Switches : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.x e acima: Exemplo de configuração do contexto múltiplo

15 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (17 Julho 2008) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve as etapas usadas para configurar o contexto múltiplo nos mecanismos de segurança.

Você pode dividir uma única ferramenta de segurança nos dispositivos virtuais múltiplos, conhecidos como contextos de segurança. Cada contexto é um dispositivo independente, com seus próprios política de segurança, relações, e administradores. Os contextos múltiplos são similares aos dispositivos autônomo múltiplos. Muitas características são apoiadas no modo de contexto múltiplo, que incluem tabelas de roteamento, recursos de firewall, IPS, e Gerenciamento. Algumas características não são apoiadas, que incluem o VPN e os protocolos de roteamento dinâmico.

Você pode usar contextos de segurança múltiplos nestas situações:

  • Você é um provedor de serviços e quer vender Serviços de segurança a muitos clientes. Se você permite contextos de segurança múltiplos na ferramenta de segurança, você pode executar uma solução eficaz na redução de custos, da espaço-economia que mantenha todo o tráfego de cliente separado e se fixe, e igualmente facilita a configuração.

  • Você é uma grande empresa ou um terreno da faculdade e quer manter departamentos completamente separados.

  • Você é uma empresa que queira fornecer políticas de segurança distintas aos departamentos diferentes.

  • Você tem toda a rede que exigir mais de uma ferramenta de segurança.

Nota: No modo do Multi-contexto, você pode promover ou degradar o software PIX/ASA somente no modo exec de sistema, não nos outros modos do contexto.

Para obter mais informações sobre das etapas usadas para configurar o contexto múltiplo no módulo firewall service (FWSM), refira o FWSM: Exemplo de configuração do contexto múltiplo.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • A ferramenta de segurança adaptável do Cisco 5500 Series é executado com versão de software 7.x e mais tarde.

    Nota: A característica do contexto múltiplo não é apoiada na ferramenta de segurança adaptável do 5505 Series ASA.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração pode igualmente ser usada com versão 7.x e mais recente da ferramenta de segurança da série do Cisco PIX 500.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Arquivos de configuração do contexto

Configurações do contexto

A ferramenta de segurança inclui uma configuração para cada contexto que identifica política de segurança, relações, e quase todas as opções que você pode configurar em um dispositivo autônomo. Você pode armazenar configurações do contexto na memória de flash interno ou na placa de memória do flash externo, ou você pode transferi-los de um TFTP, de um FTP, ou de um Server do HTTP.

Configuração de sistema

O administrador de sistema adiciona e controla contextos pela configuração de cada local de configuração do contexto, relações atribuídas, e outros parâmetros operacionais do contexto na configuração de sistema, que, como uma configuração do modo simples, é a configuração de inicialização. A configuração de sistema identifica configurações básicas para a ferramenta de segurança. A configuração de sistema não inclui nenhuma interfaces de rede ou configurações de rede para se; um pouco, quando o sistema precisa recursos de rede de acesso (tais como transferências do contexto do server), usa um dos contextos que é designado como o contexto admin. A configuração de sistema inclui uma relação especializada do Failover para o tráfego do Failover somente.

Configuração do contexto Admin

O contexto admin é apenas como todo o outro contexto, salvo que quando um usuário entra ao contexto admin, que usuário tem direitos do administrador de sistema e pode alcançar o sistema e todos contextos restantes. O contexto admin não é restringido em nenhuma maneira, e pode ser usado como um contexto regular, mas, porque registrar no contexto admin lhe concede privilégios do administrado sobre todos os contextos, você precisa de restringir o acesso ao contexto admin para apropriar usuários. O contexto admin deve residir na memória Flash, e não remotamente.

Se seu sistema reage já do modo de contexto múltiplo, ou se você converte do modo simples, o contexto admin está criado automaticamente como um arquivo na memória de flash interno chamada admin.cfg. Este contexto é nomeado “admin.” Se você não quer usar admin.cfg como o contexto admin, você pode mudar o contexto admin.

Nota: O contexto Admin não é contado na licença do contexto. Por exemplo, se você obtém a licença para dois contextos, é permitido você ter o contexto admin e outros dois contextos.

Acesso de gerenciamento aos contextos de segurança

A ferramenta de segurança fornece o acesso do administrador de sistema no modo de contexto múltiplo, assim como o acesso para administradores individuais do contexto. Estas seções descrevem entrar como um administrador de sistema ou como um administrador do contexto:

Acesso do administrador de sistema

Você pode alcançar a ferramenta de segurança como um administrador de sistema em duas maneiras:

  • Alcance o console da ferramenta de segurança.

