安全 : Cisco PIX 500 系列安全设备

PIX/ASA:使用TFTP服务器,备份与恢复安全工具配置文件

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

本文档描述如何备份和还原安全设备版本 6.x 和 7.x 的配置文件和镜像文件。本文档提供了用于在 TFTP 服务器和 PIX/ASA 之间复制这些文件的基本步骤。

注意: 请参阅 TFTP 服务器的选择和使用以选择 TFTP 服务器。

先决条件

要求

在使用本文档中的信息之前,请确保您的网络上存在您已与之建立 IP 连接的 TFTP 服务器。使用 ping 命令验证连接。

使用的组件

本文档不限于特定的软件和硬件版本。

相关产品

Cisco PIX 500 系列安全设备软件版本 7.x 配置也可以用于 Cisco ASA 系列安全设备软件版本 7.x。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

备份和还原配置

本部分提供有关这些用于备份和还原 PIX 6.x 和 7.x 配置的过程的信息:

使用 tftp-serverconfig netwrite net 命令备份和还原 PIX 6.x 或 7.x 中的配置

使用 write netconfig nettftp-server 命令可以备份和还原版本 6.x 和 7.x 的 PIX 配置。

注意: PIX 6.x 和 7.x 版本均支持这些命令和该过程。这两种情况下,都必须在全局配置模式下发出命令。

  1. 发出 tftp-server 命令以简化输入 configure netwrite net 命令。

    发出这些命令时,您可以继承由 tftp-server 命令指定的 TFTP 服务器,也可以提供您自己的值。您也可以按原样继承 tftp-server 命令中的路径,然后将路径和文件名添加到 tftp-server 命令值的末尾,或者覆盖 tftp-server 命令值。PIX 安全设备仅支持一个 tftp-server 命令。

    tftp-server [if_name] {ip_address|hostname} path
    
  2. 指定要用于 configure netwrite net 命令的默认 TFTP 服务器、路径和文件名。

    这些命令是在全局配置模式下使用的。发出这些命令的 no 形式以删除服务器配置。此命令支持 IPv4 和 IPv6 地址。

    注意: PIX 6.x 和 7.x 的命令语法略有不同。在 PIX 6.x 中,[if_name] 是一个可选参数,代表 TFTP 服务器所驻留的接口名称。如果未指定,则使用内部接口。如果指定外部接口,则会显示一条警告消息,提醒您外部接口不安全。但是,在 PIX 7.x 中,[if_name] 是一个必需参数,用于指定网关接口名称。如果您指定了一个并非最安全接口的接口,则会显示一条警告消息,提醒您该接口不安全。

    您在 tftp-server 命令中指定的路径名将添加到您在 configure netwrite net 命令中指定的 IP 地址的末尾。您使用 tftp-server 命令指定的文件和路径名越多,您在使用 configure netwrite net 命令时需要指定的就越少。如果您在 tftp-server 命令中指定了完整路径和文件名,则 configure netwrite net 命令中的 IP 地址可以表示为冒号。

    此示例指定一个 TFTP 服务器,然后从 /pixfirewall/config/test_config 中读取配置:

    tftp-server inside 10.1.1.42 /pixfirewall/config/test_config
    
    configure net :
  3. 发出 configure net 命令以将当前的运行配置与存储在您指定的 IP 地址的 TFTP 配置(来自您指定的文件)进行合并。

    如果您在 tftp-server 命令中同时指定了 IP 地址和路径名,则可以使用冒号来指定 server_ip :filename。

    configure net :

    此示例在 tftp-server 命令中设置了服务器和文件名,然后使用 configure net 命令覆盖了服务器。使用了同一文件名。

    hostname(config)#tftp-server inside 10.1.1.1 configs/config1
    
    hostname(config)#configure net 10.2.2.2:
    

    此示例在 tftp-server 命令中仅设置了服务器。configure net 命令仅指定了文件名。

    hostname(config)#tftp-server inside 10.1.1.1
    
    hostname(config)#configure net :configs/config1
    

    合并将新配置中的所有命令添加到运行配置中,并覆盖与新版本冲突的任何命令。例如,如果一个命令允许多个实例,则新命令将添加到存在于运行配置中的命令。如果一个命令只允许一个实例,则新命令将覆盖运行配置中的命令。合并从不删除存在于运行配置中但未在新配置中设置的命令。

