Interfaces et modules Cisco : Module de services pare-feu de la gamme Cisco Catalyst 6500

FWSM : Exemple de configuration de plusieurs contextes

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Il décrit les étapes utilisées pour configurer plusieurs contextes dans le Module de services pare-feu (FWSM).

Vous pouvez partitionner un FWSM simple dans de plusieurs périphériques virtuels, connus sous le nom de contextes de sécurité. Chaque contexte a sa propres stratégie de sécurité, interfaces, et administrateurs. Les contextes multiples sont semblables à avoir plusieurs périphériques autonomes. Beaucoup de caractéristiques sont prises en charge dans le mode de contexte multiple, qui inclut des tables de routage, des fonctionnalités de pare-feu, et la Gestion. Quelques caractéristiques ne sont pas prises en charge, qui inclut des protocoles de routage dynamique.

Vous pouvez utiliser des contextes de sécurité multiples dans ces situations:

  • Vous êtes un fournisseur de services et voulez vendre des services de sécurité à beaucoup de clients. Quand vous activez de plusieurs contextes de sécurité sur le FWSM, vous pouvez implémenter une solution rentable et qui fait gagner de la place qui maintient tout le trafic de client distinct et le sécurise, et soulagez également la configuration.

  • Vous êtes une grande entreprise ou un campus de faculté et voulez maintenir des services complètement distincts.

  • Vous êtes une entreprise qui veut fournir des politiques de sécurité distinctes à différents services.

  • Vous avez n'importe quel réseau qui exige plus d'un Pare-feu.

Référez-vous à PIX/ASA 7.x et en haut : Plusieurs exemple de configuration de contexte pour plus d'informations sur la façon décrire les étapes utilisées pour configurer le plusieurs contexte dans les dispositifs de sécurité.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur le module de service de Pare-feu (FWSM) cette version de logiciel de passages 3.2(5).

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Fichiers de configuration de contexte

Configurations de contexte

Le FWSM inclut une configuration pour chaque contexte qui identifie la stratégie de sécurité, des interfaces, et presque toutes les options que vous pouvez configurer sur un périphérique autonome. Vous pouvez enregistrer des configurations de contexte sur la mémoire flash interne ou la carte de mémoire Flash externe, ou vous pouvez les télécharger d'un TFTP, du FTP, ou du serveur HTTP.

Configuration système

L'administrateur système ajoute et gère des contextes avec la configuration de chaque emplacement de configuration de contexte, les interfaces allouées, et d'autres paramètres d'emploi de contexte dans la configuration de système, qui, comme une configuration de mode unique, est la configuration de démarrage. La configuration de système identifie des paramètres de base pour le FWSM. La configuration système n'inclut aucune interfaces réseau ou paramètre réseau pour elle-même; en revanche, quand le système doit accéder à des ressources de réseau, telles que télécharger les contextes du serveur, il utilise un des contextes qui est indiqué comme contexte d'admin. La configuration système inclut une interface spécialisée de Basculement pour le trafic de routage de Basculement seulement.

Configuration de contexte d'admin

Le contexte d'admin est juste comme n'importe quel autre contexte, sauf que quand vous ouvrez une session au contexte d'admin, alors vous ont des droits d'administrateur système et peuvent accéder au système et tous autres contextes. Le contexte d'admin n'est pas limité de quelque façon, et peut être utilisé comme contexte régulier. Mais, parce que se connecter dans le contexte d'admin t'accorde des privilèges d'administrateur au-dessus de tous les contextes, vous pouvez probablement devoir limiter l'accès au contexte d'admin pour s'approprier des utilisateurs. Le contexte d'admin doit résider sur la mémoire flash, et pas à distance.

Si votre système est déjà en mode de contexte multiple, ou si vous convertissez à partir du mode unique, le contexte d'admin est créé automatiquement comme fichier sur la mémoire flash interne appelée admin.cfg. Ce contexte est nommé admin. Si vous ne voulez pas utiliser admin.cfg comme contexte d'admin, vous pouvez modifier le contexte d'admin.

Fonctions non prises en charge

Le mode de contexte multiple ne prend pas en charge les caractéristiques suivantes :

  • Protocoles de routage dynamique

    Les contextes de sécurité prennent uniquement en charge les routes statiques. Vous ne pouvez pas activer OSPF ou RIP en mode de contexte multiple.