    Do console, você alcança o espaço da execução do sistema.

  • Alcance o contexto admin com telnet, SSH, ou ASDM.

    Veja “controlando o acesso de sistema,” para permitir o acesso do telnet, SSH, e SDM.

Como o administrador de sistema, você pode alcançar todos os contextos.

Quando você muda a um contexto do admin ou do sistema, seu username muda ao username do padrão "enable_15". Se você autorização do comando configurado nesse contexto, você precisa do configurar privilégios de autorização para o usuário de "enable_15", ou pode entrar como um nome diferente para que você fornece privilégios suficientes na configuração do comando authorization para o contexto. A fim entrar com um username, inscreva o comando login. Por exemplo, você entra ao contexto admin com o username “admin.” O contexto admin não tem a configuração de autorização do comando any, mas a toda autorização restante do comando include dos contextos. Para a conveniência, cada configuração do contexto inclui um usuário “admin” com privilégios máximos. Quando você muda do contexto admin ao contexto A, seu username está alterado, assim que você deve entrar outra vez como o “admin” com o comando login. Quando você muda ao contexto B, você deve outra vez inscrever o comando login entrar como o “admin.”

O espaço da execução do sistema não apoia nenhuns comandos aaa, mas você pode configurar seus próprios permite a senha, assim como os nomes de usuário no base de dados local de fornecer inícios de uma sessão individuais.

Acesso de administrador do contexto

Você pode alcançar um contexto com telnet, SSH, ou ASDM. Se você entra a um contexto NON-admin, você pode somente alcançar a configuração para esse contexto. Você pode fornecer inícios de uma sessão individuais ao contexto.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/99131/multiple-context1.gif

Nota: As portas no interruptor que são conectadas ao ASA devem reagir do modo de tronco desde que o tráfego do vlan múltiplo tem que viajar com ele uma vez as relações ASA quebram-se em subinterfaces.

Permita ou desabilite o modo de contexto múltiplo

Sua ferramenta de segurança é configurada possivelmente já para os contextos de segurança múltiplos dependentes de como você a pediu de Cisco, mas de se você elevação, você pôde precisar de converter do modo simples ao modo múltiplo. Esta seção explica os procedimentos para promover. O ASDM apoia modos em mudança de único ao modo múltiplo se você usa o assistente de Alta disponibilidade e de escalabilidade, e você permite Failover ativo/ativo. Se você não quer usar Failover ativo/ativo ou o querer mudar de volta ao modo simples, você deve mudar modos no CLI. Refira o modo de contexto múltiplo de possibilidade ou de desabilitação para mais informação.

Quando você converte do modo simples ao modo múltiplo, a ferramenta de segurança converte a configuração running em dois arquivos. A configuração de inicialização original não salvar, assim, se difere da configuração running, você deve suportá-la acima antes que você continue.

Permita o modo de contexto múltiplo

O modo do contexto (único ou múltiplo) não é armazenado no arquivo de configuração, mesmo que resista repartições. Se você precisa de copiar sua configuração a um outro dispositivo, ajuste o modo no dispositivo novo para combinar com o comando de modo.

Quando você converte do modo simples ao modo múltiplo, a ferramenta de segurança converte a configuração running em dois arquivos: uma configuração de inicialização nova que compreenda a configuração de sistema, e admin.cfg que compreende o contexto admin (no diretório raiz da memória de flash interno). A configuração running original salvar como old_running.cfg (no diretório raiz da memória de flash interno). A configuração de inicialização original não salvar. A ferramenta de segurança adiciona automaticamente uma entrada para o contexto admin à configuração de sistema com o nome “admin.”

A fim permitir o modo múltiplo, incorpore este comando:

hostname(config)# mode multiple

Você é alertado recarregar a ferramenta de segurança.

CiscoASA(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash

The admin context configuration will be written to flash

The new running configuration file was written to flash
Security context mode: multiple

***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
***   change mode

Rebooting....

