Cisco Interfaces and Modules : Módulo de serviços de firewall Cisco Catalyst 6500 Series

FWSM: Exemplo de configuração do contexto múltiplo

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve as etapas usadas para configurar vários contextos em um Firewall Service Module (FWSM).

Você pode dividir um único FWSM nos dispositivos virtuais múltiplos, conhecidos como contextos de segurança. Cada contexto tem seus próprios política de segurança, relações, e administradores. Os contextos múltiplos são similares aos dispositivos autônomo múltiplos. Muitas características são apoiadas no modo de contexto múltiplo, que inclui tabelas de roteamento, recursos de firewall, e Gerenciamento. Algumas características não são apoiadas, que inclui protocolos de roteamento dinâmico.

Você pode usar contextos de segurança múltiplos nestas situações:

  • Você é um provedor de serviços e quer vender Serviços de segurança a muitos clientes. Quando você permite contextos de segurança múltiplos no FWSM, você pode executar uma solução eficaz na redução de custos, da espaço-economia que mantenha todo o tráfego de cliente separado e se fixe, e igualmente facilita a configuração.

  • Você é uma grande empresa ou um terreno da faculdade e quer manter departamentos completamente separados.

  • Você é uma empresa que queira fornecer políticas de segurança distintas aos departamentos diferentes.

  • Você tem toda a rede que exigir mais de um Firewall.

Refira PIX/ASA 7.x e acima: Exemplo de configuração do contexto múltiplo para obter mais informações sobre de como descrever as etapas usadas para configurar o contexto múltiplo nas ferramentas de segurança.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada no módulo firewall service (FWSM) essa versão de software das corridas 3.2(5).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Arquivos de configuração do contexto

Configurações do contexto

O FWSM inclui uma configuração para cada contexto que identifica política de segurança, relações, e quase todas as opções que você pode configurar em um dispositivo autônomo. Você pode armazenar configurações do contexto na memória de flash interno ou na placa de memória do flash externo, ou você pode transferi-los de um TFTP, de um FTP, ou de um Server do HTTP.

Configuração de sistema

O administrador de sistema adiciona e controla contextos com a configuração de cada local de configuração do contexto, relações atribuídas, e outros parâmetros operacionais do contexto na configuração de sistema, que, como uma configuração do modo simples, é a configuração de inicialização. A configuração de sistema identifica configurações básicas para o FWSM. A configuração de sistema não inclui nenhuma interfaces de rede ou configurações de rede para se; um pouco, quando o sistema precisa recursos de rede de acesso, tais como a transferência dos contextos do server, usa um dos contextos que é designado como o contexto admin. A configuração de sistema inclui uma relação especializada do Failover para o tráfego do Failover somente.

Configuração do contexto Admin

O contexto admin é apenas como todo o outro contexto, salvo que quando você entra ao contexto admin, a seguir você tem direitos do administrador de sistema e pode alcançar o sistema e todos contextos restantes. O contexto admin não é restringido em nenhuma maneira, e pode ser usado como um contexto regular. Mas, porque registrar no contexto admin lhe concede privilégios do administrado sobre todos os contextos, você pode possivelmente precisar de restringir o acesso ao contexto admin para apropriar usuários. O contexto admin deve residir na memória Flash, e não remotamente.

Se seu sistema reage já do modo de contexto múltiplo, ou se você converte do modo simples, o contexto admin está criado automaticamente como um arquivo na memória de flash interno chamada admin.cfg. Este contexto é nomeado admin. Se você não quer usar admin.cfg como o contexto admin, você pode mudar o contexto admin.

Recursos não suportados

O modo de contexto múltiplo não apoia estas características:

  • Protocolos de roteamento dinâmico

    Os contextos de segurança aceitam somente rotas estáticas. Você não pode permitir o OSPF ou o RASGO no modo de contexto múltiplo.

