Módulos e interfaces de Cisco : Módulo de servicios de firewall Cisco Catalyst de la serie 6500

FWSM: Ejemplo de configuración del contexto múltiple

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe los pasos que se siguen para configurar el contexto múltiple en FWSM (Firewall Service Module).

Usted puede dividir un solo FWSM en los dispositivos virtuales múltiples, conocidos como contextos de seguridad. Cada contexto tiene su propia política de seguridad, interfaces, y administradores. Los contextos múltiples son similares a los dispositivos autónomos múltiples. Muchas características se soportan en el modo de contexto múltiple, que incluye las tablas de ruteo, las características de firewall, y la Administración. Algunas características no se soportan, que incluye los Dynamic Routing Protocol.

Usted puede utilizar los contextos de seguridad múltiples en estas situaciones:

  • Usted es proveedor de servicio y quiere vender los Servicios de seguridad a muchos clientes. Cuando usted habilita los contextos de seguridad múltiples en el FWSM, usted puede implementar una solución rentable, del ahorro de espacio que mantenga todo el tráfico de clientes separado y lo asegure, y también facilita la configuración.

  • Usted es una empresa grande o un campus de la universidad y quiere mantener los departamentos totalmente separados.

  • Usted es una empresa que quiere proporcionar las políticas de seguridad distintas a diversos departamentos.

  • Usted tiene cualquier red que requiera más de un Firewall.

Refiera al PIX/ASA 7.x y arriba: Ejemplo de configuración del contexto múltiple para más información sobre cómo describir los pasos usados para configurar el contexto múltiple en los dispositivos de seguridad.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en el módulo firewall service (FWSM) esa versión de software de los funcionamientos 3.2(5).

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

Archivos de configuración del contexto

Configuraciones del contexto

El FWSM incluye una configuración para cada contexto que identifique la política de seguridad, las interfaces, y casi todas las opciones que usted puede configurar en un dispositivo autónomo. Usted puede salvar las configuraciones del contexto en la memoria de Flash interno o la placa de memoria del Flash externa, o usted puede descargarlas de un TFTP, de un FTP, o de un servidor HTTP.

Configuración del sistema

El administrador de sistema agrega y maneja los contextos con la configuración de cada ubicación de la configuración del contexto, las interfaces afectadas un aparato, y otros parámetros de funcionamiento del contexto en la configuración del sistema, que, como una configuración del modo simple, es la configuración de inicio. La configuración del sistema identifica las configuraciones básicas para el FWSM. La configuración del sistema no incluye ningunas interfaces de la red o configuraciones de red para sí mismo; bastante, cuando el sistema necesita los recursos de red de acceso, tales como descargar los contextos del servidor, utiliza uno de los contextos que se señale como el contexto admin. La configuración del sistema incluye una interfaz especializada de la Conmutación por falla para el tráfico de la Conmutación por falla solamente.

Configuración del contexto Admin

El contexto admin es apenas como cualquier otro contexto, salvo que cuando usted inicia sesión al contexto admin, después usted tiene derechos del administrador de sistema y puede acceder el sistema y el resto de los contextos. El contexto admin no se restringe de ninguna manera, y se puede utilizar como contexto regular. Pero, porque la registración en el contexto admin le concede los privilegios de administrador sobre todos los contextos, usted puede necesitar posiblemente restringir el acceso al contexto admin para apropiarse de los usuarios. El contexto admin debe residir en memoria flash, y no remotamente.

Si su sistema está ya en el modo de contexto múltiple, o si usted convierte del modo simple, el contexto admin se crea automáticamente como archivo en la memoria de Flash interno llamada admin.cfg. Este contexto se nombra admin. Si usted no quiere utilizar admin.cfg como el contexto admin, usted puede cambiar el contexto admin.

Características no admitidas

El modo de contexto múltiple no soporta estas características:

  • Dynamic Routing Protocol

    Los contextos de seguridad soportan solamente las Static rutas. Usted no puede habilitar el OSPF o el RIP en el modo de contexto múltiple.