  • Multidiffusion

Accès de la gestion aux contextes de sécurité

Le FWSM fournit l'accès d'administrateur système dans le mode de contexte multiple aussi bien que l'accès pour différents administrateurs de contexte. Ces parties décrivent comment se connecter en tant qu'administrateur système ou en tant qu'un administrateur de contexte:

Accès de l'Administrateur système

Vous pouvez accéder au FWSM en tant qu'administrateur système de deux manières :

  • Session au FWSM du commutateur.

    Du commutateur, vous accédez à l'espace d'exécution de système.

  • Accédez au contexte d'admin utilisant le telnet, le SSH, ou l'ASDM.

    Référez-vous à configurer la Gestion Access pour plus d'informations sur la façon activer l'accès de telnet, de SSH, et SDM.

En tant qu'administrateur système, vous pouvez accéder à tous les contextes.

Quand vous changez en un contexte d'admin ou du système, votre nom d'utilisateur change en le nom d'utilisateur par défaut d'enable_15". Si vous configuriez l'autorisation de commande dans ce contexte, vous devez ou configurer des privilèges d'autorisation pour l'utilisateur enable_15, ou vous pouvez ouvrir une session comme nom différent pour lequel vous fournissez des privilèges suffisants dans la configuration d'autorisation de commande pour le contexte. Sélectionnez la commande login afin d'ouvrir une session avec un nom d'utilisateur. Par exemple, vous ouvrez une session au contexte d'admin avec l'admin de nom d'utilisateur. Le contexte d'admin n'a aucune configuration d'autorisation de commande, mais tous les autres contextes incluent l'autorisation de commande. Pour la commodité, chaque configuration de contexte inclut un admin d'utilisateur avec des privilèges maximum. Quand vous changez du contexte d'admin en le contexte A, votre nom d'utilisateur est modifié, ainsi vous devez ouvrir une session de nouveau comme admin quand vous sélectionnez la commande login. Quand vous changez en le contexte B, vous devez de nouveau sélectionner la commande login d'ouvrir une session comme admin.

L'espace d'exécution de système ne prend en charge aucune commande d'AAA, mais vous pouvez configurer son propre mot de passe d'enable, aussi bien que noms d'utilisateur dans la base de données locale, afin de fournir différentes procédures de connexion.

Accès administrateur de contexte

Vous pouvez accéder à un contexte avec le Telnet, le SSH, ou l'ASDM. Si vous vous connectez à un contexte de non-admin, vous pouvez seulement accéder à la configuration pour ce contexte. Vous pouvez fournir différentes connexions au contexte.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/107524/fwsm-multiple-context-config-01.gif

Mode de contexte multiple d'activation ou désactivation

Votre FWSM pourrait déjà être configuré pour de plusieurs contextes de sécurité selon la façon dont vous l'avez commandé de Cisco. Si vous améliorez, cependant, vous pourriez devoir convertir du mode unique en mode "MULTIPLE" en suivant les procédures dans cette section. L'ASDM ne prend en charge pas changer des modes, ainsi vous devez changer des modes utilisant le CLI.

Sauvegarder la configuration de mode unique

Quand vous convertissez du mode unique en mode "MULTIPLE", le FWSM convertit la configuration en cours en deux fichiers. La configuration de démarrage d'origine n'est pas enregistrée, ainsi si elle diffère de la configuration en cours, vous devriez la sauvegarder avant de commencer.

Activation du mode de contexte multiple

Le mode de contexte (simple ou multiple) n'est pas enregistré dans le fichier de configuration, quoiqu'il supporte des redémarrages. Si vous devez copier votre configuration vers un autre périphérique, définissez le mode sur le nouveau périphérique pour qu'il corresponde à la commande de mode.

Quand vous convertissez du mode unique en mode "MULTIPLE", le FWSM convertit la configuration en cours en deux fichiers :.

  1. Une nouvelle configuration de démarrage qui comporte la configuration de système

  2. Un admin.cfg qui comporte du contexte d'admin dans le répertoire racine de la mémoire flash interne

La configuration en cours initiale est enregistrée comme old_running.cfg (dans le répertoire racine de la mémoire flash interne). La configuration de démarrage initiale n'est pas enregistrée. Le FWSM ajoute automatiquement une entrée pour le contexte d'admin à la configuration de système avec le nom « admin. »

Sélectionnez cette commande afin d'activer le mode "MULTIPLE" :

hostname(config)#mode multiple

Vous êtes incité à redémarrer le FWSM.