  • Transmissão múltipla

Acesso de gerenciamento aos contextos de segurança

O FWSM fornece o acesso do administrador de sistema no modo de contexto múltiplo assim como o acesso para administradores individuais do contexto. Estas seções descrevem entrar como um administrador de sistema ou como um administrador do contexto:

Acesso do administrador de sistema

Você pode alcançar o FWSM como um administrador de sistema em duas maneiras:

  • Sessão ao FWSM do interruptor.

    Do interruptor, você alcança o espaço da execução do sistema.

  • Alcance o contexto admin usando o telnet, o SSH, ou o ASDM.

    Refira configurar o acesso de gerenciamento para obter mais informações sobre de como permitir o acesso do telnet, SSH, e SDM.

Como o administrador de sistema, você pode alcançar todos os contextos.

Quando você muda a um contexto do admin ou do sistema, seu username muda ao username do padrão enable_15". Se você autorização do comando configurado nesse contexto, você precisa do configurar privilégios de autorização para o usuário enable_15, ou pode entrar como um nome diferente para que você fornece privilégios suficientes na configuração do comando authorization para o contexto. Inscreva o comando login a fim entrar com um username. Por exemplo, você entra ao contexto admin com o admin de nome de usuário. O contexto admin não tem a configuração de autorização do comando any, mas a toda autorização restante do comando include dos contextos. Para a conveniência, cada configuração do contexto inclui um usuário admin com privilégios máximos. Quando você muda do contexto admin ao contexto A, seu username está alterado, assim que você deve entrar outra vez como o admin quando você inscreve o comando login. Quando você muda ao contexto B, você deve outra vez inscrever o comando login entrar como o admin.

O espaço da execução do sistema não apoia nenhuns comandos aaa, mas você pode configurar seus próprios permite a senha, assim como os nomes de usuário no banco de dados local, a fim fornecer inícios de uma sessão individuais.

Acesso de administrador do contexto

Você pode alcançar um contexto com telnet, SSH, ou ASDM. Se você entra a um contexto NON-admin, você pode somente alcançar a configuração para esse contexto. Você pode fornecer inícios de uma sessão individuais ao contexto.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/107524/fwsm-multiple-context-config-01.gif

Modo de contexto múltiplo de possibilidade ou de desabilitação

Seu FWSM pôde já ser configurado para contextos de segurança múltiplos segundo como você o pediu de Cisco. Se você está promovendo, contudo, você pôde precisar de converter do modo simples ao modo múltiplo seguindo os procedimentos nesta seção. O ASDM não apoia modos em mudança, assim que você precisa de mudar modos usando o CLI.

Suportando a configuração do modo simples

Quando você converte do modo simples ao modo múltiplo, o FWSM converte a configuração running em dois arquivos. A configuração de inicialização original não salvar, assim que se difere da configuração running, você deve suportá-la acima antes de continuar.

Permitindo o modo de contexto múltiplo

O modo do contexto (único ou múltiplo) não é armazenado no arquivo de configuração, mesmo que resista repartições. Se você precisa de copiar sua configuração a um outro dispositivo, ajuste o modo no dispositivo novo para combinar com o comando de modo.

Quando você converte do modo simples ao modo múltiplo, o FWSM converte a configuração running em dois arquivos:.

  1. Uma configuração de inicialização nova que compreenda a configuração de sistema

  2. Um admin.cfg que compreenda do contexto admin no diretório raiz da memória de flash interno

A configuração running original salvar como old_running.cfg (no diretório raiz da memória de flash interno). A configuração de inicialização original não salvar. O FWSM adiciona automaticamente uma entrada para o contexto admin à configuração de sistema com o nome “admin.”

Incorpore este comando a fim permitir o modo múltiplo:

hostname(config)#mode multiple

Você é alertado recarregar o FWSM.

FWSM(config)#mode multiple

WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash

The admin context configuration will be written to flash

The new running configuration file was written to flash
Security context mode: multiple

***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
***   change mode

Rebooting....