Booting system, please wait...
*
*
!--- output suppressed

*
*
INFO: Admin context is required to get the interfaces
*** Output from config line 20, "arp timeout 14400"
Creating context 'admin'... Done. (1)
*** Output from config line 23, "admin-context admin"

Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a

*** Output from config line 25, "  config-url flash:/admi..."

Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061c
Type help or '?' for a list of available commands.
CiscoASA>

Após a repartição, esta é a configuração padrão do ASA:

Configuração padrão ASA 8.x
CiscoASA# show running-config
: Saved
:
ASA Version 8.0(2) <system>
!
hostname CiscoASA
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0/0
shutdown
!
interface Ethernet0/1
shutdown
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
no failover
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
   config-url disk0:/admin.cfg
!
!--- admin context is created
!--- by default once you enable 
!--- multiple mode


prompt hostname context
Cryptochecksum:410be16e875b7302990a831a5d91aefd
: end

Configurar um contexto de segurança

A definição do contexto de segurança na configuração de sistema identifica o nome de contexto, o arquivo de configuração URL, e as relações que um contexto pode usar.

Nota: Se você não tem um contexto admin (por exemplo, se você cancela a configuração), você deve primeiramente especificar o nome de contexto admin quando você incorpora este comando:

hostname(config)# admin-context <name>

Nota: Embora este nome de contexto não exista ainda em sua configuração, você pode subseqüentemente incorporar o comando do nome de contexto combinar o nome especificado para continuar a configuração do contexto admin.

A fim adicionar ou mudar um contexto na configuração de sistema, execute estas etapas:

  1. A fim adicionar ou alterar um contexto, incorpore este comando ao espaço da execução do sistema:

    hostname(config)# context <name>
    

    O nome é uma corda até 32 caráteres por muito tempo. Este nome é diferenciando maiúsculas e minúsculas, assim que você pode ter dois contextos nomeados “customerA” e “CustomerA,” por exemplo. Você pode usar letras, dígitos, ou hífens, mas você não pode começar ou terminar o nome com um hífen.

    O “sistema” ou o “zero” (na parte superior ou nas letras minúsculas) são nomes reservados, e não podem ser usados.

  2. (Opcional) a fim adicionar uma descrição para este contexto, incorpore este comando:

    hostname(config-ctx)# description text
    
    
  3. A fim especificar as relações que você pode usar no contexto, incorpore o comando apropriado para uma interface física ou para umas ou várias subinterfaces.

    • A fim atribuir uma interface física, incorpore este comando:

      hostname(config-ctx)# allocate-interface 
      <physical_interface> [mapped_name] 
      [visible | invisible]
      
    • A fim atribuir umas ou várias subinterfaces, incorpore este comando:

      hostname(config-ctx)# allocate-interface 
      <physical_interface.subinterface[-physical_interface.subinterface]>
      [mapped_name[-mapped_name]] [visible | invisible]
      

      Você pode incorporar estes tempos múltiplos dos comandos especificar escalas diferentes. Se você remove uma atribuição com nenhum formulário deste comando, todos os comandos context que incluírem esta relação estão removidos da configuração running.

  4. A fim identificar a URL de que o sistema transfere a configuração do contexto, incorpore este comando:

    hostname(config-ctx)# config-url url
    
    

    Nota: Incorpore os comandos da atribuir-relação antes que você incorpore o comando configuração-URL. A ferramenta de segurança deve atribuir relações ao contexto antes que carregue a configuração do contexto; a configuração do contexto pode os comandos include que referem relações (relação, nat, global…). Se você incorpora o comando configuração-URL primeiramente, a ferramenta de segurança carrega a configuração do contexto imediatamente. Se o contexto contém os comandos any que referem relações, aqueles comandos falham.

Nesta encenação, siga as etapas na tabela para configurar o contexto múltiplo.

Há dois contextos múltiplos de B. Criação três dos clientes, do cliente A e do cliente (virtualmente três ASA) em uma única caixa ASA tal como Context1 para o cliente A, Context2 para o cliente B, e contexto Admin para administrar os contextos ASA.

Crie duas subinterfaces para cada contexto para a conexão interna e exterior. Atribua os VLAN diferentes para cada subinterface.

Crie as duas subinterfaces no Ethernet0/0 como os Ethernet 0/0.1, os Ethernet 0/0.2 para a conexão exterior de context1 e o context2, respectivamente. Similarmente, crie duas subinterfaces nos Ethernet 0/1 como os Ethernet 0/1.1, os Ethernet 0/1.2 para a conexão interna de context1 e o context2, respectivamente.

Atribua vlan para cada subinterface tal como o VLAN 2 para os Ethernet 0/0.1, vlan3 para os Ethernet 0/1.1,vlan 4 para os Ethernet 0/0.2, vlan5 para os Ethernet 0/1.2.

