesso do Administrador de Contexto

Você pode acessar um contexto com Telnet, SSH, ou ASDM. Se fizer login em um contexto não-admin, você poderá acessar somente a configuração deste contexto. Você pode fornecer logins individuais para o contexto.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

multiple-context1.gif

Ativação ou Desativação do Modo de Contextos Múltiplos

O seu security appliance possivelmente já está configurado para contextos de segurança múltiplos dependendo de como você o encomendou da Cisco, mas se você fizer uma atualização, talvez seja necessário converter do modo único para o modo múltiplo. Esta seção explica os procedimentos para atualização. O ASDM não oferece suporte à alteração de modos. Portanto, você precisa alterar os modos com a CLI.

Quando você converte do modo único para o modo múltiplo, o security appliance converte a configuração em execução em dois arquivos. A configuração de inicialização original não é salva. Portanto, ela difere da configuração em execução. Você deve fazer um backup antes de prosseguir.

Ativação do Modo de Contextos Múltiplos

O modo de contexto (único ou múltiplo) não é armazenado no arquivo de configuração, apesar de ele sofrer reinicializações. Se você precisar copiar a sua configuração para outro dispositivo, defina o modo no novo dispositivo para correspondência ao comando mode.

Quando você converte do modo único para o modo múltiplo, o security appliance converte a configuração em execução em dois arquivos: uma nova configuração de inicialização que consiste na configuração do sistema e admin.cfg que consiste no contexto admin (no diretório raiz da memória flash interna). A configuração em execução original é salva como old_running.cfg (no diretório raiz da memória flash interna). A configuração de inicialização original não é salva. O security appliance adiciona automaticamente uma entrada para o contexto admin na configuração do sistema com o nome "admin".

Para ativar o modo múltiplo, insira este comando:

hostname(config)# mode multiple

Você será solicitado a reinicializar o security appliance.

CiscoASA(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash

The admin context configuration will be written to flash

The new running configuration file was written to flash
Security context mode: multiple

***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
***   change mode

Rebooting....

Booting system, please wait...
*
*
!--- Saída suprimida.

*
*
INFO: Admin context is required to get the interfaces
*** Output from config line 20, "arp timeout 14400"
Creating context 'admin'... Done. (1)
*** Output from config line 23, "admin-context admin"

Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a

*** Output from config line 25, "  config-url flash:/admi..."

Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061c
Type help or '?' for a list of available commands.
CiscoASA>

Após a reinicialização, esta será a configuração padrão do ASA:

Configuração Padrão do ASA 8.x

CiscoASA# show running-config
: Saved
:
ASA Version 8.0(2) <system>
!
hostname CiscoASA
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0/0
shutdown
!
interface Ethernet0/1
shutdown
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
no failover
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
   config-url disk0:/admin.cfg
!
!--- O contexto de admin será criado
!--- por padrão assim que você ativar
!--- o modo múltiplo.


prompt hostname context
Cryptochecksum:410be16e875b7302990a831a5d91aefd
: end

Configuração de um Contexto de Segurança

A definição de contexto de segurança na configuração do sistema identifica o nome do contexto, o URL do arquivo de configuração e as interfaces que um contexto pode usar.

Nota: Se você não possuir um contexto admin (por exemplo, se você limpou a configuração), você deverá primeiro especificar o nome do contexto admin ao inserir este comando:

hostname(config)# admin-context <name>

Nota: Apesar deste nome de contexto ainda não existir na sua configuração, você poderá subseqüentemente inserir o comando de nome de contexto para correspondência ao nome especificado para continuar a configuração do contexto admin.

Para adicionar ou alterar um contexto na configuração do sistema, execute estes passos:

  1. Para adicionar ou modificar um contexto, insira este comando no espaço de execução do sistema:

    hostname(config)# context <name>
    

    O nome é uma seqüência de até 32 caracteres de comprimento. Esse nome diferencia maiúsculas de minúsculas, de forma que você pode ter dois contextos chamados "customerA" e "CustomerA", por exemplo. Você pode usar letras, dígitos ou hífens, mas não pode iniciar ou finalizar o nome com um hífen.

    "System" ou "Null" (em letras maiúsculas ou minúsculas) são nomes reservados e não podem ser usados.