Booting system, please wait...
*
*

!--- Output suppressed


*
*
INFO: Admin context is required to get the interfaces
*** Output from config line 20, "arp timeout 14400"
Creating context 'admin'... Done. (1)
*** Output from config line 23, "admin-context admin"

Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a

*** Output from config line 25, "  config-url flash:/admi..."

Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061c
Type help or '?' for a list of available commands.
FWSM>

Após a repartição, esta é a configuração padrão do FWSM:

Configuração padrão FWSM
FWSM#show running-config
: Saved
:
FWSM Version 3.2(5)5 <system>
!
resource acl-partition 12
hostname FWSM
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
!
interface Vlan501
!
interface Vlan502
!
passwd 2KFQnbNIdI.2KYOU encrypted
class default
  limit-resource IPSec 5
  limit-resource Mac-addresses 65535
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
  limit-resource All 0
!

ftp mode passive
gdb enable
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Vlan501
  allocate-interface Vlan502
  config-url disk:/admin.cfg


!--- admin context is created
!--- by default once you enable 
!--- multiple mode

!

prompt hostname context
Cryptochecksum:d62411d2a15f1da35c76fe071b61dcdb
: end
FWSM#

Configurar um contexto de segurança

A definição do contexto de segurança na configuração de sistema identifica o nome de contexto, o arquivo de configuração URL, as relações que um contexto pode usar, e os outros parâmetros do contexto.

Nota:  Se você não tem um contexto admin, por exemplo, se você cancela a configuração, você deve primeiramente especificar o nome de contexto admin quando você incorpora este comando:.

hostname(config)#admin-context <name>

Nota: Embora este nome de contexto não exista ainda em sua configuração, você pode subseqüentemente incorporar o comando do nome de contexto a fim combinar o nome especificado para continuar a configuração do contexto admin.

A fim adicionar ou mudar um contexto na configuração de sistema, termine estas etapas:

  1. A fim adicionar ou alterar um contexto, incorpore este comando ao espaço da execução do sistema:

    hostname(config)#context <name>
    
    

    O nome é uma corda até 32 caráteres por muito tempo. Este nome é diferenciando maiúsculas e minúsculas, assim que você pode ter dois contextos nomeados “customerA” e “CustomerA,” por exemplo. Você pode usar letras, dígitos, ou hífens, mas você não pode começar ou terminar o nome com um hífen.

    O “sistema” ou o “zero” (na parte superior ou nas letras minúsculas) são nomes reservados, e não podem ser usados.

  2. (Opcional) a fim adicionar uma descrição para este contexto, incorpore este comando:

    hostname(config-ctx)#description text
    
    
    
  3. A fim especificar as relações que você pode se usar no contexto, incorpore este comando:

    hostname(config-ctx)#allocate-interface vlannumber[-vlannumber] [map_name[-map_name] 
    [invisible | visible]]
    

    Você pode incorporar tempos múltiplos deste comando a fim especificar escalas diferentes. Se você remove uma atribuição com nenhum formulário deste comando, a seguir todos os comandos context que incluírem esta relação estão removidos da configuração running.

    Incorpore um número de VLAN ou uma escala dos VLAN, tipicamente 2 a 1000 e desde 1025 a 4094. Veja a documentação do switch para VLAN apoiados. Use o comando show vlan a fim ver uma lista de VLAN atribuídos ao FWSM. Você pode atribuir um VLAN que não seja atribuído ainda ao FWSM, mas você precisa de atribui-los do interruptor se você os quer passar o tráfego. Quando você atribui uma relação, o FWSM adiciona automaticamente o comando interface para cada VLAN na configuração de sistema.

  4. Incorpore este comando a fim identificar a URL de que o sistema transfere a configuração do contexto:

    hostname(config-ctx)#config-url url
    

    Quando você adiciona um contexto URL, o sistema carrega imediatamente o contexto de modo que esteja sendo executado, se a configuração está disponível.