FWSM(config)#mode multiple

WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash

The admin context configuration will be written to flash

The new running configuration file was written to flash
Security context mode: multiple

***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
***   change mode

Rebooting....

Booting system, please wait...
*
*

!--- Output suppressed


*
*
INFO: Admin context is required to get the interfaces
*** Output from config line 20, "arp timeout 14400"
Creating context 'admin'... Done. (1)
*** Output from config line 23, "admin-context admin"

Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a

*** Output from config line 25, "  config-url flash:/admi..."

Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061c
Type help or '?' for a list of available commands.
FWSM>

Après réinitialisation, c'est la configuration par défaut du FWSM :

Configuration par défaut FWSM
FWSM#show running-config
: Saved
:
FWSM Version 3.2(5)5 <system>
!
resource acl-partition 12
hostname FWSM
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
!
interface Vlan501
!
interface Vlan502
!
passwd 2KFQnbNIdI.2KYOU encrypted
class default
  limit-resource IPSec 5
  limit-resource Mac-addresses 65535
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
  limit-resource All 0
!

ftp mode passive
gdb enable
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Vlan501
  allocate-interface Vlan502
  config-url disk:/admin.cfg


!--- admin context is created
!--- by default once you enable 
!--- multiple mode

!

prompt hostname context
Cryptochecksum:d62411d2a15f1da35c76fe071b61dcdb
: end
FWSM#

Configurez un contexte de sécurité

La définition de contexte de sécurité dans la configuration de système identifie le nom de contexte, l'URL de fichier de configuration, les interfaces qu'un contexte peut utiliser, et d'autres paramètres de contexte.

Remarque:  Si vous n'avez pas un contexte d'admin, par exemple, si vous effacez la configuration, vous devez d'abord spécifier le nom de contexte d'admin quand vous sélectionnez cette commande :.

hostname(config)#admin-context <name>

Remarque: Bien que ce nom de contexte n'existe pas encore dans votre configuration, vous pouvez ultérieurement sélectionner la commande de nom de contexte afin d'apparier le nom spécifié pour continuer la configuration de contexte d'admin.

Afin d'ajouter ou changer un contexte dans la configuration de système, terminez-vous ces étapes :

  1. Afin d'ajouter ou modifier un contexte, sélectionnez cette commande dans l'espace d'exécution de système :

    hostname(config)#context <name>
    
    

    Le nom est une chaîne pouvant aller jusqu'à 32 caractères. Ce nom distingue les majuscules et minuscules, ainsi vous pouvez avoir deux contextes nommés « client A » et « Client A, » par exemple. Vous pouvez utiliser des lettres, des chiffres, ou des tirets, mais vous ne pouvez pas commencer ou finir le nom avec un tiret.

    Le « système » ou le « null » (en majuscules ou minuscules) sont des noms réservés et ne peuvent pas être utilisés.

  2. (Facultatif) Afin d'ajouter une description pour ce contexte, sélectionnez cette commande:

    hostname(config-ctx)#description text
    
    
    
  3. Afin de spécifier les interfaces que vous pouvez utiliser dans le contexte, sélectionnez cette commande :

    hostname(config-ctx)#allocate-interface vlannumber[-vlannumber] [map_name[-map_name] 
    [invisible | visible]]
    

    Vous pouvez écrire de plusieurs temps de cette commande afin de spécifier différentes plages. Si vous retirez une allocation avec le forme no de cette commande, alors toutes les commandes de contexte qui incluent cette interface sont retirées de la configuration en cours.

    Écrivez un nombre VLAN ou une plage des VLAN, typiquement de 2 à 1000 et à partir de 1025 à 4094. Voyez la documentation de commutateur pour des VLAN pris en charge. Employez la commande show vlan afin de voir une liste de VLAN assignés au FWSM. Vous pouvez allouer un VLAN qui n'est pas encore assigné au FWSM, mais vous devez les assigner du commutateur si vous voulez qu'ils passent le trafic. Quand vous allouez une interface, le FWSM ajoute automatiquement la commande d'interface pour chaque VLAN dans la configuration de système.

