セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA 7.x 以上: マルチ コンテキストの設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2010 年 8 月 10 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、セキュリティ アプライアンスでマルチ コンテキストを設定する場合に使用する手順について説明します。

1 つのセキュリティ アプライアンスは複数の仮想デバイスに分割できます。これをセキュリティ コンテキストと呼びます。 それぞれのコンテキストは独立したデバイスであり、それぞれに独自のセキュリティ ポリシー、インターフェイスがあり、管理者がいます。 マルチ コンテキストは、複数のスタンドアロン デバイスに似ています。 多くの機能がマルチ コンテキスト モードでサポートされており、これには、ルーティング テーブル、ファイアウォール機能、IPS、管理が含まれています。 VPN、ダイナミック ルーティング プロトコルなどのいくつかの機能はサポートされていません。

次のような状況で、マルチ セキュリティ コンテキストを使用できます。

  • サービス プロバイダーとして、多くの顧客にセキュリティ サービスを販売しようとしている場合。 マルチ セキュリティ コンテキストをセキュリティ アプライアンスでイネーブルにすると、すべての顧客のトラフィックを独立させて安全を保ちつつ設定を簡略化できる、コスト効率に優れた設置面積の小さなソリューションを実装できます。

  • 大企業または大学キャンパスで、すべての部門の完全な独立性を維持する場合。

  • 企業で部門ごとに異なるセキュリティ ポリシーを適用しようとしている場合。

  • 1 つ以上のセキュリティ アプライアンスを必要とするネットワークがある場合。

注: マルチ コンテキスト モードで PIX/ASA ソフトウェアのアップグレードまたはダウングレードができるのは、System EXEC モードだけであり、他のコンテキスト モードではできません。

Firewall Service Module(FWSM; ファイアウォール サービス モジュール)でマルチ コンテキストを設定するために使用する手順の詳細は、『FWSM: マルチ コンテキストの設定例』を参照してください。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 7.x 以降が稼動する Cisco 5500 シリーズ適応型セキュリティ アプライアンス

    注: マルチ コンテキスト機能は、ASA 5505 シリーズ適応型セキュリティ アプライアンスではサポートされていません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この設定は、Cisco PIX 500 シリーズ セキュリティ アプライアンス バージョン 7 以降にも適用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

コンテキスト コンフィギュレーション ファイル

コンテキスト コンフィギュレーション

セキュリティ アプライアンスにはそれぞれのコンテキスト用のコンフィギュレーションがあり、それによって、セキュリティ ポリシー、インターフェイス、およびスタンドアロン デバイスに設定できるほぼすべてのオプションが識別されます。 コンテキスト コンフィギュレーションは、内部のフラッシュ メモリまたは外部のフラッシュ メモリ カードに格納することも、TFTP、FTP、または HTTP(S)サーバからダウンロードすることもできます。

システム コンフィギュレーション

システム管理者は、各コンテキスト コンフィギュレーションの場所、割り当てられたインターフェイス、およびシングル モード コンフィギュレーションのようなスタートアップ コンフィギュレーションであるシステム コンフィギュレーション内の他のコンテキスト動作パラメータのコンフィギュレーションによって、コンテキストの追加と管理を行います。 システム コンフィギュレーションは、セキュリティ アプライアンスの基本設定を識別します。 システム コンフィギュレーションには、ネットワーク インターフェイスやそれ自体のネットワーク設定は含まれません。 それよりも、システムがネットワーク リソースにアクセスすることが必要な場合(サーバからのコンテキスト ダウンロードなど)、管理コンテキストとして指定されるコンテキストの 1 つを使用します。 システム コンフィギュレーションは、フェールオーバー トラフィック専用の特別なフェールオーバー インターフェイスを含んでいます。

管理コンテキスト コンフィギュレーション

管理コンテキストは他のコンテキストとまったく同じですが、唯一異なるのは、ユーザが管理コンテキストにログインすると、ユーザはシステム管理者権限を持ち、システムと他のすべてのコンテキストにアクセスできるようになることです。 管理コンテキストはまったく制限を受けず、通常のコンテキストと同様に使用できますが、管理コンテキストにログインするとすべてのコンテキストに対する管理者特権が付与されるので、管理コンテキストへのアクセスは適切なユーザに制限する必要があります。 管理コンテキストは、フラッシュ メモリ上に存在する必要があり、リモートに存在することはできません。