Etapas de configuração do contexto múltiplo ASA
:

!--- Outside interface for context1 and context2.
!--- Create the sub interface in 
!--- outside interface for context1 and context2.


ciscoasa(config)# interface Ethernet0/0
ciscoasa(config-if)# no shutdown

!--- Inside interface for context1 and context2.
!--- Create the sub interface in 
!--- inside interface for context1 and context2.


ciscoasa(config)# interface Ethernet0/1
ciscoasa(config-if)# no shutdown


!--- Outside interface for admin context 
!--- to access the ASA from outside network
!--- using telnet or SSH.


ciscoasa(config-if)# interface Ethernet0/2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 6


!--- Inside interface for admin context 
!--- to access the ASA from inside network
!--- using telnet or SSH.


ciscoasa(config-if)# interface Ethernet0/3
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 7


!--- Context1 outside subinterface

ciscoasa(config-subif)# interface Ethernet0/0.1
ciscoasa(config-subif)# vlan 2

!--- !--- Context1 inside subinterface

ciscoasa(config-subif)# interface ethernet 0/1.1
ciscoasa(config-subif)# vlan 3

!--- !--- Context2 outside subinterface

ciscoasa(config-subif)# interface ethernet 0/0.2
ciscoasa(config-subif)# vlan 4

!--- !--- Context2 inside subinterface

ciscoasa(config-subif)# interface ethernet 0/1.2
ciscoasa(config-subif)# vlan 5

!--- Customer A Context as Context1


ciscoasa(config)# context context1
Creating context 'context1'... Done. (3)
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/0.1 outside-context1
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/1.1 inside-context1

!--- To specify the interfaces 
!--- used for the context1

ciscoasa(config-ctx)# config-url disk0:/context1.cfg

!--- To identify the URL from which the 
!--- system downloads the context configuration.


ciscoasa(config-ctx)# exit

!--- Customer B Context as Context2


ciscoasa(config)# context context2
Creating context 'context2'... Done. (3)
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/0.2 outside-context2
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/1.2 inside-context2
ciscoasa(config-ctx)# config-url 
   disk0:/context2.cfg

ciscoasa(config)# context admin
ciscoasa(config-ctx)# allocate-interface Ethernet0/2 outside
ciscoasa(config-ctx)# allocate-interface Ethernet0/3 inside


ASA 8.x - Configuração do espaço da execução do sistema

ASA 8.x - Configuração do espaço da execução do sistema
ciscoasa# sh run


ASA Version 8.0(2) <system>
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/0.1
 vlan 2
!
interface Ethernet0/0.2
 vlan 4
!
interface Ethernet0/1
!
interface Ethernet0/1.1
 vlan 3
!
interface Ethernet0/1.2
 vlan 5
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0


admin-context admin
context admin
  allocate-interface Ethernet0/2 outside
  allocate-interface Ethernet0/3 inside
  config-url disk0:/admin.cfg
!


context context1
  allocate-interface Ethernet0/0.1 outside-context1
  allocate-interface Ethernet0/1.1 inside-context1
  config-url disk0:/context1.cfg
!

context context2
  allocate-interface Ethernet0/0.2 outside-context2
  allocate-interface Ethernet0/1.2 inside-context2
  config-url disk0:/context2.cfg
!

prompt hostname context
Cryptochecksum:9e8bc648b240917631fa5716a007458f
: end

Mude entre contextos e o espaço da execução do sistema

Se você entra ao espaço da execução do sistema (ou ao contexto admin com telnet ou SSH), você pode mudar entre contextos, assim como executa a configuração e as tarefas de monitoramento dentro de cada contexto. A configuração running que você edita em um modo de configuração, ou que é usada na cópia ou nos comandos write, depende de seu lugar. Quando você está no espaço da execução do sistema, a configuração running consiste somente na configuração de sistema; quando você está em um contexto, a configuração running consiste somente nesse contexto. Por exemplo, você não pode ver todas as configurações running (sistema mais todos os contextos) quando você inscreve o comando show running-config. Somente os indicadores da configuração atual.