  4. Sélectionnez cette commande afin d'identifier l'URL dont le système télécharge la configuration de contexte :

    hostname(config-ctx)#config-url url
    

    Quand vous ajoutez un URL de contexte, le système charge immédiatement le contexte de sorte qu'il s'exécute, si la configuration est disponible.

    Remarque: Sélectionnez la commande-Allocate interface avant de sélectionner la commande config-url. Le FWSM doit assigner des interfaces au contexte avant qu'il charge la configuration de contexte ; la configuration de contexte peut probablement inclure les commandes qui se rapportent à des interfaces, par exemple, reliez, nat, global et ainsi de suite. Si vous sélectionnez la commande config-URL d'abord, le FWSM charge la configuration de contexte immédiatement. Si le contexte contient n'importe quelles commandes qui se rapportent à des interfaces, ces commandes échouent.

Dans ce scénario, terminez-vous les étapes dans la table afin de configurer le plusieurs contexte.

Il y a deux contextes de B. de clients, de client A et de client plusieurs Create trois (pratiquement trois FWSMs) dans un module simple FWSM tel que le contexte A pour le client A, le contexte B pour le client B, et le contexte d'admin pour administrer les contextes FWSM.

Remarque: Créez VLAN 300, 301, 400, 401, 500 et 501 dans la gamme Catalyst 6500 commutent avant que vous l'utilisiez dans le FWSM.

Créez les contextes dans l'espace d'exécution de système et allouez le VLAN respectif au chaque contexte créé et configurez le chemin URL pour chaque contexte comme affiché.

Plusieurs étapes de configuration de contexte FWSM
FWSM(config)#context admin
FWSM(config-ctx)#allocate-interface VLAN500
FWSM(config-ctx)#allocate-interface VLAN501
FWSM(config-ctx)#config-url disk:/admin.cfg


!--- Allocate VLAN 500 and 501 to admin context


FWSM(config)#context contextA


!--- Customer A Context as Context A


FWSM(config-ctx)#allocate-interface VLAN300
FWSM(config-ctx)#allocate-interface VLAN301


!--- Allocate VLAN 300 and 301 to admin context


FWSM(config-ctx)#config-url disk:/contextA.cfg
WARNING: Could not fetch the URL disk:/contextA.cfg
INFO: Creating context with default config


!--- To identify the URL from which the 
!--- system downloads the context configuration.


FWSM(config-ctx)#context contextB
Creating context 'contextB'... Done. (3)


!--- Customer B Context as Context B


FWSM(config-ctx)#allocate-interface VLAN400
FWSM(config-ctx)#allocate-interface VLAN401


!--- Allocate VLAN 400 and 401 to admin context


FWSM(config-ctx)#config-url disk:/contextB.cfg
WARNING: Could not fetch the URL disk:/contextB.cfg
INFO: Creating context with default config
FWSM(config-ctx)#exit

FWSM : Configuration de l'espace d'exécution de système

FWSM - Configuration de l'espace d'exécution de système
FWSM(config)#show running-config
: Saved
:
FWSM Version 3.2(5)5 <system>
!
resource acl-partition 12
hostname FWSM
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
!
interface Vlan300
!
interface Vlan301
!
interface Vlan400
!
interface Vlan401
!
interface Vlan501
!
interface Vlan502
!
passwd 2KFQnbNIdI.2KYOU encrypted
class default
  limit-resource IPSec 5
  limit-resource Mac-addresses 65535
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
  limit-resource All 0
!

ftp mode passive
gdb enable
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Vlan501
  allocate-interface Vlan502
  config-url disk:/admin.cfg
!

context contextA
  allocate-interface Vlan300
  allocate-interface Vlan301
  config-url disk:/contextA.cfg
!

context contextB
  allocate-interface Vlan400
  allocate-interface Vlan401
  config-url disk:/contextB.cfg
!

prompt hostname context
Cryptochecksum:d62411d2a15f1da35c76fe071b61dcdb
: end
FWSM#

Modification entre les contextes et l'espace d'exécution de système

Si vous ouvrez une session à l'espace d'exécution de système (ou au contexte d'admin utilisant le telnet ou le SSH), vous pouvez changer entre les contextes et effectuer la configuration et les tâches de surveillance dans chaque contexte. La configuration en cours que vous éditez dans un mode de configuration, ou qui est affectée par la copie ou les touches d'écriture, dépend de votre emplacement. Quand vous êtes dans l'espace d'exécution de système, la configuration en cours consiste seulement en la configuration système ; quand vous êtes dans un contexte, la configuration en cours consiste seulement en ce contexte. Par exemple, vous ne pouvez pas visualiser toutes les configurations en cours (système plus tous les contextes) si vous sélectionnez la commande show running-config. Seule la configuration en cours s'affiche. Vous pouvez, cependant, sauvegarder toutes les configurations en cours de contexte de l'espace d'exécution de système si vous utilisez la write memory toute la commande.