システムがすでにマルチ コンテキスト モードである場合、またはシングル モードから変換した場合、管理コンテキストは、admin.cfg という名前の内部フラッシュ メモリ上のファイルとして自動的に作成されます。 このコンテキストが「admin.(管理)」という名前になります。 管理コンテキストとして admin.cfg を使用したくない場合は、管理コンテキストを変更できます。

注: 管理コンテキストはコンテキスト ライセンスにはカウントされません。 たとえば、2 つのコンテキスト用のライセンスを取得している場合、管理コンテキストと他の 2 つのコンテキストを持つことが許可されます。

セキュリティ コンテキストへの管理アクセス

セキュリティ アプライアンスは、個別のコンテキスト管理者向けのアクセスに加えて、マルチ コンテキスト モードでシステム管理者アクセスを提供します。 以降のセクションでは、システム管理者として、またはコンテキスト管理者としてログインすることについて説明します。

システム管理者のアクセス

セキュリティ アプライアンスには、次の 2 つの方法でシステム管理者としてアクセスできます。

  • セキュリティ アプライアンス コンソールにアクセスする。

    コンソールから、システム実行スペースにアクセスします。

  • Telnet、SSH、または ASDM で管理コンテキストにアクセスする。

    Telnet、SSH、および ASDM アクセスをイネーブルにする方法の詳細は、「システム アクセスの管理」を参照してください。

システム管理者は、すべてのコンテキストにアクセスできます。

管理またはシステム コンテキストから特定のコンテキストに変更すると、ユーザ名がデフォルトの「enable_15」ユーザ名に変更されます。 そのコンテキストでコマンド認可を設定した場合、「enable_15」ユーザ向けに認可特権を設定する必要があり、また、そのコンテキスト用のコマンド認可コンフィギュレーションに十分な特権を持つ別のユーザ名でログインすることもできます。 あるユーザ名でログインするには、ログイン コマンドを入力します。 たとえば、ユーザ名「admin」で管理コンテキストにログインします。 管理コンテキストにはコマンド認可コンフィギュレーションはありませんが、他のすべてのコンテキストにはコマンド認可が含まれています。 便宜上、それぞれのコンテキスト コンフィギュレーションには、最大の特権を持つ「admin」ユーザが含まれています。 管理コンテキストをコンテキスト A に変更すると、ユーザ名が変更されるので、ログイン コマンドでもう一度「admin」としてログインする必要があります。 コンテキスト B に変更したときにも、ログイン コマンドを入力して「admin」としてログインする必要があります。

システム実行スペースは AAA コマンドをサポートしませんが、個別のログインを提供するためのローカル データベースのユーザ名と同様、それ自体のイネーブル パスワードを設定できます。

コンテキスト管理者アクセス

Telnet、SSH、または ASDM でコンテキストにアクセスできます。 管理コンテキスト以外にログインした場合、アクセスできるのはそのコンテキスト用のコンフィギュレーションだけです。 そのコンテキストへの個別のログインを提供できます。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/99131/multiple-context1.gif

注: ASA インターフェイスがサブインターフェイスに分割されると複数の VLAN トラフィックが ASA を通過する必要があるので、ASA に接続されているスイッチ上のポートはトランク モードになっている必要があります。

マルチ コンテキスト モードのイネーブルまたはディセーブル

使用しているセキュリティ アプライアンスは、シスコに注文した方法に従って複数のセキュリティ コンテキスト用にすでに設定されていると考えられますが、アップグレードした場合に、シングル モードからマルチ モードへの変換が必要になることがあります。 このセクションでは、アップグレードの手順を説明します。 ASDM はハイ アベイラビリティおよびスケーラビリティ ウィザードを使用し、アクティブで/アクティブなフェールオーバーを有効に すれば場合単一から多重 モードに変更モードをサポートします。 アクティブで/アクティブなフェールオーバーを使用するか、またはシングル モードに戻りたいと思いたいと思わない場合 CLI でモードを変更して下さい。 詳細についてはマルチ コンテキスト モードの有効に するか、またはディセーブル化を参照して下さい。

