Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

PIX/ASA 7.x y superior: Ejemplo de configuración del contexto múltiple

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (20 Enero 2009) | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe los pasos que se deben seguir para configurar el contexto múltiple en los dispositivos de seguridad.

Usted puede dividir un solo dispositivo de seguridad en los dispositivos virtuales múltiples, conocidos como contextos de seguridad. Cada contexto es un dispositivo independiente, con su propia política de seguridad, interfaces, y administradores. Los contextos múltiples son similares a los dispositivos autónomos múltiples. Muchas características se soportan en el modo de contexto múltiple, que incluyen las tablas de ruteo, las características de firewall, el IPS, y la Administración. Algunas características no se soportan, que incluyen el VPN y los Dynamic Routing Protocol.

Usted puede utilizar los contextos de seguridad múltiples en estas situaciones:

  • Usted es proveedor de servicio y quiere vender los Servicios de seguridad a muchos clientes. Si usted habilita los contextos de seguridad múltiples en el dispositivo de seguridad, usted puede implementar una solución rentable, del ahorro de espacio que mantenga todo el tráfico de clientes separado y lo asegure, y también facilita la configuración.

  • Usted es una empresa grande o un campus de la universidad y quiere mantener los departamentos totalmente separados.

  • Usted es una empresa que quiere proporcionar las políticas de seguridad distintas a diversos departamentos.

  • Usted tiene cualquier red que requiera más de un dispositivo de seguridad.

Nota: En el modo del Multi-contexto, usted puede actualizar o retroceder el software del PIX/ASA solamente en el modo EXEC de sistema, no en los otros modos del contexto.

Para más información sobre los pasos usados para configurar el contexto múltiple en el módulo firewall service (FWSM), refiera al FWSM: Ejemplo de configuración del contexto múltiple.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • El dispositivo de seguridad adaptante de las Cisco 5500 Series se ejecuta con la versión de software 7.x y posterior.

    Nota: La característica del contexto múltiple no se soporta en el dispositivo de seguridad adaptante de las 5505 Series ASA.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Esta configuración se puede también utilizar con la versión 7.x y posterior del dispositivo de seguridad de la serie del Cisco PIX 500.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

Archivos de configuración del contexto

Configuraciones del contexto

El dispositivo de seguridad incluye una configuración para cada contexto que identifique la política de seguridad, las interfaces, y casi todas las opciones que usted puede configurar en un dispositivo autónomo. Usted puede salvar las configuraciones del contexto en la memoria de Flash interno o la placa de memoria del Flash externa, o usted puede descargarlas de un TFTP, de un FTP, o de un servidor HTTP.

Configuración del sistema

El administrador de sistema agrega y maneja los contextos por la configuración de cada ubicación de la configuración del contexto, las interfaces afectadas un aparato, y otros parámetros del funcionamiento del contexto en la configuración del sistema, que, como una configuración del modo simple, es la configuración de inicio. La configuración del sistema identifica las configuraciones básicas para el dispositivo de seguridad. La configuración del sistema no incluye ningunas interfaces de la red o configuraciones de red para sí mismo; bastante, cuando el sistema necesita los recursos de red de acceso (tales como descargas del contexto del servidor), utiliza uno de los contextos que se señale como el contexto admin. La configuración del sistema incluye una interfaz especializada de la Conmutación por falla para el tráfico de la Conmutación por falla solamente.

Configuración del contexto Admin

El contexto admin es apenas como cualquier otro contexto, salvo que cuando un usuario abre una sesión al contexto admin, que usuario tiene derechos del administrador de sistema y puede acceder el sistema y el resto de los contextos. El contexto admin no se restringe de ninguna manera, y se puede utilizar como contexto regular, pero, porque la registración en el contexto admin le concede los privilegios de administrador sobre todos los contextos, usted necesita restringir el acceso al contexto admin para apropiarse de los usuarios. El contexto admin debe residir en memoria flash, y no remotamente.