Afin de modifier entre l'espace d'exécution de système et un contexte, ou entre les contextes, voir ces commandes:

  • Afin de changer en un contexte, sélectionnez cette commande:

    hostname#changeto context <context name>
    

    L'invite change en ceci:

    hostname/name#
    
  • Afin de changer en l'espace d'exécution de système, sélectionnez cette commande

    hostname/admin#changeto system
    

    L'invite change en ceci:

    hostname#
    

FWSM - Configuration de ContextA

Afin de configurer le contextA, changez en le contextA et suivez la procédure :


!--- From the system execution space, 
!--- enter the changeto context contextA command
!--- in order to configure the contextA configuration.

FWSM(config)#changeto context contextA

FWSM/context1(config)#
FWSM - Configuration par défaut de ContextA
FWSM/contextA(config)#show running-config


!--- Default configuration of the context1


: Saved
:
FWSM Version 3.2(5)5 <context>
!
hostname contextA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan300
 no nameif
 no security-level
 no ip address
!
interface Vlan301
no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
gdb enable
pager lines 24
mtu inside 1500
mtu outside 1500
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 1:00:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
FWSM/contextA#
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
gdb enable
pager lines 24
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 1:00:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Client A. Configuration pour la connectivité Internet.

FWSM - Configuration de ContextA
FWSM/contextA(config)#interface vlan300
FWSM/contextA(config-if)#nameif inside
WARNING: VLAN *300* is not configured.
INFO: Security level for "inside" set to 100 by default.
Access Rules Download Complete: Memory Utilization: 1%
FWSM/contextA(config-if)#ip address 10.1.1.1 255.255.255.0
FWSM/contextA(config-if)#no shut

FWSM/contextA(config-if)#interface vlan 301
FWSM/contextA(config-if)#nameif outside
INFO: Security level for "outside" set to 0 by default.
Access Rules Download Complete: Memory Utilization: 1%
FWSM/contextA(config-if)#ip add 192.168.1.1 255.255.255.0
FWSM/contextA(config-if)#no shut

FWSM/contextA(config)#access-list outbound permit ip any any
FWSM/contextA(config)#nat (inside) 1 access-list outbound
FWSM/contextA(config)#global (outside) 1 interface
INFO: outside interface address added to PAT pool
FWSM/contextA(config)#route outside-context1 0.0.0.0 0.0.0.0 192.168.1.5
FWSM/contextA(config)#exit

FWSM - Configuration de ContextA
FWSM/contextA#show running-config
: Saved
:
FWSM Version 3.2(5)5 <context>
!
hostname contextA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan300
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Vlan301
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
gdb enable
pager lines 24
mtu inside 1500
mtu outside 1500
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 access-list outbound
route outside 0.0.0.0 0.0.0.0 192.168.1.5 1


!--- Output Suppressed


!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
FWSM/contextA#

FWSM - Configuration de ContextB

Client B. Configuration pour la connectivité Internet.

Afin de configurer le contextB, modification au contextB de contextA :


!--- From the system execution space, enter  
!--- the changeto context contextB command
--- in orderto configure the contextB configuration.

FWSM/contextA(config)#changeto context contextB
FWSM/contextB(config)#
FWSM - Configuration de ContextB
FWSM/contextB(config)#show running-config
: Saved
:
FWSM Version 3.2(5)5 <context>
!
hostname contextB
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan400
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0
!
interface Vlan401
 nameif outside
 security-level 0
 ip address 192.168.2.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
gdb enable
pager lines 24
mtu inside 1500
mtu outside 1500
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 access-list outbound
route outside 0.0.0.0 0.0.0.0 192.168.2.5 1

!--- Output Suppressed


!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
FWSM/contextB(config)#

Configurez de même le contexte d'admin pour administrer le FWSM et ses contextes de l'interface interne et externe.

