Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA: резервирование и восстанавление файлов конфигурации Security Appliance, используя TFTP-сервер"

13 сентября 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (22 сентября 2010) | Английский (26 сентября 2008) | Отзыв


Содержание


Введение

В этом документе описано, как сохранять и восстанавливать файлы конфигурации и образа Security Appliance версий 6.x и 7.x. В документе приведены основные действия, используемые для копирования этих файлов между сервером TFTP и PIX/ASA.

 Примечание.Чтобы выбрать сервер TFTP обратитесь к разделу Выбор и использование сервера TFTP.

Предварительные условия

Требования

Перед использованием информации, изложенной в данном документе, убедитесь, что в сети имеется сервер TFTP с возможностью IP-подключения. Используйте команду ping для проверки возможности подключения.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Родственные продукты

Конфигурацию ПО Security Appliance серии Cisco PIX 500 версии 7.x также можно использовать для ПО Security Appliance серии Cisco ASA версии 7.x.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе "Условное обозначение технических терминов Cisco".

Сохранение и восстановление конфигурации

В этом разделе приведены сведения о следующих процедурах, используемых для сохранения и восстановления конфигураций PIX 6.x и 7.x:

Использование команд tftp-server, config net и write net для сохранения и восстановления конфигурации в PIX 6.x и 7.x

Команды write net, config net и tftp-server позволяют сохранять и восстанавливать конфигурацию PIX для версий 6.x и 7.x.

 Примечание.Эти команды и данная процедура поддерживаются в версиях PIX 6.x и 7.x. В обеих версиях команды необходимо выполнять в режиме глобальной настройки.

  1. Выполните команду tftp-server, чтобы упростить ввод команд configure net и write net.

    При выполнении этих команд можно наследовать сервер TFTP, заданный командой tftp-server, или ввести собственное значение. Также можно оставить путь в команде tftp-server без изменений, добавить путь и имя файла в конец значения команды tftp-server или полностью переопределить значение команды tftp-server. PIX Security Appliance поддерживает только команду tftp-server.

    tftp-server [if_name] {ip_address|hostname} path
    
  2. Укажите сервер TFTP по умолчанию, а также путь и имя файла для использования в командах configure net и write net.

    Эти команды используются в режиме глобальной настройки. Используйте форму no этих команд, чтобы удалить конфигурацию сервера. Эта команда поддерживает адреса IPv4 и IPv6.

     Примечание.Синтаксис этой команды немного отличается для PIX 6.x и 7.x. В PIX 6.x [if_name] является необязательным параметром, представляющим имя интерфейса, на котором находится сервер TFTP. Если он не указан, предполагается внутренний интерфейс. Если указан внешний интерфейс, выводится сообщение, предупреждающее, что внешний интерфейс не является безопасным. Однако в PIX 7.x [if_name] является обязательным параметром, который задает имя интерфейса шлюза. Если указан интерфейс, отличный от интерфейса с наивысшим уровнем безопасности, выводится сообщение, предупреждающее, что этот интерфейс не является безопасным.

    Имя пути, указанное в команде tftp-server, добавляется в конец IP-адреса, заданного в командах configure net и write net. Чем больше данных об имени файла и пути указывается в команде tftp-server, тем меньше этих данных необходимо задавать в командах configure net и write net. Если в команде tftp-server указывается полный путь и имя файла, IP-адрес в командах configure net и write net может быть представлен двоеточием.

    В этом примере задается сервер TFTP, а затем считывается конфигурация из файла /pixfirewall/config/test_config:

    tftp-server inside 10.1.1.42 /pixfirewall/config/test_config
    
    configure net :
  3. Выполните команду configure net, чтобы объединить текущую рабочую конфигурацию с конфигурацией TFTP, сохраненной на заданном IP-адресе в указанном файле.

    Если в команде tftp-server задать и IP-адрес и имя пути, можно указать server_ip :filename через двоеточие.

    configure net :

    В этом примере в команде tftp-server задается сервер и имя файла, а затем сервер переопределяется командой configure net. Используемое имя файла остается без изменений.

    hostname(config)#tftp-server inside 10.1.1.1 configs/config1
    
    hostname(config)#configure net 10.2.2.2:
    

    В этом примере сервер задается только в команде tftp-server. Команда configure net задает только имя файла.

    hostname(config)#tftp-server inside 10.1.1.1
    
    hostname(config)#configure net :configs/config1
    

    Объединение добавляет все команды из новой конфигурации в рабочую конфигурацию и перезаписывает команды, конфликтующие с новой версией. Например, если для команды разрешено несколько экземпляров, новые команды добавляются к командам, существующим в рабочей конфигурации. Если для команды разрешен только один экземпляр, новая команда перезаписывает команду в рабочей конфигурации. Объединение не никогда удаляет команды, которые существуют в рабочей конфигурации, но не заданы в новой конфигурации.

