Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

PIX/ASA 7.x et versions ultérieures : Exemple de configuration de plusieurs contextes

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit les étapes utilisées pour configurer le contexte multiple dans les dispositifs de sécurité.

Vous pouvez partitionner une appliance de sécurité simple dans les périphériques virtuels multiples, connus sous le nom de contextes de sécurité. Chaque contexte est un périphérique indépendant, avec ses propres politiques de sécurité, interfaces et administrateurs. Les contextes multiples sont semblables à avoir plusieurs périphériques autonomes. De nombreuses fonctionnalités sont prises en charge en mode de contexte multiple, notamment les tables de routage, les fonctionnalités de pare-feu, l'IPS et la gestion. Certaines fonctionnalités ne sont pas prises en charge, telles que les protocoles de routage VPN et dynamique.

Vous pouvez utiliser des contextes de sécurité multiples dans ces situations:

  • Vous êtes un fournisseur de services et voulez vendre des services de sécurité à beaucoup de clients. Si vous activez les contextes de sécurité multiples sur l'appliance de sécurité, vous pouvez mettre en oeuvre une solution de routage rentable et qui fait gagner de la place, qui maintient tout le trafic de routage de client distinct et le sécurise et qui facilite également la configuration.

  • Vous êtes une grande entreprise ou un campus de faculté et voulez maintenir des services complètement distincts.

  • Vous êtes une entreprise qui veut fournir des politiques de sécurité distinctes à différents services.

  • Vous avez n'importe quel réseau qui requiert plus d'une appliance de sécurité.

Remarque: En mode de Multi-contexte, vous pouvez mettre à niveau ou revenir à une version antérieure le logiciel PIX/ASA seulement dans le mode EXEC de système, et non pas dans les autres modes de contexte.

Pour plus d'informations sur les étapes utilisées pour configurer le contexte multiple dans le module de service de Pare-feu (FWSM), consultez FWSM : Exemple de configuration de plusieurs contextes.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Le dispositif de sécurité adaptatif de la gamme Cisco 5500 exécute avec la version du logiciel 7.x et les versions ultérieures.

    Remarque: La fonctionnalité de contexte multiple n'est pas prise en charge sur le dispositif de sécurité adaptatif de la gamme ASA 5505.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

Cette configuration peut également être utilisée avec le dispositif de sécurité de la gamme Cisco PIX 500 version 7.x et ultérieures.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Fichiers de configuration de contexte

Configurations de contexte

L'appliance de sécurité inclut une configuration pour chaque contexte qui identifie la politique de sécurité, les interfaces, et presque toutes les options que vous pouvez configurer sur un périphérique autonome. Vous pouvez enregistrer des configurations de contexte sur la mémoire flash interne ou la carte de mémoire Flash externe, ou vous pouvez les télécharger d'un TFTP, du FTP, ou du serveur HTTP.

Configuration système

L'administrateur système ajoute et gère des contextes par la configuration de chaque emplacement de configuration de contexte, les interfaces allouées, et d'autres paramètres opérationnels de contexte dans la configuration système, qui, comme une configuration de mode simple, est la configuration de démarrage. La configuration système identifie des paramètres de base pour l'appliance de sécurité. La configuration système n'inclut aucune interfaces réseau ou paramètre réseau pour elle-même; en revanche, quand le système doit accéder des ressources réseau (telles que des téléchargements de contexte à partir du serveur), elle utilise un des contextes qui est indiqué comme contexte d'admin. La configuration système inclut une interface spécialisée de Basculement pour le trafic de routage de Basculement seulement.

Configuration de contexte d'admin

Le contexte d'admin est juste comme n'importe quel autre contexte, sauf que quand un utilisateur se connecte au contexte d'admin, cet utilisateur a des droits d'administrateur système et peut accéder le système et à tous les autres contextes. Le contexte d'admin n'est pas restreint de quelque façon, et peut être utilisé comme contexte régulier, mais, parce que se connecter au contexte d'admin vous accorde des privilèges administrateur qui prévalent sur tous les contextes, vous devez restreindre l'accès au contexte d'admin pour s'approprier des utilisateurs. Le contexte d'admin doit résider sur la mémoire flash, et pas à distance.