シングル モードからマルチ モードに変換すると、セキュリティ アプライアンスで実行コンフィギュレーションが 2 つのファイルに変換されます。 オリジナルのスタートアップ コンフィギュレーションは保存されないので、それが実行コンフィギュレーションとは異なる場合には、先に進む前にバックアップを取る必要があります。

マルチ コンテキスト モードのイネーブル

リブートを経た場合でも、コンテキスト モード(シングルまたはマルチ)はコンフィギュレーション ファイルには保存されません。 コンフィギュレーションを別のデバイスにコピーする必要がある場合は、mode コマンドで、新しいデバイス上のモードを設定して一致させます。

シングル モードからマルチ モードに変換すると、セキュリティ アプライアンスは実行コンフィギュレーションを次の 2 つのファイルに変換します。 1 つはシステム コンフィギュレーションを構成する新しいスタートアップ コンフィギュレーションであり、もう 1 つは管理コンテキストを(内部フラッシュ メモリのルート ディレクトリに)構成する admin.cfg です。 元の実行コンフィギュレーションは、(内部フラッシュ メモリのルート ディレクトリに)old_running.cfg として保存されます。 元のスタートアップ コンフィギュレーションは保存されません。 セキュリティ アプライアンスは、システム コンフィギュレーションに管理コンテキスト用のエントリを「admin」とうい名前で自動的に追加します。

マルチ モードをイネーブルにするには、次のコマンドを入力します。

hostname(config)# mode multiple

システム アプライアンスをリブートするようにプロンプトが表示されます。

CiscoASA(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash

The admin context configuration will be written to flash

The new running configuration file was written to flash
Security context mode: multiple

***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
***   change mode

Rebooting....

Booting system, please wait...
*
*
!--- output suppressed

*
*
INFO: Admin context is required to get the interfaces
*** Output from config line 20, "arp timeout 14400"
Creating context 'admin'... Done. (1)
*** Output from config line 23, "admin-context admin"

Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a

*** Output from config line 25, "  config-url flash:/admi..."

Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061c
Type help or '?' for a list of available commands.
CiscoASA>

リブート後は、次が ASA のデフォルト コンフィギュレーションになります。

ASA 8.x デフォルト コンフィギュレーション
CiscoASA# show running-config
: Saved
:
ASA Version 8.0(2) <system>
!
hostname CiscoASA
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0/0
shutdown
!
interface Ethernet0/1
shutdown
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
no failover
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
   config-url disk0:/admin.cfg
!
!--- admin context is created
!--- by default once you enable 
!--- multiple mode


prompt hostname context
Cryptochecksum:410be16e875b7302990a831a5d91aefd
: end

セキュリティ コンテキストの設定

システム コンフィギュレーション内のセキュリティ コンテキスト定義は、コンテキスト名、コンフィギュレーション ファイル URL、およびコンテキストが使用できるインターフェイスを識別します。

注: 管理コンテキストがない場合(コンフィギュレーションをクリアした場合など)、次のコマンドを入力するときに、最初に管理コンテキスト名を指定する必要があります。

hostname(config)# admin-context <name>

注: このコンテキスト名はコンフィギュレーション内にはまだ存在していませんが、その後にコンテキスト名コマンドを入力して、指定名を一致させることで、管理コンテキストのコンフィギュレーションを継続できます。

システム コンフィギュレーションでコンテキストを追加または変更するには、次の手順を実行します。

  1. コンテキストの追加または変更を行うには、システム実行スペースで次のコマンドを入力します。

    hostname(config)# context <name>
    

    名前は 32 文字までの文字列です。 この名前は大文字と小文字を区別するので、たとえば、「customerA」と「CustomerA」という名前の 2 つのコンテキストが共存できます。 文字、数字、またはハイフンを使用できますが、名前の最初または最後をハイフンにすることはできません。

