Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

PIX/ASA 7.x y Superiores: Ejemplo de Configuración de Contexto Múltiple

20 Enero 2009 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (20 Febrero 2009) | Comentarios

Contenido

Introducción
Prerrequisitos
      Requisitos
      Componentes Utilizados
      Productos Relacionados
      Convenciones
Antecedentes
      Archivos de Configuración de Contexto
      Acceso de Administración a Contextos de Seguridad
Configuración
      Diagrama de Red
      Activación o Desactivación del Modo de Contexto Múltiple
      Configuración de un Contexto de Seguridad
      ASA 8.x - Configuración del Espacio de Ejecución del Sistema
      Cambio entre los Contextos y el Espacio de Ejecución del Sistema
      ASA - Configuración de Context1
      ASA - Configuración de Context2
      Guardar Cambios de Configuración en Modo de Contexto Múltiple
Verificación
Troubleshooting
      Restauración del Modo de Contexto Único
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento, se describen los pasos utilizados para configurar el contexto múltiple en ASAs.

Puede dividir un firewall único en múltiples dispositivos virtuales, conocidos como contextos de seguridad. Cada contexto es un dispositivo independiente, con política de seguridad, interfaces y administradores propios. Los contextos múltiples funcionan como si fueran múltiples dispositivos independientes. El modo de contexto múltiple permite utilizar muchas funciones que incluyen tablas de ruteo, funciones de firewall, IPS y administración, pero no permite utilizar algunas funciones, entre las que se incluyen VPN y los protocolos de ruteo dinámico.

Puede utilizar múltiples contextos de seguridad en las siguientes situaciones:

  • Usted es un proveedor de servicios y desea vender servicios de seguridad a muchos clientes. Si activa contextos de seguridad múltiples en el dispositivo de seguridad, puede implementar una solución rentable, que ocupa poco espacio y mantiene todo el tráfico de los clientes separado y seguro, y que además facilita la configuración.

  • Es una gran empresa o un campus universitario y desea mantener los departamentos completamente separados.

  • Es una empresa que desea proporcionar políticas de seguridad diferentes a cada departamento.

  • Posee una red cualquiera que requiere más de un dispositivo de seguridad.

Nota: En el modo de contextos múltiples, puede realizar un upgrade o un downgrade del software PIX/ASA solamente en el modo System EXEC, no en los otros modos de contexto.

Prerrequisitos

Requisitos

No existen requisitos específicos para este documento.

Componentes Utilizados

La información de este documento se basa en las siguientes versiones de software y hardware:

  • Cisco 5500 Series Adaptive Security Appliance que ejecuta la versión 7.x del Software o superiores.

La información de este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si su red está en funcionamiento, asegúrese de comprender el posible efecto de los comandos.

Productos Relacionados

Esta configuración también se puede utilizar con Cisco PIX 500 Series Security Appliance Version 7.x y superiores.

Convenciones

Consulte las Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento.

Antecedentes

Archivos de Configuración de Contexto

Configuraciones de Contexto

El firewall incluye una configuración para cada contexto que identifica la política de seguridad, las interfaces y casi todas las opciones que puede configurar en un dispositivo independiente. Puede almacenar las configuraciones de contexto en la memoria Flash interna o en la tarjeta de memoria Flash outside, o puede descargarlas desde un servidor TFTP, FTP o HTTP(S).

Configuración del Sistema

El administrador del sistema agrega y administra contextos al configurar cada ubicación de configuración de contexto, sus interfaces asignadas y otros parámetros operativos de contexto en la configuración del sistema que, al igual que una configuración de modo único, es la configuración de inicio. La configuración del sistema identifica las configuraciones básicas para el dispositivo de seguridad. La configuración del sistema no incluye interfaces de red ni configuraciones de la red por sí misma. En lugar de eso, cuando el sistema necesita acceder a los recursos de la red (tales como descargas de contexto desde el servidor), utiliza uno de los contextos que está designado como contexto de administración. La configuración del sistema incluye una interfaz de failover especializada solamente para tráfico de failover.