Si votre système est déjà en mode de contexte multiple, ou si vous convertissez à partir du mode unique, le contexte d'admin est créé automatiquement comme fichier sur la mémoire flash interne appelée admin.cfg. Ce contexte est nommé « admin . » Si vous ne voulez pas utiliser admin.cfg comme contexte d'admin, vous pouvez modifier le contexte d'admin.

Remarque: Le contexte d'admin n'est pas compté dans la licence de contexte. Par exemple, si vous obtenez la licence pour deux contextes, vous êtres autorisés à obtenir le contexte d'admin et deux autres contextes.

Accès de la gestion aux contextes de sécurité

L'appliance de sécurité fournit l'accès d'administrateur système en mode multiple de contexte, aussi bien que l'accès pour différents administrateurs de contexte. Ces parties décrivent comment se connecter en tant qu'administrateur système ou en tant qu'un administrateur de contexte:

Accès de l'Administrateur système

Vous pouvez accéder à l'appliance de sécurité en tant qu'administrateur système de deux façons:

  • Accédez à la console d'appliance de sécurité.

    De la console, vous accédez à l'espace d'exécution de système.

  • Accédez au contexte d'admin avec le Telnet, le SSH, ou l'ASDM.

    Consultez « Gérer l'accès au système, » pour activer l'accès de Telnet, de SSH, et SDM.

En tant qu'administrateur système, vous pouvez accéder à tous les contextes.

Quand vous changez en un contexte d'admin ou du système, votre nom d'utilisateur change en devient le nom d'utilisateur par défaut "enable_15". Si vous avez configuré l'autorisation de commande dans ce contexte, vous devez ou configurer des privilèges d'autorisation pour l'utilisateur de "enable_15", ou vous connecter comme nom différent de celui pour lequel vous fournissez des privilèges suffisants en configuration d'autorisation de commande pour le contexte. Afin de se connecter avec un nom d'utilisateur, sélectionnez la commande login. Par exemple, vous vous connectez au contexte d'admin avec le nom d'utilisateur « admin. » Le contexte d'admin n'a aucune configuration d'autorisation de commande, mais tous les autres contextes incluent l'autorisation de commande. Pour la commodité, chaque configuration de contexte inclut un utilisateur « admin » avec des privilèges maximaux. Quand vous changez du contexte d'admin en contexte A, votre nom d'utilisateur est modifié, ainsi vous devez vous connecter de nouveau en tant qu'« admin » avec la commande login. Quand vous changez en contexte B, vous devez de nouveau sélectionner la commande login pour vous connecter en tant que « admin. »

L'espace d'exécution de système ne prend en charge aucune commande d'AAA, mais vous pouvez configurer son propre mot de passe activé, aussi bien que les noms d'utilisateur dans la base de données locale pour fournir différentes connexions.

Accès administrateur de contexte

Vous pouvez accéder à un contexte avec le Telnet, le SSH, ou l'ASDM. Si vous vous connectez à un contexte de non-admin, vous pouvez seulement accéder à la configuration pour ce contexte. Vous pouvez fournir différentes connexions au contexte.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/99131/multiple-context1.gif

Remarque: Les ports sur le commutateur qui sont connectés à l'ASA doivent être dans le mode de jonction puisque le trafic de VLAN multiple doit passer par lui dès que les interfaces ASA sont divisées en sous-interfaces.

Mode multiple de contexte activé ou déactivé

Votre appliance de sécurité est probablement déjà configurée pour des contextes de sécurité multiples en fonction de la façon dont vous l'avez commandée à Cisco, mais si vous mettez à niveau, vous pourriez avoir besoin de passer du mode unique au mode multiple. Cette partie explique les procédures pour la mise à niveau. L'ASDM prend en charge changer des modes de simple au mode "MULTIPLE" si vous utilisez l'assistant de Haute disponibilité et d'évolutivité, et vous activez le basculement actif/actif. Si vous ne voulez pas utiliser le basculement actif/actif ou vouloir changer de nouveau au mode unique, vous devez changer des modes au CLI. Référez-vous au pour en savoir plus de mode de contexte multiple d'activation ou désactivation.