    「System」と「Null」(大文字と小文字の両方)は予約名なので使用できません。

  2. (オプション)このコンテキストに説明を追加するには、次のコマンドを入力します。

    hostname(config-ctx)# description text
    
    
  3. コンテキスト内で使用できるインターフェイスを指定するには、物理インターフェイスまたは 1 つ以上のサブインターフェイスに適切なコマンドを入力します。

    • 物理インターフェイスを割り当てるには、次のコマンドを入力します。

      hostname(config-ctx)# allocate-interface 
      <physical_interface> [mapped_name] 
      [visible | invisible]
      
    • 1 つ以上のサブインターフェイスを割り当てるには、次のコマンドを入力します。

      hostname(config-ctx)# allocate-interface 
      <physical_interface.subinterface[-physical_interface.subinterface]>
      [mapped_name[-mapped_name]] [visible | invisible]
      

      これらのコマンドを複数回入力してさまざまな範囲を指定できます。 このコマンドの no 形式を使用して割り当てを削除した場合、このインターフェイスを含むコンテキスト コマンドが実行コンフィギュレーションから削除されます。

  4. システムがコンテキスト コンフィギュレーションをダウンロードする URL を識別するには、次のコマンドを入力します。

    hostname(config-ctx)# config-url url
    
    

    注: allocate-interface コマンドを入力してから config-url コマンドを入力してください。 セキュリティ アプライアンスは、コンテキスト コンフィギュレーションをロードする前にコンテキストにインターフェイスを割り当てる必要があります。 コンテキスト コンフィギュレーションには、インターフェイスを参照するコマンド(interface、nat、global...)を含めることができます。 先に config-url コマンドを入力する場合、セキュリティ アプライアンスは即座にコンテキスト コンフィギュレーションをロードします。 コンテキストがインターフェイスを参照するコマンドを含んでいる場合、そのようなコマンドは失敗します。

このシナリオでは、テーブル内にある手順に従ってマルチ コンテキストを設定します。

顧客 A 向けの Context1 のような単一 ASA ボックスに顧客、顧客 A および顧客 B. 2 つの Create 3 複数のコンテキスト(事実上 3 ASA)が、ASA コンテキストを管理する顧客 B 向けの Context2、および管理コンテキストあります。

Inside 接続および Outside 接続の各コンテキスト用に、2 つのサブインターフェイスを作成します。 各サブインターフェイス用に異なる VLAN を割り当てます

イーサネット 0/0 に 2 つのサブインターフェイス(ethernet 0/0.1 および ethernet 0/0.2)を、それぞれ context1 および context2 の Outside 接続用として作成します。 同様に、ethernet 0/1 に 2 つのサブインターフェイスである ethernet 0/1.1 および ethernet 0/1.2 を、context1 および context2 の Inside 接続用としてそれぞれ作成します。

ethernet 0/0.1 用に vlan 2、ethernet 0/1.1 用に vlan3、ethernet 0/0.2 用に vlan 4、ethernet 0/1.2 用に vlan5 というように、各サブインターフェイス用に vlan を割り当てます。

ASA マルチ コンテキスト コンフィギュレーションの手順
:

!--- Outside interface for context1 and context2.
!--- Create the sub interface in 
!--- outside interface for context1 and context2.


ciscoasa(config)# interface Ethernet0/0
ciscoasa(config-if)# no shutdown

!--- Inside interface for context1 and context2.
!--- Create the sub interface in 
!--- inside interface for context1 and context2.


ciscoasa(config)# interface Ethernet0/1
ciscoasa(config-if)# no shutdown


!--- Outside interface for admin context 
!--- to access the ASA from outside network
!--- using telnet or SSH.


ciscoasa(config-if)# interface Ethernet0/2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 6


!--- Inside interface for admin context 
!--- to access the ASA from inside network
!--- using telnet or SSH.


ciscoasa(config-if)# interface Ethernet0/3
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 7