    此命令与 copy tftp running-config 命令相同。对于 PIX 7.x 中的多上下文模式,该命令只有在系统执行空间中才可用。因此,configure net 命令是可在上下文中使用的替代命令。

  4. 发出 write net 命令以将运行配置存储在 TFTP 服务器中。

    write net 命令与 copy running-config tftp 命令等效。

    write net :

    运行配置是当前在内存中运行的配置。这包括您在命令行中所做的任何更改。在多上下文模式下,此命令仅保存当前配置。您无法使用单个命令保存所有上下文。必须为系统和每个上下文分别输入此命令。

    write net 命令使用上下文接口将配置写入 TFTP 服务器。但是,write memory 命令使用 admin 上下文接口来保存到启动配置中,因为系统使用 admin 上下文接口来访问上下文启动配置。

    此示例在 tftp-server 命令中设置 TFTP 服务器和文件名。

    hostname#tftp-server inside 10.1.1.1 /configs/contextbackup.cfg
    
    hostname#write net
    

    此示例在 write net 命令中设置服务器和文件名。tftp-server 命令未经填充。

    hostname#write net 10.1.1.1:/configs/contextbackup.cfg
    

    注意: 如果您的 PIX 防火墙配置存在于 TFTP 服务器上,并且您使用相同的文件名将此配置的简短版本存储到该 TFTP 服务器上,那么您可能会注意到第一个 :end mark 后面有多余的文本。一些 TFTP 服务器开始在该文件的开头写入,因此会在第一个 : end mark 后面留下某些原始配置。这不会影响 PIX 防火墙。但是,由于 configure net 命令在读到第一个 :end mark 时会停止读取,这样的情况也许导致混乱(如果您查看配置并在末尾看到多余的文本)。

使用 copy 命令备份和还原 PIX 6.x 镜像

使用 copy tftp flash 命令,可以通过 TFTP 将软件映像下载到防火墙的闪存中。您可以将 copy tftp flash 命令用于运行版本 5.1 或更高版本的任何 PIX 防火墙型号。您下载的镜像在PIX防火墙下一次重新加载(重启)时可用。

以下是 copy tftp flash 命令产生的输出:

copy tftp[:[[//location] [/tftp_pathname]]] flash[:[image | pdm]]

如果命令使用,不用位置或路径名可选参数,则位置和文件名从用户交互式地得到通过一系列的问题类似于思科IOS�软件提交的那些。如果只输入冒号,则从 tftp-server 命令设置中获取参数。如果提供了其他可选参数,则使用这些值代替相应的 tftp-server 命令设置。如果提供了任一可选参数(如冒号和其后的任何内容),则命令在运行时不提示用户输入。

位置是 IP 地址或通过 PIX 防火墙命名解析机制解析为 IP 地址的名称,当前该机制是通过 namenames 命令进行的静态映射。PIX 防火墙必须了解如何通过其路由表信息到达此位置。此信息由 ip addressrouteRIP 命令确定。具体使用哪个命令取决于您的配置。

除了服务器上文件的路径的最后一部分之外,路径名可以包括任何目录名称。路径名不能包含空格。如果目录名称有在 TFTP 服务器而非 copy tftp flash 命令中设置为目录的空格,并且如果将 TFTP 服务器配置为指向从中下载映像的系统上的目录,则只需要使用该系统的 IP 地址和映像文件名。TFTP 服务器接收命令,并根据其根目录信息确定文件的实际位置。然后,该服务器将 TFTP 镜像下载到 PIX 防火墙。

这是一个将镜像文件从 TFTP 服务器复制到 PIX,然后再复制回 TFTP 服务器的过程。

  1. 发出 copy tftp flash 命令将 PIX 镜像从 TFTP 服务器复制到 PIX 闪存。

    此示例会导致在您开始 TFTP 下载前,PIX 防火墙提示您输入文件名和位置。

    pix#copy tftp flash
    Address or name of remote host [127.0.0.1]? 10.1.1.5
    Source file name [cdisk]? pix512.bin
    copying tftp://10.1.1.5/pix512.bin to flash
    
    
    !!
    1030 bytes copied in 2.489 secs (395 bytes/sec)
    pix#
  2. 发出 copy flash tftp 命令将 PIX 镜像从闪存复制到 TFTP 服务器:

    pix#copy flash tftp
    Address or name of remote host []? 10.0.0.1
    Source filename []? pix512.bin
    Destination filename [pix512.bin]?
    Accessing tftp://10.66.64.10/backup_cfg_for_pix...
    !!!!
    