A fim mudar entre o espaço da execução do sistema e um contexto, ou entre contextos, veja estes comandos:

  • A fim mudar a um contexto, incorpore este comando:

    hostname# changeto context <context name>
    

    As mudanças da alerta a esta:

    hostname/name#
    
  • A fim mudar ao espaço da execução do sistema, incorpore este comando

    hostname/admin# changeto system
    

    As mudanças da alerta a esta:

    hostname#
    

ASA - Configuração Context1

A fim configurar o context1, mude ao context1 e siga o procedimento:


!--- From the system execution space, 
!--- enter the command
!--- "changeto context context1 
!--- to configure the context1 configuration"

ciscoasa(config)# changeto context context1
ciscoasa/context1(config)#
ASA 8.x - Configuração padrão Context1
ciscoasa/context1(config)# show run


!--- Default configuration of the context1



ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-contex1
 no nameif
 no security-level
 no ip address
!
interface inside-contex1
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
pager lines 24
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 
   0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 
   1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 
   0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Cliente uma configuração para a conectividade de Internet.

ASA 8.x - Configuração de Context1

!--- Configuring Context1 for customer A


ciscoasa/context1# conf t
ciscoasa/context1(config)# int outside-context1
ciscoasa/context1(config-if)# ip add 10.1.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.

ciscoasa/context1(config-if)# int inside-context1
ciscoasa/context1(config-if)# ip add 172.16.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa/context1(config-if)# exit

ciscoasa/context1(config)# access-list outbound permit ip any any
ciscoasa/context1(config)# nat (inside-context1) 1 access-list outbound
ciscoasa/context1(config)# global (outside-context1) 1 interface
INFO: outside interface address added to PAT pool
ciscoasa/context1(config)# route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2
ciscoasa/context1(config)# exit

ASA 8.x - Configuração Context1
ciscoasa/context1(config)# show run

ciscoasa/context1# sh run
: Saved
:
ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-context1
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!
interface inside-context1
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

global (outside-context1) 1 interface
nat (inside-context1) 1 access-list outbound
route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2 1


!--- Output Suppressed

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
ciscoasa/context1#

ASA - Configuração Context2

Configuração do cliente B para a conectividade de Internet.

A fim configurar o context2, mude a context2 de context1:


!--- From the system execution space, enter the command
!--- "changeto context context2
---to configure the context2 configuration"

ciscoasa/context1(config)# changeto context context2
ciscoasa/context2(config)#
ASA 8.x - Configuração Context2
ciscoasa/context2(config)# show run
ASA Version 8.0(2) <context>
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside-context2
 nameif inside
 security-level 100
 ip address 172.17.1.1 255.255.255.0
!
interface outside-context2
 nameif outside
 security-level 0
 ip address 10.2.2.1 255.255.255.0
!

!--- Output Suppressed

!
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

global (outside-context2) 1 interface
nat (inside-context2) 1 access-list outbound
route outside-context2 0.0.0.0 0.0.0.0 10.2.2.2 1


!--- Output Suppressed

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Configurar similarmente o contexto admin para administrar o ASA e seus contextos da interface interna e externa.

Salvar alterações de configuração no modo de contexto múltiplo

Você pode salvar cada configuração do contexto (e o sistema) separadamente, ou você pode salvar todas as configurações do contexto ao mesmo tempo. Esta seção inclui estes assuntos:

Salvar cada contexto e sistema separadamente

A fim salvar a configuração do sistema ou do contexto, incorpore este comando dentro do sistema ou do contexto:

hostname# write memory

Nota: O comando copy running-config startup-config é equivalente ao comando write memory.

Para o modo de contexto múltiplo, as configurações de inicialização do contexto podem residir em servidores internos. Neste caso, a ferramenta de segurança salvar a configuração de volta ao server que você identificou no contexto URL, à exceção de um HTTP ou de um HTTPS URL, que não o deixassem salvar a configuração ao server.

Salvar todas as configurações do contexto ao mesmo tempo

A fim salvar ao mesmo tempo todas as configurações do contexto, assim como a configuração de sistema, incorpore este comando ao espaço da execução do sistema:

hostname# write memory all [/noconfirm]

Se você não incorpora a palavra-chave de /noconfirm, você vê esta alerta:

Are you sure [Y/N]:

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • flash da mostra — Verifique que o arquivo de configuração do contexto está armazenado no flash.