!--- Context1 outside subinterface

ciscoasa(config-subif)# interface Ethernet0/0.1
ciscoasa(config-subif)# vlan 2

!--- !--- Context1 inside subinterface

ciscoasa(config-subif)# interface ethernet 0/1.1
ciscoasa(config-subif)# vlan 3

!--- !--- Context2 outside subinterface

ciscoasa(config-subif)# interface ethernet 0/0.2
ciscoasa(config-subif)# vlan 4

!--- !--- Context2 inside subinterface

ciscoasa(config-subif)# interface ethernet 0/1.2
ciscoasa(config-subif)# vlan 5

!--- Customer A Context as Context1


ciscoasa(config)# context context1
Creating context 'context1'... Done. (3)
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/0.1 outside-context1
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/1.1 inside-context1

!--- To specify the interfaces 
!--- used for the context1

ciscoasa(config-ctx)# config-url disk0:/context1.cfg

!--- To identify the URL from which the 
!--- system downloads the context configuration.


ciscoasa(config-ctx)# exit

!--- Customer B Context as Context2


ciscoasa(config)# context context2
Creating context 'context2'... Done. (3)
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/0.2 outside-context2
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/1.2 inside-context2
ciscoasa(config-ctx)# config-url 
   disk0:/context2.cfg

ciscoasa(config)# context admin
ciscoasa(config-ctx)# allocate-interface Ethernet0/2 outside
ciscoasa(config-ctx)# allocate-interface Ethernet0/3 inside


ASA 8.x:システム実行スペースのコンフィギュレーション

ASA 8.x:システム実行スペースのコンフィギュレーション
ciscoasa# sh run


ASA Version 8.0(2) <system>
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/0.1
 vlan 2
!
interface Ethernet0/0.2
 vlan 4
!
interface Ethernet0/1
!
interface Ethernet0/1.1
 vlan 3
!
interface Ethernet0/1.2
 vlan 5
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0


admin-context admin
context admin
  allocate-interface Ethernet0/2 outside
  allocate-interface Ethernet0/3 inside
  config-url disk0:/admin.cfg
!


context context1
  allocate-interface Ethernet0/0.1 outside-context1
  allocate-interface Ethernet0/1.1 inside-context1
  config-url disk0:/context1.cfg
!

context context2
  allocate-interface Ethernet0/0.2 outside-context2
  allocate-interface Ethernet0/1.2 inside-context2
  config-url disk0:/context2.cfg
!

prompt hostname context
Cryptochecksum:9e8bc648b240917631fa5716a007458f
: end

コンテキストとシステム実行スペースの変更

システム実行スペース(または、Telnet または SSH での管理コンテキスト)にログインする場合、各コンテキスト内でコンフィギュレーションの実行とタスクの監視を行うのと同様、コンテキストを変更できます。 コンフィギュレーション モードで編集する、またはコピーや書き込みのコマンドで使用される実行コンフィギュレーションは、ロケーションに依存します。 システム実行スペース内にいるとき、実行コンフィギュレーションは、システム コンフィギュレーションだけで構成されます。 コンテキスト内にいるとき、実行コンフィギュレーションは、そのコンテキストだけで構成されます。 たとえば、show running-config コマンドを入力するときには、すべての実行コンフィギュレーション(システムとすべてのコンテキスト)を表示できません。 表示されるのは現在のコンフィギュレーションだけです。

システム実行スペースとコンテキストの間で変更する、または、コンテキストの間を変更するには、次のコマンドを確認してください。

  • 特定のコンテキストに変更するには、次のコマンドを入力します。

    hostname# changeto context <context name>
    

    プロンプトは次のように変わります。

    hostname/name#
    
  • 次のコマンドを入力して、システム実行スペースに変更します。

    hostname/admin# changeto system
    

    プロンプトは次のように変わります。

    hostname#
    

ASA: Context1 設定

context1 を設定するには、context1 に変更して、次の手順に従います。


!--- From the system execution space, 
!--- enter the command
!--- "changeto context context1 
!--- to configure the context1 configuration"

ciscoasa(config)# changeto context context1
ciscoasa/context1(config)#
ASA 8.x:Context1 デフォルト コンフィギュレーション
ciscoasa/context1(config)# show run


!--- Default configuration of the context1



ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-contex1
 no nameif
 no security-level
 no ip address
!
interface inside-contex1
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
pager lines 24
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 
   0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 
   1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 
   0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