  2. (Opcional) Para adicionar uma descrição para este contexto, insira este comando:

    hostname(config-ctx)# description text
    
    
  3. Para especificar as interfaces que você pode usar no contexto, insira o comando apropriado para uma interface física ou para uma ou mais subinterfaces.

    • Para alocar uma interface física, insira este comando:

      hostname(config-ctx)# allocate-interface
      <physical_interface> [mapped_name]
      [visible | invisible]
      
    • Para alocar uma ou mais subinterfaces, insira este comando:

      hostname(config-ctx)# allocate-interface
      <physical_interface.subinterface[-physical_interface.subinterface]>
      [mapped_name[-mapped_name]] [visible | invisible]
      

      Você pode inserir estes comandos várias vezes para especificar intervalos diferentes. Se você remover uma alocação com a forma negativa deste comando, quaisquer comandos de contexto que incluam esta interface serão removidos da configuração em execução.

  4. Para identificar o URL do qual o sistema baixa a configuração de contexto, insira este comando:

    hostname(config-ctx)# config-url url
    
    

    Nota: Insira os comandos allocate-interface antes de inserir o comando config-url. O security appliance deve atribuir interfaces ao contexto antes de carregar a configuração de contexto; a configuração de contexto pode incluir comandos que façam referência a interfaces (interface, nat, global...). Se você inserir o comando config-url primeiro, o security appliance carregará a configuração de contexto imediatamente. Se o contexto contiver quaisquer comandos que façam referência a interfaces, estes comandos falharão.

Neste cenário, siga os passos na tabela para configurar contextos múltiplos.

Há dois clientes, Customer A e Customer B. Crie três contextos múltiplos (virtualmente três ASAs) em uma única caixa do ASA, como Context1 para Customer A, Context2 para Customer B, e o Admin Context para administrar contextos do ASA .

Crie duas subinterfaces para cada contexto para conexões interna e externa. Atribua diferentes VLANs a cada subinterface.

Crie duas subinterfaces em ethernet 0/0 como ethernet 0/0.1, ethernet 0/0.2 para conexão externa de context1 e context2, respectivamente. De forma semelhante, crie duas subinterfaces em ethernet 0/1 como ethernet 0/1.1, ethernet 0/1.2 para conexão interna de context1 e context2, respectivamente.

Atribua vlan a cada subinterface como vlan 2 para ethernet 0/0.1, vlan3 para ethernet 0/1.1, vlan 4 para ethernet 0/0.2, vlan5 para ethernet 0/1.2.

Passos de Configuração de Contextos Múltiplos do ASA

:

!--- Interface externa para context1 e context2.
!--- Cria a subinterface na
!--- interface externa para context1 e context2.


ciscoasa(config)# interface Ethernet0/0
ciscoasa(config-if)# no shutdown

!--- Interface interna para context1 e context2.
!--- Cria a subinterface na
!--- interface interna para context1 e context2.


ciscoasa(config)# interface Ethernet0/1
ciscoasa(config-if)# no shutdown


!--- Interface externa para o contexto admin
!--- para acessar o ASA da rede externa
!--- via telnet ou SSH.


ciscoasa(config-if)# interface Ethernet0/2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 6


!--- Interface interna para o contexto admin
!--- para acessar o ASA da rede interna
!--- via telnet ou SSH.


ciscoasa(config-if)# interface Ethernet0/3
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 7


!--- Subinterface externa de context1.

ciscoasa(config-subif)# interface Ethernet0/0.1
ciscoasa(config-subif)# vlan 2

!--- !--- Subinterface interna de context1.

ciscoasa(config-subif)# interface ethernet 0/1.1
ciscoasa(config-subif)# vlan 3

!--- !--- Subinterface externa de context2.

ciscoasa(config-subif)# interface ethernet 0/0.2
ciscoasa(config-subif)# vlan 4

!--- !--- Subinterface interna de context2.

ciscoasa(config-subif)# interface ethernet 0/1.2
ciscoasa(config-subif)# vlan 5

!--- Contexto de Customer A como Context1.


ciscoasa(config)# context context1
Creating context 'context1'... Done. (3)
ciscoasa(config-ctx)# allocate-interface
   Ethernet0/0.1 outside-context1
ciscoasa(config-ctx)# allocate-interface
   Ethernet0/1.1 inside-context1

!--- Para especificar as interfaces
!--- usadas para context1.