  • Multicast (multidifusión)

Acceso de administración a los contextos de seguridad

El FWSM proporciona el acceso del administrador de sistema en el modo de contexto múltiple así como el acceso para los administradores individuales del contexto. Estas secciones describen el abrir una sesión como administrador de sistema o como un administrador del contexto:

Acceso del administrador de sistema

Usted puede acceder el FWSM como administrador de sistema de dos maneras:

  • Sesión al FWSM del Switch.

    Del Switch, usted accede el espacio de la ejecución del sistema.

  • Acceda el contexto admin usando Telnet, SSH, o el ASDM.

    Refiera a configurar el Acceso de administración para más información sobre cómo habilitar el acceso de Telnet, de SSH, y del SDM.

Como el administrador de sistema, usted puede acceder todos los contextos.

Cuando usted cambia a un contexto del admin o del sistema, su nombre de usuario cambia al nombre de usuario predeterminado del enable_15". Si usted autorización del comando configurado en ese contexto, usted necesita configurar los privilegios de autorización para el usuario enable_15, o le puede iniciar sesión como nombre diferente para el cual usted proporcione los privilegios suficientes en la configuración del comando authorization para el contexto. Ingrese el comando login para iniciar sesión con un nombre de usuario. Por ejemplo, usted inicia sesión al contexto admin con el nombre del usuario administrador. El contexto admin no tiene la configuración de la autorización del comando any, sino el resto de autorización del comando include de los contextos. Para la conveniencia, cada configuración del contexto incluye a un administrador de usuario con los privilegios máximos. Cuando usted cambia del contexto admin al contexto A, se altera su nombre de usuario, así que usted debe iniciar sesión otra vez como admin cuando usted ingresa el comando login. Cuando usted cambia al contexto B, usted debe ingresar otra vez el comando login de iniciar sesión como admin.

El espacio de la ejecución del sistema no apoya ninguna comandos aaa, pero usted puede configurar su propia contraseña habilitada, así como los nombres de usuario en la base de datos local, para proporcionar los logines del individuo.

Acceso del administrador del contexto

Usted puede acceder un contexto con Telnet, SSH, o el ASDM. Si usted inicia sesión a un contexto NON-admin, usted puede acceder solamente la configuración para ese contexto. Usted puede proporcionar los logines individuales al contexto.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/107524/fwsm-multiple-context-config-01.gif

Habilitando o inhabilitando al modo de contexto múltiple

Su FWSM se pudo configurar ya para los contextos de seguridad múltiples dependiendo de cómo usted lo pidió de Cisco. Si usted está actualizando, sin embargo, usted puede ser que necesite convertir del modo simple al modo múltiple siguiendo los procedimientos en esta sección. El ASDM no soporta los modos cambiantes, así que usted necesita cambiar los modos usando el CLI.

Respaldo de la configuración del modo simple

Cuando usted convierte del modo simple al modo múltiple, el FWSM convierte la configuración corriente en dos archivos. La configuración de inicio original no se guarda, así que si diferencia de la configuración corriente, usted debe apoyarla para arriba antes de proceder.

Habilitar al modo de contexto múltiple

El modo del contexto (solo o múltiple) no se salva en el archivo de configuración, aunque aguanta las reinicializaciones. Si usted necesita copiar su configuración a otro dispositivo, fije el modo en el nuevo dispositivo para hacer juego con el comando mode.

Cuando usted convierte del modo simple al modo múltiple, el FWSM convierte la configuración corriente en dos archivos:.

  1. Una nueva configuración de inicio que comprende la configuración del sistema

  2. Un admin.cfg que comprende del contexto admin en el directorio raíz de la memoria de Flash interno

La configuración corriente original se guarda como old_running.cfg (en el directorio raíz de la memoria de Flash interno). La configuración de inicio original no se guarda. El FWSM agrega automáticamente una entrada para el contexto admin a la configuración del sistema con el nombre “admin.”

Ingrese este comando para habilitar al modo múltiple:

hostname(config)#mode multiple

A le indican que reinicie el FWSM.

FWSM(config)#mode multiple

WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash

The admin context configuration will be written to flash

The new running configuration file was written to flash
Security context mode: multiple

***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
***   change mode

Rebooting....