インターネットに接続するための Customer A の設定

ASA 8.x:Context1 のコンフィギュレーション

!--- Configuring Context1 for customer A


ciscoasa/context1# conf t
ciscoasa/context1(config)# int outside-context1
ciscoasa/context1(config-if)# ip add 10.1.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.

ciscoasa/context1(config-if)# int inside-context1
ciscoasa/context1(config-if)# ip add 172.16.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa/context1(config-if)# exit

ciscoasa/context1(config)# access-list outbound permit ip any any
ciscoasa/context1(config)# nat (inside-context1) 1 access-list outbound
ciscoasa/context1(config)# global (outside-context1) 1 interface
INFO: outside interface address added to PAT pool
ciscoasa/context1(config)# route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2
ciscoasa/context1(config)# exit

ASA 8.x:Context1 コンフィギュレーション
ciscoasa/context1(config)# show run

ciscoasa/context1# sh run
: Saved
:
ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-context1
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!
interface inside-context1
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

global (outside-context1) 1 interface
nat (inside-context1) 1 access-list outbound
route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2 1


!--- Output Suppressed

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
ciscoasa/context1#

ASA: Context2 設定

インターネットに接続するための Customer B の設定

context2 を設定するために、context1 から context2 に変更します。


!--- From the system execution space, enter the command
!--- "changeto context context2
---to configure the context2 configuration"

ciscoasa/context1(config)# changeto context context2
ciscoasa/context2(config)#
ASA 8.x:Context2 コンフィギュレーション
ciscoasa/context2(config)# show run
ASA Version 8.0(2) <context>
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside-context2
 nameif inside
 security-level 100
 ip address 172.17.1.1 255.255.255.0
!
interface outside-context2
 nameif outside
 security-level 0
 ip address 10.2.2.1 255.255.255.0
!

!--- Output Suppressed

!
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

global (outside-context2) 1 interface
nat (inside-context2) 1 access-list outbound
route outside-context2 0.0.0.0 0.0.0.0 10.2.2.2 1


!--- Output Suppressed

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

同様に、ASA とそのコンテキストを Inside および Outside インターフェイスから管理するために管理コンテキストを設定します。

マルチ コンテキスト モードでの設定変更の保存

それぞれのコンテキスト(およびシステム)コンフィギュレーションは別々に保存することも、すべてのコンテキスト コンフィギュレーションを同時に保存することもできます。 このセクションでは、次の項目について説明します。

各コンテキストとシステムを別々に保存する

システムまたはコンテキストのコンフィギュレーションを保存するには、システムまたはコンテキスト内で次のコマンドを入力します。

hostname# write memory

注: copy running-config startup-config コマンドは write memory コマンドと同等です。

マルチ コンテキスト モードでは、コンテキストのスタートアップ コンフィギュレーションを外部サーバ上に配置できます。 この場合、セキュリティ アプライアンスは、ユーザがコンテキスト URL で特定したサーバに設定を保存して戻します。ただし、サーバに設定を保存できない HTTP または HTTPS URL を除きます。

すべてのコンテキスト コンフィギュレーションを同時に保存する

システム コンフィギュレーションだけでなく、すべてのコンテキストのコンフィギュレーションを同時に保存するには、システム実行スペースで次のコマンドを入力します。

hostname# write memory all [/noconfirm]

/noconfirm キーワードを入力しない場合は、次のプロンプトが表示されます。

Are you sure [Y/N]:

確認

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

  • show flash:コンテキスト コンフィギュレーション ファイルがフラッシュに格納されることを確認します。

  • show mode:ASA がシングル モードまたはマルチ モードで設定されていることを確認します。

ciscoasa# sh flash
--#--  --length--  -----date/time------  path
   71  14524416    Jul 23 2007 23:11:22  asa802-k8.bin
   75  6889764     Jul 23 2007 23:32:16  asdm-602.bin
    2  4096        Jul 23 2007 23:51:36  log
    6  4096        Jul 23 2007 23:51:48  crypto_archive
   76  2635734     Aug 12 2007 22:44:50  anyconnect-win-2.0.0343-k9.pkg
   77  1841        Sep 20 2007 04:21:38  old_running.cfg
   78  1220        Sep 20 2007 04:21:38  admin.cfg