Quand vous convertissez du mode unique en mode multiple, l'appliance de sécurité convertit la configuration en cours en deux fichiers. La configuration de démarrage initiale n'est pas enregistrée, ainsi, si elle diffère de la configuration en cours, vous devez la sauvegarder avant de poursuivre.

Activer le Mode contexte multiple

Le mode de contexte (simple ou multiple) n'est pas enregistré dans le fichier de configuration, quoiqu'il supporte des redémarrages. Si vous devez copier votre configuration vers un autre périphérique, définissez le mode sur le nouveau périphérique pour qu'il corresponde à la commande de mode.

Quand vous convertissez du mode unique en mode multiple, l'appliance de sécurité convertit la configuration en cours en deux fichiers; une nouvelle configuration de démarrage qui comporte la configuration système, et admin.cfg qui comporte le contexte d'admin (dans le répertoire racine de la mémoire flash interne). La configuration en cours initiale est enregistrée comme old_running.cfg (dans le répertoire racine de la mémoire flash interne). La configuration de démarrage initiale n'est pas enregistrée. L'appliance de sécurité ajoute automatiquement une entrée de routage pour le contexte d'admin à la configuration système avec le nom « admin. »

Afin d'activer le mode multiple, sélectionnez cette commande:

hostname(config)# mode multiple

Vous êtes invité à redémarrer l'appliance de sécurité.

CiscoASA(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash

The admin context configuration will be written to flash

The new running configuration file was written to flash
Security context mode: multiple

***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
***   change mode

Rebooting....

Booting system, please wait...
*
*
!--- output suppressed

*
*
INFO: Admin context is required to get the interfaces
*** Output from config line 20, "arp timeout 14400"
Creating context 'admin'... Done. (1)
*** Output from config line 23, "admin-context admin"

Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a

*** Output from config line 25, "  config-url flash:/admi..."

Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061c
Type help or '?' for a list of available commands.
CiscoASA>

Après le redémarrage, c'est la configuration par défaut de l'ASA :

Configuration par défaut ASA 8x
CiscoASA# show running-config
: Saved
:
ASA Version 8.0(2) <system>
!
hostname CiscoASA
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0/0
shutdown
!
interface Ethernet0/1
shutdown
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
no failover
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
   config-url disk0:/admin.cfg
!
!--- admin context is created
!--- by default once you enable 
!--- multiple mode


prompt hostname context
Cryptochecksum:410be16e875b7302990a831a5d91aefd
: end

Configurez un contexte de sécurité

La définition du contexte de sécurité dans la configuration système identifie le nom de contexte, l'URL de fichier de configuration et les interfaces qu'un contexte peut utiliser.

Remarque: Si vous n'avez pas un contexte d'admin (par exemple, si vous effacez la configuration), vous devez d'abord spécifier le nom de contexte d'admin quand vous sélectionnez cette commande :

hostname(config)# admin-context <name>

Remarque: Bien que ce nom de contexte n'existe pas encore dans votre configuration, vous pouvez ultérieurement sélectionner la commande de nom de contexte qui doit correspondre au nom spécifié pour continuer la configuration de contexte d'admin.

Afin d'ajouter ou de modifier un contexte dans la configuration système, effectuez ces étapes:

  1. Afin d'ajouter ou modifier un contexte, sélectionnez cette commande dans l'espace d'exécution de système :

    hostname(config)# context <name>
    

    Le nom est une chaîne pouvant aller jusqu'à 32 caractères. Ce nom distingue les majuscules et minuscules, ainsi vous pouvez avoir deux contextes nommés « client A » et « Client A, » par exemple. Vous pouvez utiliser des lettres, des chiffres, ou des tirets, mais vous ne pouvez pas commencer ou finir le nom avec un tiret.

    Le « système » ou le « null » (en majuscules ou minuscules) sont des noms réservés et ne peuvent pas être utilisés.