Booting system, please wait...
*
*

!--- Output suppressed


*
*
INFO: Admin context is required to get the interfaces
*** Output from config line 20, "arp timeout 14400"
Creating context 'admin'... Done. (1)
*** Output from config line 23, "admin-context admin"

Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a

*** Output from config line 25, "  config-url flash:/admi..."

Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061c
Type help or '?' for a list of available commands.
FWSM>

Después de la reinicialización, ésta es la configuración predeterminada del FWSM:

Configuración predeterminada FWSM
FWSM#show running-config
: Saved
:
FWSM Version 3.2(5)5 <system>
!
resource acl-partition 12
hostname FWSM
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
!
interface Vlan501
!
interface Vlan502
!
passwd 2KFQnbNIdI.2KYOU encrypted
class default
  limit-resource IPSec 5
  limit-resource Mac-addresses 65535
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
  limit-resource All 0
!

ftp mode passive
gdb enable
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Vlan501
  allocate-interface Vlan502
  config-url disk:/admin.cfg


!--- admin context is created
!--- by default once you enable 
!--- multiple mode

!

prompt hostname context
Cryptochecksum:d62411d2a15f1da35c76fe071b61dcdb
: end
FWSM#

Configure los contextos de seguridad

La definición de los contextos de seguridad en la configuración del sistema identifica el nombre del contexto, el archivo de configuración URL, las interfaces que un contexto puede utilizar, y otros parámetros del contexto.

Nota:  Si usted no tiene un contexto admin, por ejemplo, si usted borra la configuración, usted debe primero especificar el nombre del contexto admin cuando usted ingresa este comando:.

hostname(config)#admin-context <name>

Nota: Aunque este nombre del contexto no exista todavía en su configuración, usted puede ingresar posteriormente el comando del nombre del contexto para corresponder con el nombre especificado para continuar la configuración del contexto admin.

Para agregar o cambiar un contexto en la configuración del sistema, complete estos pasos:

  1. Para agregar o modificar un contexto, ingrese este comando en el espacio de la ejecución del sistema:

    hostname(config)#context <name>
    
    

    El nombre es una cadena hasta 32 caracteres de largo. Este nombre es con diferenciación entre mayúsculas y minúsculas, así que usted puede tener dos contextos nombrados “customerA” y “CustomerA,” por ejemplo. Usted puede utilizar las cartas, los dígitos, o los guiones, pero usted no puede comenzar o terminar el nombre con un guión.

    El “sistema” o la “falta de información” (en la parte superior o las letras minúsculas) es nombres reservados, y no puede ser utilizado.

  2. (Opcional) para agregar una descripción para este contexto, ingrese este comando:

    hostname(config-ctx)#description text
    
    
    
  3. Para especificar las interfaces que usted puede utilizar en el contexto, ingrese este comando:

    hostname(config-ctx)#allocate-interface vlannumber[-vlannumber] [map_name[-map_name] 
    [invisible | visible]]
    

    Usted puede ingresar los tiempos múltiples de este comando para especificar diversos rangos. Si usted quita una asignación con la ninguna forma de este comando, después quitan a cualquier comando context que incluya esta interfaz de la configuración corriente.

    Ingrese un número VLAN o un rango de los VLA N, típicamente a partir el 2 a 1000 y a partir de 1025 a 4094. Vea el Switch Documentation para los VLA N soportados. Utilice el comando show vlan para ver una lista de VLA N asignados al FWSM. Usted puede afectar un aparato un VLA N que todavía no se asigne al FWSM, pero usted necesita asignarlos del Switch si usted quisiera que pasaran el tráfico. Cuando usted afecta un aparato una interfaz, el FWSM agrega automáticamente el comando interface para cada VLA N en la configuración del sistema.

  4. Ingrese este comando para identificar el URL del cual el sistema descarga la configuración del contexto:

    hostname(config-ctx)#config-url url
    

    Cuando usted agrega un contexto URL, el sistema carga inmediatamente el contexto de modo que se esté ejecutando, si la configuración está disponible.