Si su sistema está ya en el modo de contexto múltiple, o si usted convierte del modo simple, el contexto admin se crea automáticamente como archivo en la memoria de Flash interno llamada admin.cfg. Este contexto se nombra “admin.” Si usted no quiere utilizar admin.cfg como el contexto admin, usted puede cambiar el contexto admin.

Nota: El contexto Admin no se cuenta en la licencia del contexto. Por ejemplo, si usted consigue la licencia para dos contextos, a le se permite tener el contexto admin y dos otros contextos.

Acceso de administración a los contextos de seguridad

El dispositivo de seguridad proporciona el acceso del administrador de sistema en el modo de contexto múltiple, así como el acceso para los administradores individuales del contexto. Estas secciones describen el abrir una sesión como administrador de sistema o como un administrador del contexto:

Acceso del administrador de sistema

Usted puede acceder el dispositivo de seguridad como administrador de sistema de dos maneras:

  • Acceda la consola del dispositivo de seguridad.

    De la consola, usted accede el espacio de la ejecución del sistema.

  • Acceda el contexto admin con Telnet, SSH, o el ASDM.

    Vea “manejo del acceso al sistema,” para habilitar el acceso de Telnet, de SSH, y del SDM.

Como el administrador de sistema, usted puede acceder todos los contextos.

Cuando usted cambia a un contexto del admin o del sistema, su nombre de usuario cambia al nombre de usuario predeterminado del "enable_15". Si usted autorización del comando configurado en ese contexto, usted necesita configurar los privilegios de autorización para el usuario del "enable_15", o le puede iniciar sesión como nombre diferente para el cual usted proporcione los privilegios suficientes en la configuración del comando authorization para el contexto. Para iniciar sesión con un nombre de usuario, ingrese el comando login. Por ejemplo, usted inicia sesión al contexto admin con el nombre de usuario “admin.” El contexto admin no tiene la configuración de la autorización del comando any, sino el resto de autorización del comando include de los contextos. Para la conveniencia, cada configuración del contexto incluye a un usuario “admin” con los privilegios máximos. Cuando usted cambia del contexto admin al contexto A, se altera su nombre de usuario, así que usted debe iniciar sesión otra vez como “admin” con el comando login. Cuando usted cambia al contexto B, usted debe ingresar otra vez el comando login de iniciar sesión como “admin.”

El espacio de la ejecución del sistema no apoya ninguna comandos aaa, pero usted puede configurar su propia contraseña habilitada, así como los nombres de usuario en la base de datos local para proporcionar los logines del individuo.

Acceso del administrador del contexto

Usted puede acceder un contexto con Telnet, SSH, o el ASDM. Si usted inicia sesión a un contexto NON-admin, usted puede acceder solamente la configuración para ese contexto. Usted puede proporcionar los logines individuales al contexto.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/99131/multiple-context1.gif

Nota: Los puertos en el Switch que están conectados con el ASA deben estar en el modo tronco puesto que el tráfico del VLAN múltiple tiene que viajar con él una vez las interfaces ASA están rotos en los subinterfaces.

Modo de contexto múltiple del permiso o de la neutralización

Su dispositivo de seguridad se configura posiblemente ya para los contextos de seguridad múltiples dependientes sobre cómo usted lo pidió de Cisco, pero si usted actualización, usted puede ser que necesite convertir del modo simple al modo múltiple. Esta sección explica los procedimientos para actualizar. El ASDM soporta los modos cambiantes de solo al modo múltiple si usted utiliza al Asisitente de la Alta disponibilidad y del scalability, y usted habilita la Conmutación por falla activa/activa. Si usted no quiere utilizar la Conmutación por falla activa/activa o querer cambiar de nuevo al modo simple, usted debe cambiar los modos en el CLI. Refiera a habilitar o a inhabilitar al modo de contexto múltiple para más información.