  2. (Facultatif) Afin d'ajouter une description pour ce contexte, sélectionnez cette commande:

    hostname(config-ctx)# description text
    
    
  3. Afin de spécifier les interfaces que vous pouvez utiliser dans le contexte, sélectionnez la commande appropriée pour une interface physique ou pour une ou plusieurs sous-interfaces.

    • Afin d'allouer une interface physique, sélectionnez cette commande:

      hostname(config-ctx)# allocate-interface 
      <physical_interface> [mapped_name] 
      [visible | invisible]
      
    • Afin d'allouer une ou plusieurs sous-interfaces, sélectionnez cette commande:

      hostname(config-ctx)# allocate-interface 
      <physical_interface.subinterface[-physical_interface.subinterface]>
      [mapped_name[-mapped_name]] [visible | invisible]
      

      Vous pouvez écrire ces temps multiples de commandes pour spécifier différentes portées. Si vous supprimez une allocation avec l'absence de forme de cette commande, toutes les commandes de contexte qui incluent cette interface sont supprimées de la configuration en cours.

  4. Afin d'identifier l'URL à partir de laquelle le système télécharge la configuration de contexte, sélectionnez cette commande:

    hostname(config-ctx)# config-url url
    
    

    Remarque: Sélectionnez la commande-Allocate interface avant de sélectionner la commande config-url. L'appliance de sécurité doit attribuer des interfaces au contexte avant qu'elle charge la configuration de contexte; la configuration de contexte peut inclure les commandes qui se rapportent à des interfaces (interface, nat, global…). Si vous sélectionnez d'abord a commande config-url, l'appliance de sécurité charge la configuration de contexte immédiatement. Si le contexte contient n'importe quelles commandes qui se rapportent à des interfaces, ces commandes échouent.

Dans ce scénario, suivez les étapes dans la table pour configurer le contexte multiple.

Il y a deux clients, le Client A et le Client B. Créez trois contextes multiples (pratiquement trois ASA) en une case simple ASA telle que Context1 pour le Client A, Context2 pour le Client B et contexte d'admin pour administrer les contextes ASA.

Créez deux sous-interfaces pour chaque contexte pour la connexion intérieure et extérieure. Attribuez les différents VLAN pour chaque sous-interface.

Créez les deux sous-interfaces dans Ethernet 0/0 comme Ethernet 0/0.1, Ethernets 0/0.2 pour la connexion extérieure de context1 et de context2, respectivement. De même, créez les deux sous-interfaces dans Ethernet 0/1 comme Ethernet 0/1.1, Ethernets 0/1.2 pour la connexion intérieure de context1 et de context2, respectivement.

Attribuez le vlan pour chaque sous-interface telle que le vlan 2 pour Ethernet 0/0.1, vlan3 pour Ethernet 0/1.1,vlan 4 pour Ethernet 0/0.2, vlan5 pour Ethernet 0/1.2.

Étapes de configuration de contexte multiple ASA
:

!--- Outside interface for context1 and context2.
!--- Create the sub interface in 
!--- outside interface for context1 and context2.


ciscoasa(config)# interface Ethernet0/0
ciscoasa(config-if)# no shutdown

!--- Inside interface for context1 and context2.
!--- Create the sub interface in 
!--- inside interface for context1 and context2.


ciscoasa(config)# interface Ethernet0/1
ciscoasa(config-if)# no shutdown


!--- Outside interface for admin context 
!--- to access the ASA from outside network
!--- using telnet or SSH.


ciscoasa(config-if)# interface Ethernet0/2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 6


!--- Inside interface for admin context 
!--- to access the ASA from inside network
!--- using telnet or SSH.


ciscoasa(config-if)# interface Ethernet0/3
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 7


!--- Context1 outside subinterface

ciscoasa(config-subif)# interface Ethernet0/0.1
ciscoasa(config-subif)# vlan 2

!--- !--- Context1 inside subinterface

ciscoasa(config-subif)# interface ethernet 0/1.1
ciscoasa(config-subif)# vlan 3

!--- !--- Context2 outside subinterface

ciscoasa(config-subif)# interface ethernet 0/0.2
ciscoasa(config-subif)# vlan 4

!--- !--- Context2 inside subinterface

ciscoasa(config-subif)# interface ethernet 0/1.2
ciscoasa(config-subif)# vlan 5

!--- Customer A Context as Context1


ciscoasa(config)# context context1
Creating context 'context1'... Done. (3)
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/0.1 outside-context1
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/1.1 inside-context1