    Nota: Ingrese los comandos de la afectar un aparato-interfaz antes de que usted ingrese el comando config-URL. El FWSM debe asignar las interfaces al contexto antes de que cargue la configuración del contexto; la configuración del contexto puede posiblemente los comandos include que refieren a las interfaces, por ejemplo, interconecte, nacional, global y así sucesivamente. Si usted ingresa el comando config-URL primero, el FWSM carga la configuración del contexto inmediatamente. Si el contexto contiene los comandos any que refieren a las interfaces, esos comandos fallan.

En este escenario, complete los pasos en la tabla para configurar el contexto múltiple.

Hay dos contextos múltiples de B. Create tres de los clientes, del cliente A y del cliente (virtualmente tres FWSM) en un solo módulo FWSM tal como contexto A para el cliente A, contexto B para el cliente B, y contexto Admin para administrar los contextos FWSM.

Nota: Cree los VLA N 300, 301, 400, 401, 500 y 501 en el Catalyst 6500 Series Switch antes de que usted lo utilice en el FWSM.

Cree los contextos en el espacio de la ejecución del sistema y afecte un aparato el VLAN respectivo al cada contexto creado y configure el trayecto del URL para cada contexto como se muestra.

Pasos para la configuración del contexto múltiple FWSM
FWSM(config)#context admin
FWSM(config-ctx)#allocate-interface VLAN500
FWSM(config-ctx)#allocate-interface VLAN501
FWSM(config-ctx)#config-url disk:/admin.cfg


!--- Allocate VLAN 500 and 501 to admin context


FWSM(config)#context contextA


!--- Customer A Context as Context A


FWSM(config-ctx)#allocate-interface VLAN300
FWSM(config-ctx)#allocate-interface VLAN301


!--- Allocate VLAN 300 and 301 to admin context


FWSM(config-ctx)#config-url disk:/contextA.cfg
WARNING: Could not fetch the URL disk:/contextA.cfg
INFO: Creating context with default config


!--- To identify the URL from which the 
!--- system downloads the context configuration.


FWSM(config-ctx)#context contextB
Creating context 'contextB'... Done. (3)


!--- Customer B Context as Context B


FWSM(config-ctx)#allocate-interface VLAN400
FWSM(config-ctx)#allocate-interface VLAN401


!--- Allocate VLAN 400 and 401 to admin context


FWSM(config-ctx)#config-url disk:/contextB.cfg
WARNING: Could not fetch the URL disk:/contextB.cfg
INFO: Creating context with default config
FWSM(config-ctx)#exit

FWSM: Configuración del espacio de la ejecución del sistema

FWSM - Configuración del espacio de la ejecución del sistema
FWSM(config)#show running-config
: Saved
:
FWSM Version 3.2(5)5 <system>
!
resource acl-partition 12
hostname FWSM
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
!
interface Vlan300
!
interface Vlan301
!
interface Vlan400
!
interface Vlan401
!
interface Vlan501
!
interface Vlan502
!
passwd 2KFQnbNIdI.2KYOU encrypted
class default
  limit-resource IPSec 5
  limit-resource Mac-addresses 65535
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
  limit-resource All 0
!

ftp mode passive
gdb enable
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Vlan501
  allocate-interface Vlan502
  config-url disk:/admin.cfg
!

context contextA
  allocate-interface Vlan300
  allocate-interface Vlan301
  config-url disk:/contextA.cfg
!

context contextB
  allocate-interface Vlan400
  allocate-interface Vlan401
  config-url disk:/contextB.cfg
!

prompt hostname context
Cryptochecksum:d62411d2a15f1da35c76fe071b61dcdb
: end
FWSM#

Cambie entre los contextos y el espacio de la ejecución del sistema

Si usted inicia sesión al espacio de la ejecución del sistema (o al contexto admin usando Telnet o SSH), usted puede cambiar entre los contextos y realizar la configuración y las tareas de monitoreo dentro de cada contexto. La configuración corriente que usted edita en un modo de configuración, o que es afectada por la copia o los comandos write, depende encendido su ubicación. Cuando usted está en el espacio de la ejecución del sistema, la configuración corriente consiste solamente en la configuración del sistema; cuando usted está en un contexto, la configuración corriente consiste solamente en ese contexto. Por ejemplo, usted no puede ver todas las configuraciones corrientes (sistema más todos los contextos) si usted ingresa el comando show running-config. Solamente las visualizaciones de la configuración actual. Usted puede, sin embargo, salvar todas las configuraciones corrientes del contexto del espacio de la ejecución del sistema si usted utiliza el comando all de la memoria de la escritura.