Cuando usted convierte del modo simple al modo múltiple, el dispositivo de seguridad convierte la configuración corriente en dos archivos. La configuración de inicio original no se guarda, así pues, si diferencia de la configuración corriente, usted debe apoyarla antes de que usted proceda.

Modo de contexto múltiple del permiso

El modo del contexto (solo o múltiple) no se salva en el archivo de configuración, aunque aguanta las reinicializaciones. Si usted necesita copiar su configuración a otro dispositivo, fije el modo en el nuevo dispositivo para hacer juego con el comando mode.

Cuando usted convierte del modo simple al modo múltiple, el dispositivo de seguridad convierte la configuración corriente en dos archivos: una nueva configuración de inicio que comprende la configuración del sistema, y admin.cfg que comprende el contexto admin (en el directorio raíz de la memoria de Flash interno). La configuración corriente original se guarda como old_running.cfg (en el directorio raíz de la memoria de Flash interno). La configuración de inicio original no se guarda. El dispositivo de seguridad agrega automáticamente una entrada para el contexto admin a la configuración del sistema con el nombre “admin.”

Para habilitar al modo múltiple, ingrese este comando:

hostname(config)# mode multiple

A le indican que reinicie el dispositivo de seguridad.

CiscoASA(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash

The admin context configuration will be written to flash

The new running configuration file was written to flash
Security context mode: multiple

***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
***   change mode

Rebooting....

Booting system, please wait...
*
*
!--- output suppressed

*
*
INFO: Admin context is required to get the interfaces
*** Output from config line 20, "arp timeout 14400"
Creating context 'admin'... Done. (1)
*** Output from config line 23, "admin-context admin"

Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a

*** Output from config line 25, "  config-url flash:/admi..."

Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061c
Type help or '?' for a list of available commands.
CiscoASA>

Después de la reinicialización, ésta es la configuración predeterminada del ASA:

Configuración predeterminada ASA 8.x
CiscoASA# show running-config
: Saved
:
ASA Version 8.0(2) <system>
!
hostname CiscoASA
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0/0
shutdown
!
interface Ethernet0/1
shutdown
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
no failover
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
   config-url disk0:/admin.cfg
!
!--- admin context is created
!--- by default once you enable 
!--- multiple mode


prompt hostname context
Cryptochecksum:410be16e875b7302990a831a5d91aefd
: end

Configure los contextos de seguridad

La definición de los contextos de seguridad en la configuración del sistema identifica el nombre del contexto, el archivo de configuración URL, y las interfaces que un contexto puede utilizar.

Nota: Si usted no tiene un contexto admin (por ejemplo, si usted borra la configuración), usted debe primero especificar el nombre del contexto admin cuando usted ingresa este comando:

hostname(config)# admin-context <name>

Nota: Aunque este nombre del contexto no exista todavía en su configuración, usted puede ingresar posteriormente el comando del nombre del contexto de corresponder con el nombre especificado para continuar la configuración del contexto admin.

Para agregar o cambiar un contexto en la configuración del sistema, realice estos pasos:

  1. Para agregar o modificar un contexto, ingrese este comando en el espacio de la ejecución del sistema:

    hostname(config)# context <name>
    

    El nombre es una cadena hasta 32 caracteres de largo. Este nombre es con diferenciación entre mayúsculas y minúsculas, así que usted puede tener dos contextos nombrados “customerA” y “CustomerA,” por ejemplo. Usted puede utilizar las cartas, los dígitos, o los guiones, pero usted no puede comenzar o terminar el nombre con un guión.

    El “sistema” o la “falta de información” (en la parte superior o las letras minúsculas) es nombres reservados, y no puede ser utilizado.

  2. (Opcional) para agregar una descripción para este contexto, ingrese este comando:

    hostname(config-ctx)# description text
    
    
  3. Para especificar las interfaces que usted puede utilizar en el contexto, ingrese el comando apropiado para una interfaz física o para una o más subinterfaces.