Configuración del Contexto de Administración

El contexto de administración es exactamente igual que cualquier otro contexto, con la excepción de que cuando un usuario inicia sesión en el contexto de administración, tiene derechos de administrador del sistema y puede acceder al sistema y a todos los otros contextos. El contexto de administración no posee ninguna restricción y se puede utilizar como un contexto común, pero debido a que al iniciar sesión en el contexto de administración se obtienen privilegios de administrador sobre todos los contextos, es necesario restringir el acceso al contexto de administración para los usuarios adecuados. El contexto de administración debe residir en la memoria Flash y no a distancia.

Si el sistema ya se encuentra en el modo de contexto múltiple, o si realiza una conversión desde el modo único, el contexto de administración se crea de manera automática como un archivo llamado admin.cfg en la memoria Flash interna. El nombre de este contexto es "admin". Si no desea utilizar admin.cfg como contexto de administración, puede cambiarlo.

Acceso de Administración a Contextos de Seguridad

El firewall proporciona acceso como administrador del sistema en el modo de contexto múltiple y acceso para administradores de contexto individuales. En estas secciones se describe el inicio de sesión como administrador de sistema o como administrador de contexto.

Acceso como Administrador del Sistema

Puede acceder al ASA como administrador del sistema de dos maneras:

  • Acceso a la consola del firewall.

    Desde la consola, puede acceder al espacio de ejecución del sistema.

  • Acceso al contexto de administración con Telnet, SSH o ASDM.

    Consulte "Administración del Acceso al Sistema" para activar el acceso con Telnet, SSH y SDM.

Como administrador del sistema, puede acceder a todos los contextos.

Al cambiar a otro contexto desde el de administración o desde el sistema, su nombre de usuario cambia por el nombre de usuario predeterminado "enable_15". Si configuró la autorización de comandos (aaa authorization) en ese contexto, debe configurar los privilegios de autorización para el usuario "enable_15", o puede iniciar sesión con un nombre diferente para el cual proporcione suficientes privilegios en la configuración de autorización de comandos para ese contexto. Para iniciar sesión con un nombre de usuario, ingrese el comando login. Por ejemplo, inicia sesión en el contexto de administración con el nombre de usuario "admin". El contexto de administración no tiene ninguna configuración de autorización de comandos, pero todos los otros contextos incluyen autorización de comandos. Para su comodidad, todas las configuraciones de contexto incluyen un usuario "admin" con privilegios máximos. Cuando cambia del contexto de administración al contexto A, se modifica su nombre de usuario, por lo que debe iniciar sesión nuevamente como "admin" con el comando login. Cuando cambia al contexto B, debe ingresar el comando login nuevamente para iniciar sesión como "admin".

El espacio de ejecución del sistema no permite utilizar ningún comando AAA, pero usted puede configurar su propia enable password (contraseña de activación) y un nombre de usuario en la base de datos local para proporcionar conexiones individuales.

Acceso como Administrador de un Contexto

Puede acceder a un contexto con Telnet, SSH o ASDM. Si inicia sesión en un contexto que no sea el de administración, sólo puede acceder a la configuración de ese contexto. Puede proporcionar inicio de sesión individual para el contexto.

Configuración

En esta sección, encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de Red

En este documento, se utiliza la siguiente configuración de red:

multiple-context1.gif

Activación o Desactivación del Modo de Contexto Múltiple

Según cómo lo haya pedido a Cisco, es posible que su ASA ya esté configurado para contextos de seguridad múltiples, pero si realiza un upgrade, es posible que necesite convertir de modo único a modo múltiple. En esta sección, se explican los procedimientos para realizar un upgrade. ASDM no permite cambiar de modo, por lo tanto debe cambiar de modo utilizando la CLI.

Cuando realiza la conversión de modo único a modo múltiple, el ASA convierte la configuración que se está ejecutando en dos archivos. La configuración original de inicio no se guarda; por lo tanto, si es diferente de la configuración que se está ejecutando, debe hacer un backup antes de continuar.

Habilitación del Modo de Contexto Múltiple

El modo de contexto (único o múltiple) no se almacena en el archivo de configuración, aunque perdura en caso de reinicios. Si necesita copiar su configuración a otro dispositivo, configure el modo en el dispositivo nuevo para que coincida con el comando mode.