ciscoasa(config-ctx)# config-url disk0:/context1.cfg

!--- Para identificar o URL do qual o sistema
!--- faz o download da configuração do contexto.


ciscoasa(config-ctx)# exit

!--- Contexto de Customer B como Context2.


ciscoasa(config)# context context2
Creating context 'context2'... Done. (3)
ciscoasa(config-ctx)# allocate-interface
   Ethernet0/0.2 outside-context2
ciscoasa(config-ctx)# allocate-interface
   Ethernet0/1.2 inside-context2
ciscoasa(config-ctx)# config-url
   disk0:/context2.cfg

ciscoasa(config)# context admin
ciscoasa(config-ctx)# allocate-interface Ethernet0/2 outside
ciscoasa(config-ctx)# allocate-interface Ethernet0/3 inside


ASA 8.x - Configuração do Espaço de Execução do Sistema

ASA 8.x - Configuração de Espaço de Execução do Sistema

ciscoasa# sh run


ASA Version 8.0(2) <system>
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/0.1
 vlan 2
!
interface Ethernet0/0.2
 vlan 4
!
interface Ethernet0/1
!
interface Ethernet0/1.1
 vlan 3
!
interface Ethernet0/1.2
 vlan 5
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0


admin-context admin
context admin
  allocate-interface Ethernet0/2 outside
  allocate-interface Ethernet0/3 inside
  config-url disk0:/admin.cfg
!


context context1
  allocate-interface Ethernet0/0.1 outside-context1
  allocate-interface Ethernet0/1.1 inside-context1
  config-url disk0:/context1.cfg
!

context context2
  allocate-interface Ethernet0/0.2 outside-context2
  allocate-interface Ethernet0/1.2 inside-context2
  config-url disk0:/context2.cfg
!

prompt hostname context
Cryptochecksum:9e8bc648b240917631fa5716a007458f
: end

Alteração entre Contextos e Espaço de Execução do Sistema

Se você fizer login no espaço de execução do sistema (ou no contexto admin com Telnet ou SSH), você poderá alterar entre contextos, bem como executar tarefas de configuração e monitoramento em cada contexto. A configuração em execução que você edita em um modo de configuração, ou que é usada nos comandos copy ou write, depende do seu local. Quando você está no espaço de execução do sistema, a configuração em execução consiste somente na configuração do sistema; quando você está em uma contexto, a configuração em execução consiste somente neste contexto. Por exemplo, você não pode exibir todas as configurações em execução (sistema mais todos os contextos) quando você insere o comando show running-config. Somente a configuração atual é exibida.

Para alternar entre o espaço de execução do sistema e um contexto, ou entre contextos, consulte estes comandos:

  • Para alterar para um contexto, insira este comando:

    hostname# changeto context <context name>
    

    O prompt será alterado para:

    hostname/name#
    
  • Para alterar o espaço de execução do sistema, insira este comando:

    hostname/admin# changeto system
    

    O prompt será alterado para:

    hostname#
    

ASA - Configuração de Context1

Para configurar context1, altere para context1 e siga o procedimento:


!--- No espaço de execução do sistema,
!--- insira o comando
!--- "changeto context context1"
!--- para configurar as opções de context1.

ciscoasa(config)# changeto context context1
ciscoasa/context1(config)#

ASA 8.x - Configuração Padrão de Context1

ciscoasa/context1(config)# show run


!--- Configuração padrão de context1.



ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-contex1
 no nameif
 no security-level
 no ip address
!
interface inside-contex1
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
pager lines 24
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed
   0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225
   1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite
   0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Configuração de Customer A para conectividade com a Internet.

ASA 8.x - Configuração de Context1


!--- Configurando context1 para customer A.


ciscoasa/context1# conf t
ciscoasa/context1(config)# int outside-context1
ciscoasa/context1(config-if)# ip add 10.1.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.

ciscoasa/context1(config-if)# int inside-context1
ciscoasa/context1(config-if)# ip add 172.16.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa/context1(config-if)# exit

ciscoasa/context1(config)# access-list outbound permit ip any any
ciscoasa/context1(config)# nat (inside-context1) 1 access-list outbound
ciscoasa/context1(config)# global (outside-context1) 1 interface
INFO: outside interface address added to PAT pool
ciscoasa/context1(config)# route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2
ciscoasa/context1(config)# exit

ASA 8.x - Configuração de Context1

ciscoasa/context1(config)# show run

ciscoasa/context1# sh run
: Saved
:
ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-context1
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!
interface inside-context1
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

global (outside-context1) 1 interface
nat (inside-context1) 1 access-list outbound
route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2 1


!--- Saída suprimida.