Para cambiar entre el espacio de la ejecución del sistema y un contexto, o entre los contextos, vea estos comandos:

  • Para cambiar a un contexto, ingrese este comando:

    hostname#changeto context <context name>
    

    Los cambios del prompt a esto:

    hostname/name#
    
  • Para cambiar al espacio de la ejecución del sistema, ingrese este comando

    hostname/admin#changeto system
    

    Los cambios del prompt a esto:

    hostname#
    

FWSM - Configuración de ContextA

Para configurar el contextA, cambie al contextA y siga el procedimiento:


!--- From the system execution space, 
!--- enter the changeto context contextA command
!--- in order to configure the contextA configuration.

FWSM(config)#changeto context contextA

FWSM/context1(config)#
FWSM - Configuración predeterminada de ContextA
FWSM/contextA(config)#show running-config


!--- Default configuration of the context1


: Saved
:
FWSM Version 3.2(5)5 <context>
!
hostname contextA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan300
 no nameif
 no security-level
 no ip address
!
interface Vlan301
no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
gdb enable
pager lines 24
mtu inside 1500
mtu outside 1500
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 1:00:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
FWSM/contextA#
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
gdb enable
pager lines 24
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 1:00:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Cliente una configuración para la conectividad a Internet.

FWSM - Configuración de ContextA
FWSM/contextA(config)#interface vlan300
FWSM/contextA(config-if)#nameif inside
WARNING: VLAN *300* is not configured.
INFO: Security level for "inside" set to 100 by default.
Access Rules Download Complete: Memory Utilization: 1%
FWSM/contextA(config-if)#ip address 10.1.1.1 255.255.255.0
FWSM/contextA(config-if)#no shut

FWSM/contextA(config-if)#interface vlan 301
FWSM/contextA(config-if)#nameif outside
INFO: Security level for "outside" set to 0 by default.
Access Rules Download Complete: Memory Utilization: 1%
FWSM/contextA(config-if)#ip add 192.168.1.1 255.255.255.0
FWSM/contextA(config-if)#no shut

FWSM/contextA(config)#access-list outbound permit ip any any
FWSM/contextA(config)#nat (inside) 1 access-list outbound
FWSM/contextA(config)#global (outside) 1 interface
INFO: outside interface address added to PAT pool
FWSM/contextA(config)#route outside-context1 0.0.0.0 0.0.0.0 192.168.1.5
FWSM/contextA(config)#exit

FWSM - Configuración de ContextA
FWSM/contextA#show running-config
: Saved
:
FWSM Version 3.2(5)5 <context>
!
hostname contextA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan300
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Vlan301
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
gdb enable
pager lines 24
mtu inside 1500
mtu outside 1500
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 access-list outbound
route outside 0.0.0.0 0.0.0.0 192.168.1.5 1


!--- Output Suppressed


!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
FWSM/contextA#

FWSM - Configuración de ContextB

Configuración del cliente B para la conectividad a Internet.

Para configurar el contextB, cambie al contextB del contextA:


!--- From the system execution space, enter  
!--- the changeto context contextB command
--- in orderto configure the contextB configuration.

FWSM/contextA(config)#changeto context contextB
FWSM/contextB(config)#
FWSM - Configuración de ContextB
FWSM/contextB(config)#show running-config
: Saved
:
FWSM Version 3.2(5)5 <context>
!
hostname contextB
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan400
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0
!
interface Vlan401
 nameif outside
 security-level 0
 ip address 192.168.2.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
gdb enable
pager lines 24
mtu inside 1500
mtu outside 1500
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 access-list outbound
route outside 0.0.0.0 0.0.0.0 192.168.2.5 1

!--- Output Suppressed


!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
FWSM/contextB(config)#

Configure semejantemente el contexto admin para administrar el FWSM y sus contextos de las interfaces interior y exterior.