Cuando realiza la conversión del modo único al modo múltiple, el dispositivo de seguridad convierte la configuración que se está ejecutando en dos archivos: una nueva configuración de inicio que incluye la configuración del sistema, y admin.cfg, que incluye el contexto de administración (en el directorio raíz de la memoria Flash interna). La configuración original que se está ejecutando se almacena como old_running.cfg (en el directorio raíz de la memoria Flash interna). La configuración de inicio original no se guarda. El dispositivo de seguridad agrega automáticamente una entrada para el contexto de administración a la configuración del sistema con el nombre "admin".

Ingrese este comando para habilitar el modo múltiple:

hostname(config)# mode multiple

Aparece un mensaje para que reinicie el firewall.

CiscoASA(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash

The admin context configuration will be written to flash

The new running configuration file was written to flash
Security context mode: multiple

***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
***   change mode

Rebooting....

Booting system, please wait...
*
*
!--- salida omitida

*
*
INFO: Admin context is required to get the interfaces
*** Output from config line 20, "arp timeout 14400"
Creating context 'admin'... Done. (1)
*** Output from config line 23, "admin-context admin"

Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a

*** Output from config line 25, "  config-url flash:/admi..."

Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061c
Type help or '?' for a list of available commands.
CiscoASA>

Después de reiniciarlo, la configuración predeterminada del ASA es la siguiente:

Configuración Predeterminada de ASA 8.x

CiscoASA# show running-config
: Saved
:
ASA Version 8.0(2) <system>
!
hostname CiscoASA
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0/0
shutdown
!
interface Ethernet0/1
shutdown
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
no failover
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
   config-url disk0:/admin.cfg
!
!--- el contexto de administración se crea
!--- de forma predeterminada al habilitar 
!--- el modo múltiple


prompt hostname context
Cryptochecksum:410be16e875b7302990a831a5d91aefd
: end

Configuración de un Contexto de Seguridad

La definición del contexto de seguridad en la configuración del sistema identifica el nombre del contexto, la URL del archivo de configuración y las interfaces que puede utilizar un contexto.

Nota: Si no tiene un contexto de administración (por ejemplo, si borra la configuración), primero debe especificar el nombre del contexto de administración cuando ingresa este comando:

hostname(config)# admin-context <name>

Nota: Aunque este nombre de contexto aún no exista en su configuración, posteriormente puede ingresar el comando context name para encontrar la correspondencia con el nombre especificado y continuar así con la configuración del contexto de administración.

Para agregar o cambiar un contexto en la configuración del sistema, realice los siguientes pasos:

  1. Para agregar o modificar un contexto, ingrese este comando en el espacio de ejecución del sistema:

    hostname(config)# context <name>
    

    El nombre es una cadena que puede contener hasta 32 caracteres de longitud. Este nombre distingue entre mayúsculas y minúsculas, por lo tanto puede tener dos contextos denominados "customerA" y "CustomerA", por ejemplo. Puede utilizar letras, dígitos o guiones, pero el nombre no puede comenzar ni terminar con un guión.

    "System" o "Null" (en letras mayúsculas o minúsculas) son nombres reservados y no se los puede utilizar.

  2. (Opcional) Para agregar una descripción de este contexto, ingrese el siguiente comando:

    hostname(config-ctx)# description text
    
    
  3. Para especificar las interfaces que puede utilizar en el contexto, ingrese el comando correspondiente a una interfaz física o a una o más subinterfaces.

    • Para asignar una interfaz física, ingrese el siguiente comando:

      hostname(config-ctx)# allocate-interface 
      <physical_interface> [mapped_name] 
      [visible | invisible]
      
    • Para asignar una o más subinterfaces, ingrese el siguiente comando:

      hostname(config-ctx)# allocate-interface 
      <physical_interface.subinterface[-physical_interface.subinterface]>
      [mapped_name[-mapped_name]] [visible | invisible]
      

      Puede ingresar estos comandos varias veces para especificar diferentes rangos: Si quita una asignación con la forma no de este comando, los comandos de contexto que incluyan esta interfaz se quitan de la configuración que se está ejecutando.