    1030 bytes copied in 9.612 secs (107 bytes/sec)
    pix#
  3. 发出 tftp-server 命令以设置文件名和位置。

    这将节省内存,然后将镜像下载到闪存。

    此示例会从 tftp-server 命令获取信息。这种情况下,TFTP 服务器位于 Intranet 中并驻留在外部接口上。

    pixfirewall(config)#tftp-server outside 10.1.1.5 pix512.bin
    
    Warning: 'outside' interface has a low security level (0).

    此示例显示 tftp:copy 命令中的用法。PIX 直接将镜像从 TFTP 复制到闪存,而无需干预。

    pixfirewall(config)#copy tftp: flash 
    
    copying tftp://10.1.1.5/pix512.bin to flash
    
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!...
  4. copy 命令中,发出 tftp-host 命令名。

    此示例使用 name 命令将 IP 地址映射到 TFTP 主机名。

    name 10.1.1.6 tftp-host
    
    copy tftp://tftp-host/pix512.bin flash
    
    copy tftp://tftp-host/tftpboot/pix512.bin flash

使用 copy 命令备份和还原 PIX/ASA 7.x/8.x 上的配置

使用以下方法之一可备份和还原 PIX/ASA 7.x/8.x 上的配置:

使用 copy 命令备份和还原 PIX 配置和镜像

使用 copy 命令可以将文件从一个位置复制到另一个位置。

copy [/noconfirm | /pcap] {url | running-config | startup-config}
 {running-config | startup-config | url}

注意: 使用使用 copy 命令备份和还原 PIX 6.x 镜像部分的第 1 步和第 2 步中提到的 copy 命令,获取备份并将 PIX 镜像还原到 TFTP 服务器。在版本 6.x 和 7.x/8.x 中,copy 命令的用法略有不同。在版本 6.x 中,如果将 tftp:copy 命令一起发出,例如 copy tftp: flash,则 PIX 会使用已存储的 TFTP 服务器信息(例如,路径和文件名)。但在版本 7.x/8.x 中,PIX 使用一组问题与用户交互,即使您将 tftp:copy 命令一起指定并指定了 TFTP 服务器信息,也是如此。

这是一个将配置从 PIX 复制到 TFTP 服务器,然后再复制回 PIX 的过程。

  1. 选择 PIX 运行配置文件并将其复制到 TFTP 服务器:

    pix#copy running-config tftp
    Address or name of remote host []? 10.0.0.1
    Destination filename [pix-confg]? backup_cfg_for_pix
    !!
    1030 bytes copied in 2.489 secs (395 bytes/sec)
    pix#
  2. 从 TFTP 服务器中选择配置文件并将其复制到处于特权(启用)模式的相同 PIX,该 PIX 具有基本配置。

    pix#copy tftp running-config
    Address or name of remote host []? 10.0.0.1
    Source filename []? backup_cfg_for_pix
    Destination filename [running-config]?
    Accessing tftp://10.66.64.10/backup_cfg_for_pix...
    Loading backup_cfg_for_pix from 10.0.0.1 (via Ethernet0): !
    [OK - 1030 bytes]
    
    1030 bytes copied in 9.612 secs (107 bytes/sec)
    pix#

备份和还原单模式配置或多模式系统配置

在单上下文模式下,或从多模式下的系统配置中,您可以将启动配置或运行配置复制到外部服务器或本地闪存:

注意: 您将配置复制到运行配置时,会合并这两个配置。合并会将新配置中的所有新命令都添加到运行配置中。如果这两个配置是相同的,则不会发生任何更改。如果命令冲突,或者命令影响上下文的运行,则合并的效果会取决于命令。可能会显示错误,也可能会出现意外结果。

  1. 选择启动配置或运行配置并将其复制到外部服务器或本地闪存:

    hostname#copy {startup-config | running-config}
    tftp://server[/path]/filename
    