    Эта команда аналогична команде copy tftp running-config. Для режима с несколькими контекстами в PIX 7.x эта команда доступна только в системном поле выполнения. Поэтому команда configure net является альтернативной для использования в контексте.

  4. Выполните команду write net, чтобы сохранить рабочую конфигурацию на сервере TFTP.

    Команда write net эквивалентна команде copy running-config tftp.

    write net :

    Рабочая конфигурация — это конфигурация, которая выполняется в памяти в данный момент. Она включает все изменения, сделанные в командной строке. В режиме с несколькими контекстами эта команда сохраняет только текущую конфигурацию. Сохранить все контексты одной командой невозможно. Эта команда должна вводиться отдельно для системы и для каждого контекста.

    Команда write net использует интерфейсы контекстов для записи конфигурации на сервер TFTP. Однако команда write memory использует интерфейсы административных контекстов для сохранения начальной конфигурации, так как система использует интерфейсы административных контекстов для доступа к начальным конфигурациям контекстов.

    В этом примере сервер TFTP и имя файла задается в команде tftp-server.

    hostname#tftp-server inside 10.1.1.1 /configs/contextbackup.cfg
    
    hostname#write net
    

    В этом примере сервер и имя файла задается в команде write net. Команда tftp-server не заполняется.

    hostname#write net 10.1.1.1:/configs/contextbackup.cfg
    

     Примечание.Если при наличии конфигурации межсетевого экрана PIX на сервере TFTP выполняется сохранение укороченной версии этой конфигурации, можно заметить дополнительный текст после первой отметки :end.. Некоторые серверы TFTP начинают запись с начала файла и поэтому оставляют часть исходной конфигурации после первой отметки :end. Это не влияет на межсетевой экран PIX. Однако, так как команда configure net прекращает считывание по достижении первой отметки :end, такая ситуация может привести пользователя в замешательство при просмотре конфигурации и обнаружении дополнительного текста в конце файла.

Использование команды copy для сохранения и восстановления образа PIX 6.x

Команда copy tftp flash позволяет загружать образ ПО во флэш-память межсетевого экрана через TFTP. Команду copy tftp flash можно использовать с любой моделью межсетевого экрана PIX, работающей под управлением версии 5.1 или более поздней. Загруженный образ станет доступен межсетевому экрану PIX Firewall при следующей перезагрузке.

Это выходные данные команды copy tftp flash:

copy tftp[:[[//location] [/tftp_pathname]]] flash[:[image | pdm]]

Если команда используется без необязательных параметров местоположения и имени пути, то местоположение и имя файла задаются пользователем в диалоговом режиме с помощью последовательности вопросов, подобных представленным в ПО Cisco IOS®. Если вводится только двоеточие, параметры извлекаются из настроек команды tftp-server. Если вводятся другие необязательные параметры, то их значения используются вместо соответствующих настроек команды tftp-server. Если вводятся необязательные параметры, например двоеточие и параметры, идущие после него, то команда выполняется без запроса пользовательского ввода.

Местоположение — это либо IP-адрес, либо имя, разрешаемое в IP-адрес механизмом разрешения имен межсетевого экрана PIX, который выполняет статические сопоставления через команды name и names. Для достижения местоположения должно быть достаточно данных таблицы маршрутизации межсетевого экрана PIX. Эти данные определяются командами ip address, route или RIP. В зависимости от конфигурации.

Имя пути может включать любые имена каталогов, кроме фактической последней части пути к файлу на сервере. Имя пути не может содержать пробелы. Если для каталога на сервере TFTP в обход команды copy tftp flash задано имя, содержащее пробелы, и если сервер TFTP указывает на каталог в системе, из которой загружается образ, необходимо использовать только IP-адрес системы и имя файла образа. Сервер TFTP получает команду и определяет фактическое местоположение файла на основании данных о его корневом каталоге. После этого сервер загружает образ TFTP на межсетевой экран PIX.

Это процедура копирования файла образа с сервера TFTP на PIX и обратно.

  1. Используйте команду copy tftp flash, чтобы скопировать образ PIX с сервера TFTP во флэш-память PIX.

    В этом примере межсетевой экран PIX запрашивает у пользователя имя файла и местоположение перед началом загрузки TFTP.

    pix#copy tftp flash
    Address or name of remote host [127.0.0.1]? 10.1.1.5
    Source file name [cdisk]? pix512.bin
    copying tftp://10.1.1.5/pix512.bin to flash
    
    
    !!
    1030 bytes copied in 2.489 secs (395 bytes/sec)
    pix#
  2. Используйте команду copy flash tftp, чтобы скопировать образ PIX из флэш-памяти на сервер TFTP:

    pix#copy flash tftp
    Address or name of remote host []? 10.0.0.1
    Source filename []? pix512.bin
    Destination filename [pix512.bin]?
    Accessing tftp://10.66.64.10/backup_cfg_for_pix...
    !!!!
    
    1030 bytes copied in 9.612 secs (107 bytes/sec)
    pix#
  3. Используйте команду tftp-server, чтобы задать имя файла и местоположение.