    Nota: Incorpore os comandos da atribuir-relação antes que você incorpore o comando configuração-URL. O FWSM deve atribuir relações ao contexto antes que carregue a configuração do contexto; a configuração do contexto pode possivelmente os comandos include que referem relações, por exemplo, conecte, nat, global e assim por diante. Se você incorpora o comando configuração-URL primeiramente, o FWSM carrega a configuração do contexto imediatamente. Se o contexto contém os comandos any que referem relações, aqueles comandos falham.

Nesta encenação, termine as etapas na tabela a fim configurar o contexto múltiplo.

Há dois contextos múltiplos de B. Criação três dos clientes, do cliente A e do cliente (virtualmente três FWSM) em um único módulo FWSM tal como o contexto A para o cliente A, o contexto B para o cliente B, e o contexto Admin para administrar os contextos FWSM.

Nota: Crie VLAN 300, 301, 400, 401, 500 e 501 no Catalyst 6500 Series Switch antes que você o use no FWSM.

Crie os contextos no espaço da execução do sistema e atribua o VLAN respectivo a cada contexto criado e configurar o trajeto URL para cada contexto como mostrado.

Etapas de configuração do contexto múltiplo FWSM
FWSM(config)#context admin
FWSM(config-ctx)#allocate-interface VLAN500
FWSM(config-ctx)#allocate-interface VLAN501
FWSM(config-ctx)#config-url disk:/admin.cfg


!--- Allocate VLAN 500 and 501 to admin context


FWSM(config)#context contextA


!--- Customer A Context as Context A


FWSM(config-ctx)#allocate-interface VLAN300
FWSM(config-ctx)#allocate-interface VLAN301


!--- Allocate VLAN 300 and 301 to admin context


FWSM(config-ctx)#config-url disk:/contextA.cfg
WARNING: Could not fetch the URL disk:/contextA.cfg
INFO: Creating context with default config


!--- To identify the URL from which the 
!--- system downloads the context configuration.


FWSM(config-ctx)#context contextB
Creating context 'contextB'... Done. (3)


!--- Customer B Context as Context B


FWSM(config-ctx)#allocate-interface VLAN400
FWSM(config-ctx)#allocate-interface VLAN401


!--- Allocate VLAN 400 and 401 to admin context


FWSM(config-ctx)#config-url disk:/contextB.cfg
WARNING: Could not fetch the URL disk:/contextB.cfg
INFO: Creating context with default config
FWSM(config-ctx)#exit

FWSM: Configuração do espaço da execução do sistema

FWSM - Configuração do espaço da execução do sistema
FWSM(config)#show running-config
: Saved
:
FWSM Version 3.2(5)5 <system>
!
resource acl-partition 12
hostname FWSM
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
!
interface Vlan300
!
interface Vlan301
!
interface Vlan400
!
interface Vlan401
!
interface Vlan501
!
interface Vlan502
!
passwd 2KFQnbNIdI.2KYOU encrypted
class default
  limit-resource IPSec 5
  limit-resource Mac-addresses 65535
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
  limit-resource All 0
!

ftp mode passive
gdb enable
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Vlan501
  allocate-interface Vlan502
  config-url disk:/admin.cfg
!

context contextA
  allocate-interface Vlan300
  allocate-interface Vlan301
  config-url disk:/contextA.cfg
!

context contextB
  allocate-interface Vlan400
  allocate-interface Vlan401
  config-url disk:/contextB.cfg
!

prompt hostname context
Cryptochecksum:d62411d2a15f1da35c76fe071b61dcdb
: end
FWSM#

Mude entre contextos e o espaço da execução do sistema

Se você entra ao espaço da execução do sistema (ou ao contexto admin usando o telnet ou o SSH), você pode mudar entre contextos e executar a configuração e as tarefas de monitoramento dentro de cada contexto. A configuração running que você edita em um modo de configuração, ou que é afetada pela cópia ou pelos comandos write, depende de seu lugar. Quando você está no espaço da execução do sistema, a configuração running consiste somente na configuração de sistema; quando você está em um contexto, a configuração running consiste somente nesse contexto. Por exemplo, você não pode ver todas as configurações running (sistema mais todos os contextos) se você inscreve o comando show running-config. Somente os indicadores da configuração atual. Você pode, contudo, salvar todas as configurações running do contexto do espaço da execução do sistema se você usa o comando all da memória da escrita.