  2. 发出以下 copy tftp 命令将文件还原回 PIX:

    hostname#copy tftp://server[/path]/filename {startup-config | running-config}
    
  3. 发出以下 copy 命令以复制到 FTP 服务器:

    hostname#copy {startup-config | running-config} 
    ftp://[user[:password]@]server[/path]/filename
    
  4. 发出以下 copy 命令将文件还原回 PIX:

    hostname#copy ftp://[user[:password]@]server[/path]/filename {startup-config | running-config}
    
  5. 发出以下 copy 命令以复制到本地闪存:

    hostname#copy {startup-config | running-config} {flash:/ | disk0:/ | 
    disk1:/}[path/]filename
    
  6. 发出以下 copy 命令以还原备份文件:

    hostname#copy {flash:/ | disk0:/ | 
    disk1:/}[path/]filename {startup-config | running-config}
    

    请确保目标目录存在。如果它不存在,请发出 mkdir 命令以创建目录。

备份和还原闪存中的上下文配置

在多上下文模式下,在系统执行空间中发出以下命令之一以复制本地闪存中的上下文配置。

  1. 发出以下 copy 命令以复制到 TFTP 服务器:

    hostname#copy disk:[path/]filename tftp://server[/path]/filename
    
  2. 发出以下 copy 命令将文件还原回 PIX:

    hostname#copy tftp://server[/path]/filename disk:[path/]filename
    
  3. 发出以下 copy 命令以复制到 FTP 服务器:

    hostname#copy disk:[path/]filename ftp://[user[:password]@]server 
    [/path]/filename
    
  4. 发出以下 copy 命令将文件还原回 PIX:

    hostname#copy ftp://[user[:password]@]server 
    [/path]/filename disk:[path/]filename
    
  5. 发出以下 copy 命令以复制到本地闪存:

    hostname#copy {flash:/ | disk0:/ | disk1:/}[path/]filename {flash:/ | disk0:/ | 
    disk1:/}[path/]newfilename
    
  6. 发出以下 copy 命令将文件还原回 PIX:

    hostname#copy {flash:/ | disk0:/ | 
    disk1:/}[path/]newfilename {flash:/ | disk0:/ | disk1:/}[path/]filename
    

备份上下文中的上下文配置

在多上下文模式下,可以从上下文的内部执行这些备份:

  1. 发出以下 copy 命令将运行配置复制到启动配置服务器(已连接到 admin 上下文):

    hostname/contexta#copy running-config startup-config
    
  2. 发出以下 copy 命令将运行配置复制到与上下文网络连接的 TFTP 服务器:

    hostname/contexta#copy running-config tftp:/server[/path]/filename
    

使用导出和导入命令备份附加文件

对您的配置至关重要的附加文件可能包括以下文件:

  • 使用 import webvpn 命令导入的文件。目前这些文件包括自定义项、URL 列表、Web 内容、插件和语言转换。

  • DAP 策略 (dap.xml)

  • CSD 配置 (data.xml)

  • 数字密钥和证书

  • 本地 CA 用户数据库和证书状态文件

通过 CLI 可以使用导出和导入命令来备份和还原您的配置的各个元素。要备份这些文件(例如,通过 import webvpn 命令导入的那些文件或证书),请完成以下步骤:

  1. 发出适当的 show 命令。例如:

    hostname #show import webvpn plug-in
    ica
    rdp
    ssh,telnet
    vnc
    hostname#
  2. 针对要备份的文件(在本示例中为 rdp 文件)发出 export 命令。

    hostname #export webvpn plug-in protocol rdp tftp://tftpserver/backupfilename
    
    hostname #

使用脚本备份和还原文件

您可以在安全设备上使用脚本来备份和还原配置文件,这些文件包括通过 import webvpn CLI 导入的所有扩展、CSD 配置 XML 文件和 DAP 配置 XML 文件。由于安全原因,Cisco 建议不要执行数字密钥和证书或本地 CA 密钥的自动备份。

为此,此部分提供了相关说明,并包括一个示例脚本。您可以按原样使用该脚本,也可以根据环境要求对该脚本进行修改。此示例脚本特定于 Linux 系统。要将此示例脚本用于 Microsoft Windows 系统,需要按照此示例的逻辑修改它。