Salve los cambios de configuración en el modo de contexto múltiple

Usted puede salvar cada configuración del contexto (y sistema) por separado, o usted puede salvar todas las configuraciones del contexto al mismo tiempo. Esta sección incluye estos temas:

Salve cada contexto y sistema por separado

Para salvar el sistema o la configuración del contexto, ingrese este comando dentro del sistema o del contexto:

hostname#write memory

Nota: El comando copy running-config startup-config es equivalente al comando write memory.

Para el modo de contexto múltiple, las configuraciones de inicio del contexto pueden residir en los servidores externos. En este caso, el dispositivo de seguridad guarda la configuración de nuevo al servidor que usted identificó en el contexto URL, a excepción de un HTTP o de un HTTPS URL, que no le dejan salvan la configuración al servidor.

Salve todas las configuraciones del contexto al mismo tiempo

Para salvar todas las configuraciones del contexto al mismo tiempo, así como la configuración del sistema, ingrese este comando en el espacio de la ejecución del sistema:

hostname#write memory all [/noconfirm]

Si usted no ingresa la palabra clave de /noconfirm, usted ve este prompt:

Are you sure [Y/N]:

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

  • contexto de la demostración — Visualiza los diversos contextos.

    FWSM(config)#show context
    Context Name      Class      Interfaces           Mode         URL
    *admin            default    Vlan501,Vlan502      Routed       disk:/admin.cfg
     contextA         default    Vlan300,Vlan301      Routed       disk:/contextA.cfg
     contextB         default    Vlan400,Vlan401      Routed       disk:/contextB.cfg
    
    Total active Security Contexts: 3
  • modo de la demostración — Verifique que el FWSM esté configurado como un solo o modo múltiple.

    FWSM(config)#show mode
    Security context mode: multiple
    The flash mode is the SAME as the running mode.

Troubleshooting

Solo modo del contexto del Restore

Si usted convierte del modo múltiple al modo simple, es posible a la primera copia a la configuración de inicio completa (si está disponible) al FWSM; la configuración del sistema heredada del modo múltiple no es una configuración totalmente funcional para un dispositivo para modo único. Porque la configuración del sistema no tiene ninguna interfaces de la red como parte de su configuración, usted debe acceder el dispositivo de seguridad de la consola para realizar la copia.

Para copiar la vieja configuración corriente a la configuración de inicio y cambiar el modo para escoger el modecomplete estos pasos en el espacio de la ejecución del sistema:

  1. Para copiar la versión de backup de su configuración corriente original a la configuración de inicio actual, ingrese este comando en el espacio de la ejecución del sistema:

    hostname(config)#copy flash:old_running.cfg startup-config
    
  2. Para fijar el modo al modo simple, ingrese este comando en el espacio de la ejecución del sistema:

    hostname(config)#mode single
    

Reinicializaciones FWSM.

Recargue los contextos de seguridad

Usted puede recargar el contexto de dos maneras:

  1. Borre la configuración corriente y después importe la configuración de inicio.

    Esta acción borra la mayoría de los atributos asociados al contexto, tal como conexiones y tablas NAT.

  2. Quite el contexto de la configuración del sistema.

    Esta acción borra los atributos adicionales, tales como asignación de memoria, que puede ser útil para resolver problemas. Pero, para agregar el contexto de nuevo al sistema le requiere respecify el URL y las interfaces.

Esta sección incluye estos temas:

Retitule el contexto

En el modo de contexto múltiple, retitular un contexto sin el cambio de la configuración no se soporta.

Usted puede salvar la configuración como configuración de escudo de protección, pero usted necesita copiar la configuración completa a un nuevo nombre del contexto y borrar la vieja configuración del contexto.

Contexto de la cancelación

Utilice este comando para borrar el contexto. Del problema del espacio del sistema, publique este comando:

no context contA

También aseegurese quitar el archivo de configuración correspondiente para el contexto.

dir disk:
 
delete disk:/contA.cfg

Información Relacionada


Document ID: 107524