A fim mudar entre o espaço da execução do sistema e um contexto, ou entre contextos, veja estes comandos:

  • A fim mudar a um contexto, incorpore este comando:

    hostname#changeto context <context name>
    

    As mudanças da alerta a esta:

    hostname/name#
    
  • A fim mudar ao espaço da execução do sistema, incorpore este comando

    hostname/admin#changeto system
    

    As mudanças da alerta a esta:

    hostname#
    

FWSM - Configuração de ContextA

A fim configurar o contextA, mude ao contextA e siga o procedimento:


!--- From the system execution space, 
!--- enter the changeto context contextA command
!--- in order to configure the contextA configuration.

FWSM(config)#changeto context contextA

FWSM/context1(config)#
FWSM - Configuração padrão de ContextA
FWSM/contextA(config)#show running-config


!--- Default configuration of the context1


: Saved
:
FWSM Version 3.2(5)5 <context>
!
hostname contextA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan300
 no nameif
 no security-level
 no ip address
!
interface Vlan301
no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
gdb enable
pager lines 24
mtu inside 1500
mtu outside 1500
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 1:00:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
FWSM/contextA#
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
gdb enable
pager lines 24
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 1:00:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Cliente uma configuração para a conectividade de Internet.

FWSM - Configuração de ContextA
FWSM/contextA(config)#interface vlan300
FWSM/contextA(config-if)#nameif inside
WARNING: VLAN *300* is not configured.
INFO: Security level for "inside" set to 100 by default.
Access Rules Download Complete: Memory Utilization: 1%
FWSM/contextA(config-if)#ip address 10.1.1.1 255.255.255.0
FWSM/contextA(config-if)#no shut

FWSM/contextA(config-if)#interface vlan 301
FWSM/contextA(config-if)#nameif outside
INFO: Security level for "outside" set to 0 by default.
Access Rules Download Complete: Memory Utilization: 1%
FWSM/contextA(config-if)#ip add 192.168.1.1 255.255.255.0
FWSM/contextA(config-if)#no shut

FWSM/contextA(config)#access-list outbound permit ip any any
FWSM/contextA(config)#nat (inside) 1 access-list outbound
FWSM/contextA(config)#global (outside) 1 interface
INFO: outside interface address added to PAT pool
FWSM/contextA(config)#route outside-context1 0.0.0.0 0.0.0.0 192.168.1.5
FWSM/contextA(config)#exit

FWSM - Configuração de ContextA
FWSM/contextA#show running-config
: Saved
:
FWSM Version 3.2(5)5 <context>
!
hostname contextA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan300
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Vlan301
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
gdb enable
pager lines 24
mtu inside 1500
mtu outside 1500
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 access-list outbound
route outside 0.0.0.0 0.0.0.0 192.168.1.5 1


!--- Output Suppressed


!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
FWSM/contextA#

FWSM - Configuração de ContextB

Configuração do cliente B para a conectividade de Internet.

A fim configurar o contextB, mude ao contextB do contextA:


!--- From the system execution space, enter  
!--- the changeto context contextB command
--- in orderto configure the contextB configuration.

FWSM/contextA(config)#changeto context contextB
FWSM/contextB(config)#
FWSM - Configuração de ContextB
FWSM/contextB(config)#show running-config
: Saved
:
FWSM Version 3.2(5)5 <context>
!
hostname contextB
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan400
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0
!
interface Vlan401
 nameif outside
 security-level 0
 ip address 192.168.2.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
gdb enable
pager lines 24
mtu inside 1500
mtu outside 1500
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 access-list outbound
route outside 0.0.0.0 0.0.0.0 192.168.2.5 1

!--- Output Suppressed


!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
FWSM/contextB(config)#

Configurar similarmente o contexto admin para administrar o FWSM e seus contextos da interface interna e externa.