    • Para afectar un aparato una interfaz física, ingrese este comando:

      hostname(config-ctx)# allocate-interface 
      <physical_interface> [mapped_name] 
      [visible | invisible]
      
    • Para afectar un aparato una o más subinterfaces, ingrese este comando:

      hostname(config-ctx)# allocate-interface 
      <physical_interface.subinterface[-physical_interface.subinterface]>
      [mapped_name[-mapped_name]] [visible | invisible]
      

      Usted puede ingresar estos tiempos múltiples de los comandos para especificar diversos rangos. Si usted quita una asignación con la ninguna forma de este comando, quitan a cualquier comando context que incluya esta interfaz de la configuración corriente.

  4. Para identificar el URL del cual el sistema descarga la configuración del contexto, ingrese este comando:

    hostname(config-ctx)# config-url url
    
    

    Nota: Ingrese los comandos de la afectar un aparato-interfaz antes de que usted ingrese el comando config-URL. El dispositivo de seguridad debe asignar las interfaces al contexto antes de que cargue la configuración del contexto; la configuración del contexto puede los comandos include que refieren a las interfaces (interfaz, nacional, global…). Si usted ingresa el comando config-URL primero, el dispositivo de seguridad carga la configuración del contexto inmediatamente. Si el contexto contiene los comandos any que refieren a las interfaces, esos comandos fallan.

En este escenario, siga los pasos en la tabla para configurar el contexto múltiple.

Hay dos contextos múltiples de B. Create tres de los clientes, del cliente A y del cliente (virtualmente tres ASA) en un solo cuadro ASA tal como Context1 para el cliente A, Context2 para el cliente B, y contexto Admin para administrar los contextos ASA.

Cree dos subinterfaces para cada contexto para la conexión interior y exterior. Asigne los diversos VLA N para cada subinterfaz.

Cree las dos subinterfaces en los Ethernetes 0/0 como Ethernetes 0/0.1, los Ethernetes 0/0.2 para la conexión exterior de context1 y context2, respectivamente. Semejantemente, cree dos subinterfaces en los Ethernetes 0/1 como Ethernetes 0/1.1, los Ethernetes 0/1.2 para la conexión interior de context1 y context2, respectivamente.

Asigne vlan para cada subinterfaz tal como VLAN 2 para los Ethernetes 0/0.1, vlan3 para los Ethernetes 0/1.1,vlan 4 para los Ethernetes 0/0.2, vlan5 para los Ethernetes 0/1.2.

Pasos para la configuración del contexto múltiple ASA
:

!--- Outside interface for context1 and context2.
!--- Create the sub interface in 
!--- outside interface for context1 and context2.


ciscoasa(config)# interface Ethernet0/0
ciscoasa(config-if)# no shutdown

!--- Inside interface for context1 and context2.
!--- Create the sub interface in 
!--- inside interface for context1 and context2.


ciscoasa(config)# interface Ethernet0/1
ciscoasa(config-if)# no shutdown


!--- Outside interface for admin context 
!--- to access the ASA from outside network
!--- using telnet or SSH.


ciscoasa(config-if)# interface Ethernet0/2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 6


!--- Inside interface for admin context 
!--- to access the ASA from inside network
!--- using telnet or SSH.


ciscoasa(config-if)# interface Ethernet0/3
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 7


!--- Context1 outside subinterface

ciscoasa(config-subif)# interface Ethernet0/0.1
ciscoasa(config-subif)# vlan 2

!--- !--- Context1 inside subinterface

ciscoasa(config-subif)# interface ethernet 0/1.1
ciscoasa(config-subif)# vlan 3

!--- !--- Context2 outside subinterface

ciscoasa(config-subif)# interface ethernet 0/0.2
ciscoasa(config-subif)# vlan 4

!--- !--- Context2 inside subinterface

ciscoasa(config-subif)# interface ethernet 0/1.2
ciscoasa(config-subif)# vlan 5

!--- Customer A Context as Context1


ciscoasa(config)# context context1
Creating context 'context1'... Done. (3)
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/0.1 outside-context1
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/1.1 inside-context1