!--- To specify the interfaces 
!--- used for the context1

ciscoasa(config-ctx)# config-url disk0:/context1.cfg

!--- To identify the URL from which the 
!--- system downloads the context configuration.


ciscoasa(config-ctx)# exit

!--- Customer B Context as Context2


ciscoasa(config)# context context2
Creating context 'context2'... Done. (3)
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/0.2 outside-context2
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/1.2 inside-context2
ciscoasa(config-ctx)# config-url 
   disk0:/context2.cfg

ciscoasa(config)# context admin
ciscoasa(config-ctx)# allocate-interface Ethernet0/2 outside
ciscoasa(config-ctx)# allocate-interface Ethernet0/3 inside


ASA 8.x - Configuration de l'espace d'exécution de système

ASA 8.x - Configuration de l'espace d'exécution de système
ciscoasa# sh run


ASA Version 8.0(2) <system>
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/0.1
 vlan 2
!
interface Ethernet0/0.2
 vlan 4
!
interface Ethernet0/1
!
interface Ethernet0/1.1
 vlan 3
!
interface Ethernet0/1.2
 vlan 5
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0


admin-context admin
context admin
  allocate-interface Ethernet0/2 outside
  allocate-interface Ethernet0/3 inside
  config-url disk0:/admin.cfg
!


context context1
  allocate-interface Ethernet0/0.1 outside-context1
  allocate-interface Ethernet0/1.1 inside-context1
  config-url disk0:/context1.cfg
!

context context2
  allocate-interface Ethernet0/0.2 outside-context2
  allocate-interface Ethernet0/1.2 inside-context2
  config-url disk0:/context2.cfg
!

prompt hostname context
Cryptochecksum:9e8bc648b240917631fa5716a007458f
: end

Modification entre les contextes et l'espace d'exécution de système

Si vous vous connectez à l'espace d'exécution de système (ou au contexte d'admin avec le Telnet ou le SSH), vous pouvez passer d'un contexte à l'autre comme vous pouvez aussi bien effectuer des tâches de configuration et de surveillance à l'intérieure de chaque contexte. La configuration en cours que vous éditez dans un mode de configuration, ou qui est utilisée dans la copie ou les commandes d'écriture, dépend de votre emplacement. Quand vous êtes dans l'espace d'exécution de système, la configuration en cours consiste seulement en la configuration système ; quand vous êtes dans un contexte, la configuration en cours consiste seulement en ce contexte. Par exemple, vous ne pouvez pas afficher toutes les configurations en cours (système plus tous les contextes) quand vous sélectionnez la commande show running-config. Seule la configuration en cours s'affiche.

Afin de modifier entre l'espace d'exécution de système et un contexte, ou entre les contextes, voir ces commandes:

  • Afin de changer en un contexte, sélectionnez cette commande:

    hostname# changeto context <context name>
    

    L'invite change en ceci:

    hostname/name#
    
  • Afin de changer en l'espace d'exécution de système, sélectionnez cette commande

    hostname/admin# changeto system
    

    L'invite change en ceci:

    hostname#
    

ASA - Configuration Context1

Afin de configurer le context1, changez en context1 et suivez la procédure :


!--- From the system execution space, 
!--- enter the command
!--- "changeto context context1 
!--- to configure the context1 configuration"

ciscoasa(config)# changeto context context1
ciscoasa/context1(config)#
ASA 8.x - Configuration par défaut Context1
ciscoasa/context1(config)# show run


!--- Default configuration of the context1



ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-contex1
 no nameif
 no security-level
 no ip address
!
interface inside-contex1
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
pager lines 24
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 
   0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 
   1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 
   0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Client A. Configuration pour la connectivité Internet.