Salvar alterações de configuração no modo de contexto múltiplo

Você pode salvar cada configuração do contexto (e o sistema) separadamente, ou você pode salvar todas as configurações do contexto ao mesmo tempo. Esta seção inclui estes assuntos:

Salvar cada contexto e sistema separadamente

A fim salvar a configuração do sistema ou do contexto, incorpore este comando dentro do sistema ou do contexto:

hostname#write memory

Nota: O comando copy running-config startup-config é equivalente ao comando write memory.

Para o modo de contexto múltiplo, as configurações de inicialização do contexto podem residir em servidores internos. Neste caso, a ferramenta de segurança salvar a configuração de volta ao server que você identificou no contexto URL, à exceção de um HTTP ou de um HTTPS URL, que não o deixassem salvar a configuração ao server.

Salvar todas as configurações do contexto ao mesmo tempo

A fim salvar ao mesmo tempo todas as configurações do contexto, assim como a configuração de sistema, incorpore este comando ao espaço da execução do sistema:

hostname#write memory all [/noconfirm]

Se você não incorpora a palavra-chave de /noconfirm, você vê esta alerta:

Are you sure [Y/N]:

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • contexto da mostra — Indica os vários contextos.

    FWSM(config)#show context
    Context Name      Class      Interfaces           Mode         URL
    *admin            default    Vlan501,Vlan502      Routed       disk:/admin.cfg
     contextA         default    Vlan300,Vlan301      Routed       disk:/contextA.cfg
     contextB         default    Vlan400,Vlan401      Routed       disk:/contextB.cfg
    
    Total active Security Contexts: 3
  • modo da mostra — Verifique que o FWSM está configurado como um único ou um modo múltiplo.

    FWSM(config)#show mode
    Security context mode: multiple
    The flash mode is the SAME as the running mode.

Troubleshooting

Restaure o único modo do contexto

Se você converte do modo múltiplo ao modo simples, é possível à primeira cópia um a configuração de inicialização completa (se disponível) ao FWSM; a configuração de sistema herdada do modo múltiplo não é uma configuração completamente funcional para um dispositivo de modo único. Porque a configuração de sistema não tem nenhuma interfaces de rede como parte de sua configuração, você deve alcançar a ferramenta de segurança do console para executar a cópia.

A fim copiar a configuração running velha à configuração de inicialização e mudar o modo para escolher o modecomplete estas etapas no espaço da execução do sistema:

  1. A fim copiar a versão de backup de sua configuração running original à configuração de inicialização atual, incorpore este comando ao espaço da execução do sistema:

    hostname(config)#copy flash:old_running.cfg startup-config
    
  2. A fim ajustar o modo ao modo simples, incorpore este comando ao espaço da execução do sistema:

    hostname(config)#mode single
    

Repartições FWSM.

Recarregue um contexto de segurança

Você pode recarregar o contexto em duas maneiras:

  1. Cancele a configuração running e importe então a configuração de inicialização.

    Esta ação cancela a maioria de atributos associados com o contexto, tal como conexões e tabelas NAT.

  2. Remova o contexto da configuração de sistema.

    Esta ação cancela atributos adicionais, tais como a alocação de memória, que pode ser útil para pesquisar defeitos. Mas, a fim adicionar o contexto de volta ao sistema exige-o respecify a URL e as relações.

Esta seção inclui estes assuntos:

Rebatize o contexto

No modo de contexto múltiplo, rebatizar um contexto sem mudar a configuração não é apoiado.

Você pode salvar a configuração como uma configuração de firewall, mas você precisa de copiar a configuração completa a um nome de contexto novo e de suprimir da configuração velha do contexto.

Contexto da supressão

Use este comando a fim suprimir do contexto. Da edição do espaço do sistema, emita este comando:

no context contA

Igualmente certifique-se remover o arquivo de configuração correspondente para o contexto.

dir disk:
 
delete disk:/contA.cfg

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 107524