Enregistrez les changements de configuration dans le mode de contexte multiple

Vous pouvez sauvegarder chaque configuration de contexte (et système) séparément, ou vous pouvez sauvegarder toutes les configurations de contexte en même temps. Cette section comprend les rubriques suivantes :

Sauvegardez chaque contexte et système séparément

Afin de sauvegarder le système ou la configuration de contexte, sélectionnez cette commande dans le système ou le contexte:

hostname#write memory

Remarque: Le commande copy running-config startup-config est équivalente à la commande de write memory.

Pour le mode multiple de contexte, les configurations de démarrage de contexte peuvent résider sur des serveurs externes. Dans ce cas, l'appliance de sécurité enregistre la configuration de nouveau sur le serveur que vous avez identifié dans l'URL de contexte, excepté pour un HTTP ou l'URL HTTPS, qui ne vous permet pas de sauvegarder la configuration sur le serveur.

Sauvegardez toutes les configurations de contexte en même temps

Afin de sauvegarder toutes les configurations de contexte en même temps, aussi bien que la configuration système, sélectionnez cette commande dans l'espace d'exécution de système:

hostname#write memory all [/noconfirm]

Si vous n'introduisez pas le mot clé /noconfirm, vous voyez cette invite:

Are you sure [Y/N]:

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

  • show context — Affiche les divers contextes.

    FWSM(config)#show context
    Context Name      Class      Interfaces           Mode         URL
    *admin            default    Vlan501,Vlan502      Routed       disk:/admin.cfg
     contextA         default    Vlan300,Vlan301      Routed       disk:/contextA.cfg
     contextB         default    Vlan400,Vlan401      Routed       disk:/contextB.cfg
    
    Total active Security Contexts: 3
  • mode d'exposition — Vérifiez que le FWSM est configuré comme mode simple ou "MULTIPLE".

    FWSM(config)#show mode
    Security context mode: multiple
    The flash mode is the SAME as the running mode.

Dépannez

Restaurer le mode de contexte simple

Si vous convertissez du mode "MULTIPLE" en mode unique, il est possible à la première copie par pleine configuration de démarrage (si disponible) au FWSM ; la configuration système héritée du mode multiple n'est pas une configuration complètement fonctionnelle pour un périphérique de mode simple. Puisque la configuration système n'a aucune interface réseau en tant qu'élément de sa configuration, vous devez accéder à l'appliance de sécurité à partir de la console pour effectuer la copie.

Afin de copier la vieille configuration en cours sur la configuration de démarrage et changer le mode pour choisir le modecomplete ces étapes dans l'espace d'exécution de système :

  1. Afin de copier la version de sauvegarde de votre configuration en cours initiale sur la configuration de démarrage en cours, sélectionnez cette commande dans l'espace d'exécution de système :

    hostname(config)#copy flash:old_running.cfg startup-config
    
  2. Afin de définir le mode en mode simple, sélectionnez cette commande dans l'espace d'exécution de système :

    hostname(config)#mode single
    

Réinitialisations FWSM.

Rechargez un contexte de sécurité

Vous pouvez recharger le contexte de deux manières :

  1. Effacez la configuration en cours et puis importez la configuration de démarrage.

    Cette action efface la plupart des attributs associés avec le contexte, tel que des connexions et des tables NAT.

  2. Retirez le contexte de la configuration de système.

    Cette action efface des attributs supplémentaires, tels que l'allocation de mémoire, qui peut être utile pour le dépannage. Mais, afin d'ajouter le contexte de nouveau au système exige de vous de respecify l'URL et les interfaces.

Cette section comprend les rubriques suivantes :

Renommez le contexte

En mode multiple de contexte, renommer un contexte sans modifier la configuration n'est pas pris en charge.

Vous pouvez sauvegarder la configuration comme configuration de pare-feu, mais vous devez copier la configuration entière sur un nouveau nom de contexte et supprimer l'ancienne configuration de contexte.

Supprimez le contexte

Employez cette commande afin de supprimer le contexte. De la question de l'espace de système, émettez cette commande :

no context contA

Veillez également à retirer le fichier correspondant de config pour le contexte.

dir disk:
 
delete disk:/contA.cfg

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 107524