!--- To specify the interfaces 
!--- used for the context1

ciscoasa(config-ctx)# config-url disk0:/context1.cfg

!--- To identify the URL from which the 
!--- system downloads the context configuration.


ciscoasa(config-ctx)# exit

!--- Customer B Context as Context2


ciscoasa(config)# context context2
Creating context 'context2'... Done. (3)
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/0.2 outside-context2
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/1.2 inside-context2
ciscoasa(config-ctx)# config-url 
   disk0:/context2.cfg

ciscoasa(config)# context admin
ciscoasa(config-ctx)# allocate-interface Ethernet0/2 outside
ciscoasa(config-ctx)# allocate-interface Ethernet0/3 inside


ASA 8.x - Configuración del espacio de la ejecución del sistema

ASA 8.x - Configuración del espacio de la ejecución del sistema
ciscoasa# sh run


ASA Version 8.0(2) <system>
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/0.1
 vlan 2
!
interface Ethernet0/0.2
 vlan 4
!
interface Ethernet0/1
!
interface Ethernet0/1.1
 vlan 3
!
interface Ethernet0/1.2
 vlan 5
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0


admin-context admin
context admin
  allocate-interface Ethernet0/2 outside
  allocate-interface Ethernet0/3 inside
  config-url disk0:/admin.cfg
!


context context1
  allocate-interface Ethernet0/0.1 outside-context1
  allocate-interface Ethernet0/1.1 inside-context1
  config-url disk0:/context1.cfg
!

context context2
  allocate-interface Ethernet0/0.2 outside-context2
  allocate-interface Ethernet0/1.2 inside-context2
  config-url disk0:/context2.cfg
!

prompt hostname context
Cryptochecksum:9e8bc648b240917631fa5716a007458f
: end

Cambie entre los contextos y el espacio de la ejecución del sistema

Si usted inicia sesión al espacio de la ejecución del sistema (o al contexto admin con Telnet o SSH), usted puede cambiar entre los contextos, así como realiza la configuración y las tareas de monitoreo dentro de cada contexto. La configuración corriente que usted edita en un modo de configuración, o que se utiliza en la copia o los comandos write, depende encendido su ubicación. Cuando usted está en el espacio de la ejecución del sistema, la configuración corriente consiste solamente en la configuración del sistema; cuando usted está en un contexto, la configuración corriente consiste solamente en ese contexto. Por ejemplo, usted no puede ver todas las configuraciones corrientes (sistema más todos los contextos) cuando usted ingresa el comando show running-config. Solamente las visualizaciones de la configuración actual.

Para cambiar entre el espacio de la ejecución del sistema y un contexto, o entre los contextos, vea estos comandos:

  • Para cambiar a un contexto, ingrese este comando:

    hostname# changeto context <context name>
    

    Los cambios del prompt a esto:

    hostname/name#
    
  • Para cambiar al espacio de la ejecución del sistema, ingrese este comando

    hostname/admin# changeto system
    

    Los cambios del prompt a esto:

    hostname#
    

ASA - Configuración Context1

Para configurar el context1, cambie al context1 y siga el procedimiento:


!--- From the system execution space, 
!--- enter the command
!--- "changeto context context1 
!--- to configure the context1 configuration"

ciscoasa(config)# changeto context context1
ciscoasa/context1(config)#
ASA 8.x - Configuración predeterminada Context1
ciscoasa/context1(config)# show run


!--- Default configuration of the context1



ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-contex1
 no nameif
 no security-level
 no ip address
!
interface inside-contex1
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
pager lines 24
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 
   0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 
   1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 
   0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Cliente una configuración para la conectividad a Internet.