  • modo da mostra — Verifique que o ASA está configurado como um único ou um modo múltiplo.

ciscoasa# sh flash
--#--  --length--  -----date/time------  path
   71  14524416    Jul 23 2007 23:11:22  asa802-k8.bin
   75  6889764     Jul 23 2007 23:32:16  asdm-602.bin
    2  4096        Jul 23 2007 23:51:36  log
    6  4096        Jul 23 2007 23:51:48  crypto_archive
   76  2635734     Aug 12 2007 22:44:50  anyconnect-win-2.0.0343-k9.pkg
   77  1841        Sep 20 2007 04:21:38  old_running.cfg
   78  1220        Sep 20 2007 04:21:38  admin.cfg

ciscoasa/context2# sh mode
Security context mode: multiple

Troubleshooting

Restaure o único modo do contexto

Se você converte do modo múltiplo ao modo simples, é possível à primeira cópia um a configuração de inicialização completa (se disponível) à ferramenta de segurança; a configuração de sistema herdada do modo múltiplo não é uma configuração completamente funcional para um dispositivo de modo único. Porque a configuração de sistema não tem nenhuma interfaces de rede como parte de sua configuração, você deve alcançar a ferramenta de segurança do console para executar a cópia.

A fim copiar a configuração running velha à configuração de inicialização e mudar o modo ao modo simples, execute estas etapas no espaço da execução do sistema:

  1. A fim copiar a versão de backup de sua configuração running original à configuração de inicialização atual, incorpore este comando ao espaço da execução do sistema:

    hostname(config)# copy flash:old_running.cfg startup-config
    
    
  2. A fim ajustar o modo ao modo simples, incorpore este comando ao espaço da execução do sistema:

    hostname(config)# mode single
    

As repartições da ferramenta de segurança.

Atribuindo o mesmo endereço IP de Um ou Mais Servidores Cisco ICM NT para interfaces múltiplas no modo de contexto múltiplo

Você pode atribuir o mesmo endereço IP de Um ou Mais Servidores Cisco ICM NT às interfaces múltiplas em um contexto diferente. Embora isto seja possível, um MAC address separado deve ser atribuído para esta relação em cada contexto a fim classificar como mostrado o tráfego no contexto.

Nota: Se o admin não deseja atribuir o MAC address com o método manual, você pode usar o comando auto do endereço MAC. Este comando atribui o MAC address automaticamente a todas as relações, inclusivas das subinterfaces.

Este é um exemplo de configuração:

context test1

   allocate-interface Ethernet0/2

   allocate-interface Ethernet0/2.1

   config-url disk0:/test1

!
!

context test2

   allocate-interface Ethernet0/2

   allocate-interface Ethernet0/2.200

   config-url disk0:/test2


ciscoasa(config)# change context test1

ciscoasa/test1(config)# int e0/2.1

ciscoasa/test1(config-if)# ip address 4.4.4.4

ciscoasa/test1(config-if)# change context test2

ciscoasa/test2(config)# int e0/2.200

ciscoasa/test2(config-if)# ip address 4.4.4.4

ciscoasa/test2(config-if)# exit

Nota: Quando um pacote é enviado com um destino como 4.4.4.4, o Firewall seguirá a regra do classificador para distribuir esse pacote ao contexto interessado. Para obter mais informações sobre do como o Firewall classifica os pacotes, refira a regra do classificador para o fluxo de pacote de informação.

Atribua o mesmo endereço IP de Um ou Mais Servidores Cisco ICM NT às relações compartilhadas no modo de contexto múltiplo

Atribuir o mesmo endereço IP de Um ou Mais Servidores Cisco ICM NT à relação compartilhada não é possível. Uma relação compartilhada sobre contextos múltiplos permite que nós simulem Firewall virtuais sobre o mesmo segmento LAN. Quando o mesmo endereço IP de Um ou Mais Servidores Cisco ICM NT é atribuído à relação compartilhada, por exemplo compartilhado sobre contextos múltiplos, dá um erro do conflito de endereço IP. O ASA não permitirá esta configuração devido à edição ARP entre os contextos para o mesmo endereço IP de Um ou Mais Servidores Cisco ICM NT.

O erro é mostrado aqui para sua referência: ERRO: Este conflitos de endereço com um outro endereço na rede.

Rebatize o contexto

No modo de contexto múltiplo, rebatizar um contexto sem mudar a configuração não é apoiado.

Você pode salvar a configuração como uma configuração de firewall, mas você precisa de copiar a configuração completa a um nome de contexto novo e de suprimir da configuração velha do contexto.

Contexto da supressão

Do espaço do sistema, emita este comando suprimir do contexto:

  
no context contA 

Igualmente certifique-se remover o arquivo de configuração correspondente para o contexto.

dir disk:
 
delete disk:/contA.cfg

Informações Relacionadas


Document ID: 99131