ciscoasa/context2# sh mode
Security context mode: multiple

トラブルシューティング

シングル コンテキスト モードの復元

マルチ モードからシングル モードに変換する場合、最初にスタートアップ コンフィギュレーションをすべて(可能な場合)セキュリティ アプライアンスにコピーすることが可能です。 マルチ モードから継承したシステム コンフィギュレーションは、シングル モード デバイスの場合は完全に機能するコンフィギュレーションではありません。 そのシステム コンフィギュレーションには設定の一部としてネットワーク インターフェイスがないため、コンソールからセキュリティ アプライアンスにアクセスして、コピーを実行する必要があります。

以前の実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、モードをシングル モードに変更するには、システム実行スペースで次の手順を実行します。

  1. オリジナルの実行コンフィギュレーションのバックアップ バージョンを現在のスタートアップ コンフィギュレーションにコピーするには、システム実行スペースで次のコマンドを入力します。

    hostname(config)# copy flash:old_running.cfg startup-config
    
    
  2. システム実行スペースで次のコマンドを入力して、モードをシングル モードに設定します。

    hostname(config)# mode single
    

セキュリティ アプライアンスがリブートします。

マルチ コンテキスト モードのマルチプルインターフェイスに同じ IP アドレスを割り当てる方法

異なるコンテキストのマルチプルインターフェイスに同じ IP アドレスを割り当てることができます。 これは可能ではありますが、示されているように、トラフィックをコンテキスト内に分類するには、独立した MAC アドレスをこのインターフェイス用に割り当てる必要があります。

注: admin が手動法によって MAC アドレスを割り当てたくない場合 MAC アドレス オートコマンドを使用できます。 このコマンドは、サブインターフェイスを含めたすべてのインターフェイスに MAC アドレスを自動的に割り当てます。

次に設定例を示します。

context test1

   allocate-interface Ethernet0/2

   allocate-interface Ethernet0/2.1

   config-url disk0:/test1

!
!

context test2

   allocate-interface Ethernet0/2

   allocate-interface Ethernet0/2.200

   config-url disk0:/test2


ciscoasa(config)# change context test1

ciscoasa/test1(config)# int e0/2.1

ciscoasa/test1(config-if)# ip address 4.4.4.4

ciscoasa/test1(config-if)# change context test2

ciscoasa/test2(config)# int e0/2.200

ciscoasa/test2(config-if)# ip address 4.4.4.4

ciscoasa/test2(config-if)# exit

注: パケットが 4.4.4.4 として宛先と送信 される場合、ファイアウォールは関連するコンテキストにそのパケットをルーティングする分類子ルールに従います。 に関する詳細についてはファイアウォールがパケットをどのように分類するか、パケットフローのための分類子ルールを参照して下さい。

マルチ コンテキスト モードで同一の IP アドレスを共有インターフェイスに割り当てる

共用インターフェイスに同じ IP アドレスを割り当てることは可能性のあるではないです。 複数のコンテキスト上の共用インターフェイスは私達が同一LANセグメント上の仮想 な ファイアウォールを模倣することを可能にします。 同じ IP アドレスが共用インターフェイスに、たとえば複数のコンテキストに共有されて割り当てられるとき、IPアドレスの競合 エラーを与えます。 ASA は同じ IP アドレスのためのコンテキスト間の ARP 問題が理由でこの設定を可能にしません。

エラーは参照用にここに示されています: エラー: この別のネット アドレスとのアドレス競合

コンテキストの名前変更

マルチ コンテキスト モードでは、設定を変更することなくコンテキストの名前を変更することはサポートされていません。

コンフィギュレーションをファイアウォール コンフィギュレーションとして保存できますが、コンフィギュレーション全体を新しいコンテキスト名にコピーし、古いコンテキストのコンフィギュレーションを削除する必要があります。

コンテキストの削除

システム スペースから、このコマンドを発行してコンテキストを削除します。

  
no context contA 

また、コンテキスト向けの対応するコンフィギュレーション ファイルを必ず削除します。

dir disk:
 
delete disk:/contA.cfg

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 99131