  4. Para identificar la URL desde la cual el sistema descarga la configuración del contexto, ingrese el siguiente comando:

    hostname(config-ctx)# config-url url
    
    

    Nota: Ingrese el/los comando(s) allocate-interface antes de ingresar el comando config-url. El ASA debe asignar interfaces al contexto antes de cargar la configuración del contexto. La configuración del contexto puede incluir comandos que hagan referencia a las interfaces (interface, nat, global...). Si ingresa el comando config-url primero, el dispositivo de seguridad carga la configuración del contexto de inmediato. Si el contexto contiene comandos que hagan referencia a interfaces, esos comandos fallan.

En este escenario, siga los pasos que aparecen en la tabla para configurar el contexto múltiple.

Hay dos clientes, Customer A y Customer B. Cree tres contextos múltiples (virtualmente, tres ASA) en un único ASA, como por ejemplo Context1 para Customer A, Context2 para Customer B y Admin Context para administrar los contextos ASA.

Cree dos subinterfaces para cada contexto para la conexión interna y externa. Asigne las diferentes VLANs para cada subinterfaz.

Cree las dos subinterfaces en ethernet 0/0 como ethernet 0/0.1 y ethernet 0/0.2 para la conexión externa de context1 y context2, respectivamente. De la misma manera, cree dos subinterfaces en ethernet 0/1 como ethernet 0/1.1 y ethernet 0/1.2 para la conexión interna de context1 y context2, respectivamente.

Asigne la vlan para cada subinterfaz como vlan 2 para ethernet 0/0.1, vlan 3 para ethernet 0/1.1, vlan 4 para ethernet 0/0.2, vlan 5 para ethernet 0/1.2

Pasos para la Configuración de Contexto Múltiple de ASA

:

!--- Interfaz outside para context1 y context2.
!--- Creación de la subinterfaz en 
!--- la interfaz outside para context1 y context2.


ciscoasa(config)# interface Ethernet0/0
ciscoasa(config-if)# no shutdown

!--- Interfaz interna para context1 y context2.
!--- Creación de la subinterfaz en 
!--- la interfaz inside para context1 y context2.


ciscoasa(config)# interface Ethernet0/1
ciscoasa(config-if)# no shutdown


!--- Interfaz outside del contexto de administración 
!--- para acceder al ASA desde la red outside
!--- con Telnet o SSH.


ciscoasa(config-if)# interface Ethernet0/2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 6


!--- Interfaz inside del contexto de administración 
!--- para acceder al ASA desde la red inside
!--- con Telnet o SSH.


ciscoasa(config-if)# interface Ethernet0/3
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 7


!--- Subinterfaz outside de Context1

ciscoasa(config-subif)# interface Ethernet0/0.1
ciscoasa(config-subif)# vlan 2

!--- !--- Subinterfaz inside de Context1

ciscoasa(config-subif)# interface ethernet 0/1.1
ciscoasa(config-subif)# vlan 3

!--- !--- Subinterfaz outside de Context2

ciscoasa(config-subif)# interface ethernet 0/0.2
ciscoasa(config-subif)# vlan 4

!--- !--- Subinterfaz inside de Context2

ciscoasa(config-subif)# interface ethernet 0/1.2
ciscoasa(config-subif)# vlan 5

!--- Contexto del Customer A como Context1


ciscoasa(config)# context context1
Creating context 'context1'... Done. (3)
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/0.1 outside-context1
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/1.1 inside-context1

!--- Para especificar las interfaces 
!--- utilizadas para el context1

ciscoasa(config-ctx)# config-url disk0:/context1.cfg

!--- Para identificar la dirección URL desde la cual 
!--- el sistema descarga la configuración del contexto.


ciscoasa(config-ctx)# exit

!--- Contexto del Customer B como Context2


ciscoasa(config)# context context2
Creating context 'context2'... Done. (3)
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/0.2 outside-context2
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/1.2 inside-context2
ciscoasa(config-ctx)# config-url 
   disk0:/context2.cfg

ciscoasa(config)# context admin
ciscoasa(config-ctx)# allocate-interface Ethernet0/2 outside
ciscoasa(config-ctx)# allocate-interface Ethernet0/3 inside