注意: 通过现有 CLI 可以使用 copyexportimport 命令备份和还原各个文件。但是,它未提供让您通过执行一个操作即可备份所有 ASA 配置文件的工具。如果运行脚本,这将便于使用多个 CLI。

前提条件:

要使用脚本备份和还原 ASA 配置,请完成以下任务:

  • 使用 Expect 模块安装 Perl。

  • 安装可以访问 ASA 的 SSH 客户端。

  • 安装 TFTP 服务器以将文件从 ASA 发送到备份站点。

另一个选择是使用市面上有售的工具。您可以此脚本的逻辑放入此类工具中。

运行脚本

完成以下步骤以运行备份和还原脚本:

  1. 将脚本文件下载或剪切并粘贴到您的系统上的任何位置。

  2. 在命令行中,输入 Perl scriptname,其中 scriptname 是脚本文件的名称。

  3. Enter

  4. 系统会提示您输入每个选项的值。或者,您可以在输入 Perl scriptname 命令时(按 Enter 前)输入这些选项的值。无论哪种方式,脚本都要求您输入每个选项的值。

  5. 脚本开始运行并输出它发出的命令,从而为您提供一份 CLI 记录。您可以将这些 CLI 用于以后进行还原(当您只想还原其中一个或两个文件时特别有用)。

使用终端仿真程序备份和恢复配置

可以使用终端仿真程序备份和还原配置。这是使用 Microsoft HyperTerminal Terminal Emulation 软件和 PIX 6.x 或 7.x/8.x 的过程的说明。

  1. 在 pix> 提示符处,发出 enable 命令,并在出现提示时输入所需口令。

    提示符将更改为 pix#。这表示 PIX 处于特权模式。

  2. 发出 terminal pager 0 命令,以强制 PIX 一次返回全部响应,而不是一次返回一个屏幕。

    这使您可以捕获配置,而不会出现当 PIX 一次响应一个窗口时生成的--更多--提示。

  3. 在 HyperTerminal 菜单上,选择 Transfer > Capture Text

    此时将显示“Capture Text”窗口。

  4. 将该文件命名为 config.txt

  5. 单击 Start 以退出“Capture Text”窗口并开始捕获。

  6. 发出 show running-config 命令,并且等待一段时间以使路由器完成其响应。

    您看见此:

    Building configuration...

    配置会出现在 Building configuration 之后。

  7. 在 HyperTerminal 菜单上,选择 Transfer > Capture Text > Stop 以结束屏幕捕获。

  8. 在任何文本编辑器(例如,记事本或写字板)中打开您创建的 config.txt 文件,然后保存该文件。

  9. 连接到需要该配置还原的 PIX。

  10. 打开 config.txt 文件。

  11. 突出显示 config.txt 文件的全部内容。

    为了进行突出显示,请在按住鼠标左键时,将光标从文件中的第一个字符前拖动到最后一个字符后。或者,如果您使用的是记事本,则可以从菜单中选择编辑 > 全选

  12. 从文本编辑器的菜单中选择编辑 > 复制,或在按下 CTRL 键的同时按下 C 键,以从 Windows 剪贴板中复制所选文本。

  13. 切换到 HyperTerminal 窗口,并在 pix# 提示符处发出 configure terminal 命令。

  14. Enter

  15. 在 HyperTerminal 菜单上选择 Edit > Paste to Host 以将配置文件粘贴到 PIX 中。

  16. 粘贴配置后,PIX 将回到配置提示符处,请发出 copy running-config startup-config 命令以将配置写入内存。

  17. 发出 exit 命令以返回到 pix# 提示符处。

备份与恢复证书

完成这些步骤为了恢复从一个ASA的证书信息到另一个ASA :

  1. 导出从原始ASA的证书在PKCS12格式。

    crypto ca export [trustpoint name] pkcs12 [export password]

    这导入在一系列并且使用与此证书的密钥的所有证书。当您移动整个证书向另一个ASA时,您需要也移动与它的密钥。

  2. 导入与密钥的证书对第二防火墙。

    crypto ca import [trust point name] pkcs12 [password used to export]

    在您输入此命令前,您不需要定义任何托拉斯点。它自动地创建托拉斯点。因此,如果有有同一名称的任何信任点然后删除它,在您应用它前。

验证

发出 show running-config 命令以确认是否已将配置文件复制到目标 PIX。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 70771