ASA 8.x - Configuration de Context1

!--- Configuring Context1 for customer A


ciscoasa/context1# conf t
ciscoasa/context1(config)# int outside-context1
ciscoasa/context1(config-if)# ip add 10.1.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.

ciscoasa/context1(config-if)# int inside-context1
ciscoasa/context1(config-if)# ip add 172.16.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa/context1(config-if)# exit

ciscoasa/context1(config)# access-list outbound permit ip any any
ciscoasa/context1(config)# nat (inside-context1) 1 access-list outbound
ciscoasa/context1(config)# global (outside-context1) 1 interface
INFO: outside interface address added to PAT pool
ciscoasa/context1(config)# route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2
ciscoasa/context1(config)# exit

ASA 8x - Configuration Context1
ciscoasa/context1(config)# show run

ciscoasa/context1# sh run
: Saved
:
ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-context1
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!
interface inside-context1
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

global (outside-context1) 1 interface
nat (inside-context1) 1 access-list outbound
route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2 1


!--- Output Suppressed

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
ciscoasa/context1#

ASA - Configuration Context2

Client B. Configuration pour la connectivité Internet.

Afin de configurer le context2, passez du context1 au context2:


!--- From the system execution space, enter the command
!--- "changeto context context2
---to configure the context2 configuration"

ciscoasa/context1(config)# changeto context context2
ciscoasa/context2(config)#
ASA 8x - Configuration Context2
ciscoasa/context2(config)# show run
ASA Version 8.0(2) <context>
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside-context2
 nameif inside
 security-level 100
 ip address 172.17.1.1 255.255.255.0
!
interface outside-context2
 nameif outside
 security-level 0
 ip address 10.2.2.1 255.255.255.0
!

!--- Output Suppressed

!
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

global (outside-context2) 1 interface
nat (inside-context2) 1 access-list outbound
route outside-context2 0.0.0.0 0.0.0.0 10.2.2.2 1


!--- Output Suppressed

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Configurez de même le contexte d'admin pour administrer l'ASA et ses contextes de l'interface interne et externe.

Enregistrez les changements de configuration dans le mode de contexte multiple

Vous pouvez sauvegarder chaque configuration de contexte (et système) séparément, ou vous pouvez sauvegarder toutes les configurations de contexte en même temps. Cette section comprend les rubriques suivantes :

Sauvegardez chaque contexte et système séparément

Afin de sauvegarder le système ou la configuration de contexte, sélectionnez cette commande dans le système ou le contexte:

hostname# write memory

Remarque: Le commande copy running-config startup-config est équivalente à la commande de write memory.

Pour le mode multiple de contexte, les configurations de démarrage de contexte peuvent résider sur des serveurs externes. Dans ce cas, l'appliance de sécurité enregistre la configuration de nouveau sur le serveur que vous avez identifié dans l'URL de contexte, excepté pour un HTTP ou l'URL HTTPS, qui ne vous permet pas de sauvegarder la configuration sur le serveur.

Sauvegardez toutes les configurations de contexte en même temps

Afin de sauvegarder toutes les configurations de contexte en même temps, aussi bien que la configuration système, sélectionnez cette commande dans l'espace d'exécution de système:

hostname# write memory all [/noconfirm]

Si vous n'introduisez pas le mot clé /noconfirm, vous voyez cette invite:

Are you sure [Y/N]:

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

  • show flash - Vérifiez que le fichier de configuration de contexte est enregistré dans le flash.

  • mode de show - Vérifiez que l'ASA est configurée comme mode simple ou multiple.

ciscoasa# sh flash
--#--  --length--  -----date/time------  path
   71  14524416    Jul 23 2007 23:11:22  asa802-k8.bin
   75  6889764     Jul 23 2007 23:32:16  asdm-602.bin
    2  4096        Jul 23 2007 23:51:36  log
    6  4096        Jul 23 2007 23:51:48  crypto_archive
   76  2635734     Aug 12 2007 22:44:50  anyconnect-win-2.0.0343-k9.pkg
   77  1841        Sep 20 2007 04:21:38  old_running.cfg
   78  1220        Sep 20 2007 04:21:38  admin.cfg

ciscoasa/context2# sh mode
Security context mode: multiple

Dépannez

Restaurer le mode de contexte simple

Si vous convertissez du mode multiple en mode unique, il est possible de copier d'abord une configuration entière de démarrage (si disponible) sur l'appliance de sécurité ; la configuration système héritée du mode multiple n'est pas une configuration complètement fonctionnelle pour un périphérique de mode simple. Puisque la configuration système n'a aucune interface réseau en tant qu'élément de sa configuration, vous devez accéder à l'appliance de sécurité à partir de la console pour effectuer la copie.