ASA 8.x - Configuración del Espacio de Ejecución del Sistema

ASA 8.x - Configuración del Espacio de Ejecución del Sistema

ciscoasa# sh run


ASA Version 8.0(2) <system>
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/0.1
 vlan 2
!
interface Ethernet0/0.2
 vlan 4
!
interface Ethernet0/1
!
interface Ethernet0/1.1
 vlan 3
!
interface Ethernet0/1.2
 vlan 5
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0


admin-context admin
context admin
  allocate-interface Ethernet0/2 outside
  allocate-interface Ethernet0/3 inside
  config-url disk0:/admin.cfg
!


context context1
  allocate-interface Ethernet0/0.1 outside-context1
  allocate-interface Ethernet0/1.1 inside-context1
  config-url disk0:/context1.cfg
!

context context2
  allocate-interface Ethernet0/0.2 outside-context2
  allocate-interface Ethernet0/1.2 inside-context2
  config-url disk0:/context2.cfg
!

prompt hostname context
Cryptochecksum:9e8bc648b240917631fa5716a007458f
: end

Cambio entre los Contextos y el Espacio de Ejecución del Sistema

Si inicia sesión en el espacio de ejecución del sistema (o en el contexto de administración con Telnet o SSH), puede cambiar entre contextos y realizar tareas de configuración y supervisión dentro de cada contexto. La configuración que se está ejecutando y que usted modifica en un modo de configuración, o que se utiliza en los comandos copy o write depende de su ubicación. Cuando usted está en el espacio de ejecución del sistema, la configuración que se está ejecutando sólo consta de la configuración del sistema. Cuando usted está en un contexto, la configuración que se está ejecutando sólo consta de ese contexto. Por ejemplo, no puede ver todas las configuraciones que se están ejecutando (sistema más todos los contextos) cuando ingresa el comando show running-config. Sólo se muestra la configuración actual.

Para cambiar entre el espacio de ejecución del sistema y un contexto, o entre contextos, consulte estos comandos:

  • Para cambiar a un contexto, ingrese el siguiente comando:

    hostname# changeto context <context name>
    

    El prompt cambia a:

    hostname/name#
    
  • Para cambiar al espacio de ejecución del sistema, ingrese el siguiente comando:

    hostname/admin# changeto system
    

    El prompt cambia a:

    hostname#
    

ASA - Configuración de Context1

Para configurar el context1, cambie al context1 y siga el procedimiento:


!--- Desde el espacio de ejecución del sistema, 
!--- ingrese el comando
!--- "changeto context context1" 
!--- para establecer la configuración de context1

ciscoasa(config)# changeto context context1
ciscoasa/context1(config)#

Configuración Predeterminada de Context1 - ASA 8.x

ciscoasa/context1(config)# show run


!--- Configuración predeterminada de context1



ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-contex1
 no nameif
 no security-level
 no ip address
!
interface inside-contex1
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
pager lines 24
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 
   0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 
   1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 
   0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Configuración del Customer A para conectividad a Internet:

Configuración de Context1 - ASA 8.x


!--- Configuración de Context1 para customer A


ciscoasa/context1# conf t
ciscoasa/context1(config)# int outside-context1
ciscoasa/context1(config-if)# ip add 10.1.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.

ciscoasa/context1(config-if)# int inside-context1
ciscoasa/context1(config-if)# ip add 172.16.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa/context1(config-if)# exit

ciscoasa/context1(config)# access-list outbound permit ip any any
ciscoasa/context1(config)# nat (inside-context1) 1 access-list outbound
ciscoasa/context1(config)# global (outside-context1) 1 interface
INFO: outside interface address added to PAT pool
ciscoasa/context1(config)# route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2
ciscoasa/context1(config)# exit

Configuración de Context1 - ASA 8.x

ciscoasa/context1(config)# show run

ciscoasa/context1# sh run
: Saved
:
ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-context1
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!
interface inside-context1
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

global (outside-context1) 1 interface
nat (inside-context1) 1 access-list outbound
route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2 1


!--- Salida omitida

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
ciscoasa/context1#

ASA - Configuración de Context2

Configuración del Customer B para conectividad a Internet:

Para configurar el context2, cambie al context2 desde el context1:


!--- Desde el espacio de ejecución del sistema, ingrese el comando
!--- "changeto context context1" 
---para establecer la configuración de context1

ciscoasa/context1(config)# changeto context context2
ciscoasa/context2(config)#

Configuración de Context2 - ASA 8.x

ciscoasa/context2(config)# show run
ASA Version 8.0(2) <context>
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside-context2
 nameif inside
 security-level 100
 ip address 172.17.1.1 255.255.255.0
!
interface outside-context2
 nameif outside
 security-level 0
 ip address 10.2.2.1 255.255.255.0
!