ASA 8.x - Configuración de Context1

!--- Configuring Context1 for customer A


ciscoasa/context1# conf t
ciscoasa/context1(config)# int outside-context1
ciscoasa/context1(config-if)# ip add 10.1.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.

ciscoasa/context1(config-if)# int inside-context1
ciscoasa/context1(config-if)# ip add 172.16.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa/context1(config-if)# exit

ciscoasa/context1(config)# access-list outbound permit ip any any
ciscoasa/context1(config)# nat (inside-context1) 1 access-list outbound
ciscoasa/context1(config)# global (outside-context1) 1 interface
INFO: outside interface address added to PAT pool
ciscoasa/context1(config)# route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2
ciscoasa/context1(config)# exit

ASA 8.x - Configuración Context1
ciscoasa/context1(config)# show run

ciscoasa/context1# sh run
: Saved
:
ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-context1
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!
interface inside-context1
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

global (outside-context1) 1 interface
nat (inside-context1) 1 access-list outbound
route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2 1


!--- Output Suppressed

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
ciscoasa/context1#

ASA - Configuración Context2

Configuración del cliente B para la conectividad a Internet.

Para configurar el context2, cambie a context2 de context1:


!--- From the system execution space, enter the command
!--- "changeto context context2
---to configure the context2 configuration"

ciscoasa/context1(config)# changeto context context2
ciscoasa/context2(config)#
ASA 8.x - Configuración Context2
ciscoasa/context2(config)# show run
ASA Version 8.0(2) <context>
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside-context2
 nameif inside
 security-level 100
 ip address 172.17.1.1 255.255.255.0
!
interface outside-context2
 nameif outside
 security-level 0
 ip address 10.2.2.1 255.255.255.0
!

!--- Output Suppressed

!
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

global (outside-context2) 1 interface
nat (inside-context2) 1 access-list outbound
route outside-context2 0.0.0.0 0.0.0.0 10.2.2.2 1


!--- Output Suppressed

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Configure semejantemente el contexto admin para administrar el ASA y sus contextos de las interfaces interior y exterior.

Salve los cambios de configuración en el modo de contexto múltiple

Usted puede salvar cada configuración del contexto (y sistema) por separado, o usted puede salvar todas las configuraciones del contexto al mismo tiempo. Esta sección incluye estos temas:

Salve cada contexto y sistema por separado

Para salvar el sistema o la configuración del contexto, ingrese este comando dentro del sistema o del contexto:

hostname# write memory

Nota: El comando copy running-config startup-config es equivalente al comando write memory.

Para el modo de contexto múltiple, las configuraciones de inicio del contexto pueden residir en los servidores externos. En este caso, el dispositivo de seguridad guarda la configuración de nuevo al servidor que usted identificó en el contexto URL, a excepción de un HTTP o de un HTTPS URL, que no le dejan salvan la configuración al servidor.

Salve todas las configuraciones del contexto al mismo tiempo

Para salvar todas las configuraciones del contexto al mismo tiempo, así como la configuración del sistema, ingrese este comando en el espacio de la ejecución del sistema:

hostname# write memory all [/noconfirm]

Si usted no ingresa la palabra clave de /noconfirm, usted ve este prompt:

Are you sure [Y/N]:

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

  • flash de la demostración — Verifique que el archivo de configuración del contexto esté salvado en el flash.

  • modo de la demostración — Verifique que el ASA esté configurado como un solo o modo múltiple.