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
ciscoasa/context1#

ASA - Configuração de Context2

Configuração de Customer B para conectividade com a Internet.

Para configurar context2, altere para context2 de context1:


!--- No espaço de execução do sistema, insira o comando
!--- "changeto context context1"
---para configurar as opções de context1.

ciscoasa/context1(config)# changeto context context2
ciscoasa/context2(config)#

ASA 8.x - Configuração de Context2

ciscoasa/context2(config)# show run
ASA Version 8.0(2) <context>
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside-context2
 nameif inside
 security-level 100
 ip address 172.17.1.1 255.255.255.0
!
interface outside-context2
 nameif outside
 security-level 0
 ip address 10.2.2.1 255.255.255.0
!

!--- Saída suprimida.

!
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

global (outside-context2) 1 interface
nat (inside-context2) 1 access-list outbound
route outside-context2 0.0.0.0 0.0.0.0 10.2.2.2 1


!--- Saída suprimida.

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

De forma semelhante, configure o contexto admin para administrar o ASA e seus contextos das interfaces interna e externa.

Gravação das Alterações de Configuração no Modo de Contextos Múltiplos

Você pode salvar cada configuração de contexto (e sistema) separadamente, ou pode salvar todas as configurações de contexto ao mesmo tempo. Esta seção inclui estes tópicos:

Gravação de Cada Contexto e Sistema Separadamente

Para salvar a configuração de contexto e de sistema, insira este comando no sistema ou contexto:

hostname# write memory

Nota: O comando copy running-config startup-config é equivalente ao comando write memory.

Para o modo de contextos múltiplos, as configurações de inicialização de contexto podem residir em servidores externos. Neste caso, o security appliance salva a configuração de volta no servidor que você identificou no URL de contexto, exceto para um URL HTTP ou HTTPS que não permita que você salve a configuração no servidor.

Gravação de Todas as Configurações de Contexto ao Mesmo Tempo

Para salvar todas as configurações de contexto ao mesmo tempo, bem como a configuração do sistema, insira este comando no espaço de execução do sistema:

hostname# write memory all [/noconfirm]

Se você não inserir a palavra-chave /noconfirm, este prompt será exibido:

Are you sure [Y/N]:

Verificação

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • show flash — Verifica se o arquivo de configuração de contexto está armazenado na flash.

  • show mode — Verifica se o ASA está configurado como um modo único ou múltiplo.

ciscoasa# sh flash
--#--  --length--  -----date/time------  path
   71  14524416    Jul 23 2007 23:11:22  asa802-k8.bin
   75  6889764     Jul 23 2007 23:32:16  asdm-602.bin
    2  4096        Jul 23 2007 23:51:36  log
    6  4096        Jul 23 2007 23:51:48  crypto_archive
   76  2635734     Aug 12 2007 22:44:50  anyconnect-win-2.0.0343-k9.pkg
   77  1841        Sep 20 2007 04:21:38  old_running.cfg
   78  1220        Sep 20 2007 04:21:38  admin.cfg

ciscoasa/context2# sh mode
Security context mode: multiple

Troubleshooting

Restauração do Modo de Contexto Único

Se você converter do modo múltiplo para o modo único, é possível primeiro copiar uma configuração de inicialização completa (se disponível) para o security appliance; a configuração do sistema herdada do modo múltiplo não é uma configuração completamente funcional para um dispositivo de modo único. Como a configuração do sistema não possui interfaces de rede como parte da sua configuração, você deverá acessar o security appliance do console para executar a cópia.

Para copiar a configuração em execução antiga para a configuração de inicialização e alterar o modo para único, execute estes passos no espaço de execução do sistema:

  1. Para copiar a versão de backup da configuração em execução original para a configuração de inicialização atual, insira este comando no espaço de execução do sistema:

    hostname(config)# copy flash:old_running.cfg startup-config
    
    
  2. Para definir o modo para único, insira este comando no espaço de execução do sistema:

    hostname(config)# mode single
    

O security appliance será reinicializado.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 99131