!--- Salida omitida

!
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

global (outside-context2) 1 interface
nat (inside-context2) 1 access-list outbound
route outside-context2 0.0.0.0 0.0.0.0 10.2.2.2 1


!--- Salida omitida

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

De manera similar, configure el contexto de administración para administrar el ASA y sus contextos desde la interfaz inside y outside.

Guardar Cambios de Configuración en el Modo de Contexto Múltiple

Puede guardar todas las configuraciones de los contextos (y de los sistemas) por separado o puede guardar todas las configuraciones de los contextos al mismo tiempo. Esta sección incluye los siguientes temas:

Guardar Cada Contexto y Sistema por Separado

Para guardar la configuración de sistema o de contexto, ingrese este comando dentro del sistema o contexto:

hostname# write memory

Nota: El comando copy running-config startup-config es equivalente al comando write memory.

Para el modo de contexto múltiple, las configuraciones de inicio de contexto pueden residir en servidores externos. En ese caso, el ASA vuelve a guardar la configuración en el servidor que usted identificó en la URL del contexto, excepto en el caso de una URL HTTP o HTTPS que no le permite guardar la configuración en el servidor.

Guardar Todas las Configuraciones de Contexto al Mismo Tiempo

Para guardar todas las configuraciones de contexto al mismo tiempo, y también la configuración del sistema, ingrese el siguiente comando en el espacio de ejecución del sistema:

hostname# write memory all [/noconfirm]

Si no ingresa la palabra clave /noconfirm, verá el siguiente mensaje:

Are you sure [Y/N]:

Verificación

Utilice esta sección para confirmar que la configuración funciona correctamente.

La herramienta Output Interpreter (sólo para clientes registrados) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis de los resultados de los comandos show.

  • show flash: Verificar que el archivo de configuración del contexto está almacenado en la memoria Flash.

  • show mode: Verificar que el ASA esté configurado como modo único o como modo múltiple.

ciscoasa# sh flash
--#--  --length--  -----date/time------  path
   71  14524416    Jul 23 2007 23:11:22  asa802-k8.bin
   75  6889764     Jul 23 2007 23:32:16  asdm-602.bin
    2  4096        Jul 23 2007 23:51:36  log
    6  4096        Jul 23 2007 23:51:48  crypto_archive
   76  2635734     Aug 12 2007 22:44:50  anyconnect-win-2.0.0343-k9.pkg
   77  1841        Sep 20 2007 04:21:38  old_running.cfg
   78  1220        Sep 20 2007 04:21:38  admin.cfg

ciscoasa/context2# sh mode
Security context mode: multiple

Troubleshooting

Restauración del Modo de Contexto Único

Si realiza una conversión de modo múltiple a modo único, es posible copiar primero una configuración de inicio completa (si está disponible) en el ASA; la configuración del sistema heredada del modo múltiple no es una aplicación completamente funcional para un dispositivo de modo único. Debido a que la configuración del sistema no posee ninguna interfaz de red como parte de su configuración, debe acceder al dispositivo de seguridad desde la consola para realizar una copia.

Para copiar la configuración anterior que se estaba ejecutando a la configuración de inicio, y para cambiar el modo a modo único, realice los siguientes pasos en el espacio de configuración del sistema:

  1. Para copiar la versión de la copia de seguridad de la configuración original que se estaba ejecutando a la configuración de inicio actual, ingrese el siguiente comando en el espacio de ejecución del sistema:

    hostname(config)# copy flash:old_running.cfg startup-config
    
    
  2. Para configurar el modo a modo único, ingrese este comando en el espacio de ejecución del sistema:

    hostname(config)# mode single
    

El firewall se reinicia.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 99131