ciscoasa# sh flash
--#--  --length--  -----date/time------  path
   71  14524416    Jul 23 2007 23:11:22  asa802-k8.bin
   75  6889764     Jul 23 2007 23:32:16  asdm-602.bin
    2  4096        Jul 23 2007 23:51:36  log
    6  4096        Jul 23 2007 23:51:48  crypto_archive
   76  2635734     Aug 12 2007 22:44:50  anyconnect-win-2.0.0343-k9.pkg
   77  1841        Sep 20 2007 04:21:38  old_running.cfg
   78  1220        Sep 20 2007 04:21:38  admin.cfg

ciscoasa/context2# sh mode
Security context mode: multiple

Troubleshooting

Solo modo del contexto del Restore

Si usted convierte del modo múltiple al modo simple, es posible a la primera copia a la configuración de inicio completa (si está disponible) al dispositivo de seguridad; la configuración del sistema heredada del modo múltiple no es una configuración totalmente funcional para un dispositivo para modo único. Porque la configuración del sistema no tiene ninguna interfaces de la red como parte de su configuración, usted debe acceder el dispositivo de seguridad de la consola para realizar la copia.

Para copiar la vieja configuración corriente a la configuración de inicio y cambiar el modo al modo simple, realice estos pasos en el espacio de la ejecución del sistema:

  1. Para copiar la versión de backup de su configuración corriente original a la configuración de inicio actual, ingrese este comando en el espacio de la ejecución del sistema:

    hostname(config)# copy flash:old_running.cfg startup-config
    
    
  2. Para fijar el modo al modo simple, ingrese este comando en el espacio de la ejecución del sistema:

    hostname(config)# mode single
    

Las reinicializaciones del dispositivo de seguridad.

Asignación de la misma dirección IP para las interfaces múltiples en el modo de contexto múltiple

Usted puede asignar la misma dirección IP a las interfaces múltiples en un diverso contexto. Aunque esto sea posible, una dirección MAC separada se debe asignar para esta interfaz en cada contexto para clasificar el tráfico en el contexto como se muestra.

Nota: Si el admin no desea asignar la dirección MAC con el método manual, usted puede utilizar el comando auto del MAC address. Este comando asigna la dirección MAC automáticamente a todas las interfaces, incluyendo las subinterfaces.

Esto es un ejemplo de configuración:

context test1

   allocate-interface Ethernet0/2

   allocate-interface Ethernet0/2.1

   config-url disk0:/test1

!
!

context test2

   allocate-interface Ethernet0/2

   allocate-interface Ethernet0/2.200

   config-url disk0:/test2


ciscoasa(config)# change context test1

ciscoasa/test1(config)# int e0/2.1

ciscoasa/test1(config-if)# ip address 4.4.4.4

ciscoasa/test1(config-if)# change context test2

ciscoasa/test2(config)# int e0/2.200

ciscoasa/test2(config-if)# ip address 4.4.4.4

ciscoasa/test2(config-if)# exit

Nota: Cuando un paquete se envía con un destino como 4.4.4.4, el Firewall seguirá la regla del clasificador para rutear ese paquete al contexto en cuestión. Para más información sobre cómo el Firewall clasifica los paquetes, refiera a la regla del clasificador para el flujo de paquetes.

Asigne la misma dirección IP a las interfaces compartidas en el modo de contexto múltiple

La asignación de la misma dirección IP a la interfaz compartida no es posible. Una interfaz compartida sobre los contextos múltiples permite que simulemos los Firewall virtuales sobre el mismo segmento de LAN. Cuando la misma dirección IP se asigna a la interfaz compartida, por ejemplo compartido sobre los contextos múltiples, da un error del conflicto de IP Address. El ASA no permitirá esta configuración debido al problema ARP entre los contextos para la misma dirección IP.

El error se muestra aquí para su referencia: ERROR: Este conflictos de dirección con otro direccionamiento en la red.

Retitule el contexto

En el modo de contexto múltiple, retitular un contexto sin el cambio de la configuración no se soporta.

Usted puede salvar la configuración como configuración de escudo de protección, pero usted necesita copiar la configuración completa a un nuevo nombre del contexto y borrar la vieja configuración del contexto.

Contexto de la cancelación

Del espacio del sistema, publique este comando de borrar el contexto:

  
no context contA 

También aseegurese quitar el archivo de configuración correspondiente para el contexto.

dir disk:
 
delete disk:/contA.cfg

Información Relacionada


Document ID: 99131