Afin de copier l'ancienne configuration en cours sur la configuration de démarrage et modifier le mode au mode simple, effectuez ces étapes dans l'espace d'exécution de système:

  1. Afin de copier la version de sauvegarde de votre configuration en cours initiale sur la configuration de démarrage en cours, sélectionnez cette commande dans l'espace d'exécution de système :

    hostname(config)# copy flash:old_running.cfg startup-config
    
    
  2. Afin de définir le mode en mode simple, sélectionnez cette commande dans l'espace d'exécution de système :

    hostname(config)# mode single
    

L'appliance de sécurité redémarre.

Assigner la même adresse IP pour des plusieurs interfaces dans le mode de contexte multiple

Vous pouvez assigner la même adresse IP aux plusieurs interfaces dans un contexte différent. Bien que ceci soit possible, une adresse MAC distincte doit être attribuée pour cette interface dans chaque contexte afin de classifier le trafic de routage dans le contexte comme cela est montré.

Remarque: Si l'admin ne souhaite pas assigner l'adresse MAC avec la méthode manuelle, vous pouvez utiliser la commande auto de mac-address. Cette commande attribue l'adresse MAC automatiquement à toutes les interfaces, y compris aux sous-interfaces.

C'est un exemple de configuration :

context test1

   allocate-interface Ethernet0/2

   allocate-interface Ethernet0/2.1

   config-url disk0:/test1

!
!

context test2

   allocate-interface Ethernet0/2

   allocate-interface Ethernet0/2.200

   config-url disk0:/test2


ciscoasa(config)# change context test1

ciscoasa/test1(config)# int e0/2.1

ciscoasa/test1(config-if)# ip address 4.4.4.4

ciscoasa/test1(config-if)# change context test2

ciscoasa/test2(config)# int e0/2.200

ciscoasa/test2(config-if)# ip address 4.4.4.4

ciscoasa/test2(config-if)# exit

Remarque: Quand un paquet est envoyé avec une destination comme 4.4.4.4, le Pare-feu suivra la règle de classificateur de conduire ce paquet au contexte intéressé. Pour plus d'informations sur le comment le Pare-feu classifie les paquets, référez-vous à la règle de classificateur pour l'écoulement de paquet.

Attribuez la même adresse IP aux interfaces partagées dans le Mode multiple de contexte

Assigner la même adresse IP à l'interface partagée n'est pas possible. Une interface partagée au-dessus de plusieurs contextes nous permet pour simuler des Pare-feu virtuels au-dessus du même segment de RÉSEAU LOCAL. Quand la même adresse IP est assignée à l'interface partagée, par exemple partagé au-dessus de plusieurs contextes, elle donne une erreur de conflit d'adresse IP. L'ASA ne permettra pas cette configuration en raison de la question d'ARP entre les contextes pour la même adresse IP.

L'erreur est affichée ici pour votre référence : ERREUR : Cette adresse est en conflit avec une autre adresse sur le net.

Renommez le contexte

En mode multiple de contexte, renommer un contexte sans modifier la configuration n'est pas pris en charge.

Vous pouvez sauvegarder la configuration comme configuration de pare-feu, mais vous devez copier la configuration entière sur un nouveau nom de contexte et supprimer l'ancienne configuration de contexte.

Supprimez le contexte

A partir de l'espace de système, émettez cette commande pour supprimer le contexte:

  
no context contA 

Veillez également à supprimer le fichier de configuration correspondant pour le contexte.

dir disk:
 
delete disk:/contA.cfg

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 99131