    Эта команда сохраняет содержимое памяти, а затем загружает образ во флэш-память.

    В этом примере данные извлекаются из команды tftp-server. В этом случае сервер TFTP находится во внутренней сети и располагается на внешнем интерфейсе.

    pixfirewall(config)#tftp-server outside 10.1.1.5 pix512.bin
    
    Warning: 'outside' interface has a low security level (0).

    В этом примере показано использование параметра tftp: в команде copy. PIX копирует образ с TFTP во флэш-память напрямую, без участия пользователя.

    pixfirewall(config)#copy tftp: flash 
    
    copying tftp://10.1.1.5/pix512.bin to flash
    
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!...
  4. Используйте команду name tftp-host в командах copy.

    В этом примере IP-адрес сопоставляется имени узла TFTP с помощью команды name.

    name 10.1.1.6 tftp-host
    
    copy tftp://tftp-host/pix512.bin flash
    
    copy tftp://tftp-host/tftpboot/pix512.bin flash

Использование команды copy для сохранения и восстановления конфигурации в PIX/ASA 7.x/8.x

Используйте один из этих методов, чтобы сохранить или восстановить конфигурацию на PIX/ASA 7.x/8.x:

Использование команды copy для сохранения и восстановления конфигурации и образа PIX

Команда copy позволяет копировать файлы из одного местоположения в другое.

copy [/noconfirm | /pcap] {url | running-config | startup-config}
 {running-config | startup-config | url}

 Примечание.Используйте процедуру команды copy, рассмотренную на шаге 1 и 2 раздела Использование команды copy для сохранения и восстановления образа PIX 6.x, чтобы выполнять сохранение и восстановление образа PIX на сервере TFTP. Использование команды copy немного отличается в версиях 6.x и 7.x/8.x. В версии 6.x при использовании параметра tftp: в команде copy, например copy tftp: flash, PIX использует сохраненные данные о сервере TFTP, такие как путь и имя файла. В версиях 7.x/8.x PIX запрашивает эти данные у пользователя в диалоговом режиме даже при указании параметра tftp: в команде copy и явно указанных данных о сервере TFTP..

Это процедура копирования конфигурации из PIX на сервер TFTP и обратно.

  1. Выберите и скопируйте файл рабочей конфигурации PIX на сервер TFTP:

    pix#copy running-config tftp
    Address or name of remote host []? 10.0.0.1
    Destination filename [pix-confg]? backup_cfg_for_pix
    !!
    1030 bytes copied in 2.489 secs (395 bytes/sec)
    pix#
  2. Выберите и скопируйте файл конфигурации с сервера TFTP в тот же PIX, находящийся в привилегированном (активном) режиме и имеющий базовую конфигурацию.

    pix#copy tftp running-config
    Address or name of remote host []? 10.0.0.1
    Source filename []? backup_cfg_for_pix
    Destination filename [running-config]?
    Accessing tftp://10.66.64.10/backup_cfg_for_pix...
    Loading backup_cfg_for_pix from 10.0.0.1 (via Ethernet0): !
    [OK - 1030 bytes]
    
    1030 bytes copied in 9.612 secs (107 bytes/sec)
    pix#

Сохранение и восстановление конфигурации одиночного режима или конфигурации системы с несколькими режимами

В режиме с одиночным контекстом или из конфигурации системы с несколькими режимами можно скопировать начальную или рабочую конфигурацию на внешний сервер или в локальную флэш-память:

 Примечание.При копировании конфигурации в рабочую конфигурацию обе конфигурации объединяются в одну. Объединение добавляет новые команды из новой конфигурации в рабочую конфигурацию. Если конфигурации совпадают, изменения не происходят. Если команды конфликтуют или влияют на работу контекста, то действие объединения зависит от команды. Возможны ошибки или непредвиденные результаты.

  1. Выберите и скопируйте начальную или рабочую конфигурацию на внешний сервер или в локальную флэш-память:

    hostname#copy {startup-config | running-config}
    tftp://server[/path]/filename
    
  2. Выполните команду copy tftp, чтобы восстановить файл на PIX:

    hostname#copy tftp://server[/path]/filename {startup-config | running-config}
    
  3. Выполните команду copy, чтобы скопировать на сервер FTP:

    hostname#copy {startup-config | running-config} 
    ftp://[user[:password]@]server[/path]/filename
    
  4. Выполните команду copy, чтобы восстановить файл на PIX:

    hostname#copy ftp://[user[:password]@]server[/path]/filename {startup-config | running-config}
    
  5. Выполните команду copy, чтобы скопировать в локальную флэш-память:

    hostname#copy {startup-config | running-config} {flash:/ | disk0:/ | 
    disk1:/}[path/]filename
    
  6. Выполните команду copy, чтобы восстановить сохраненный файл:

    hostname#copy {flash:/ | disk0:/ | 
    disk1:/}[path/]filename {startup-config | running-config}
    

    Убедитесь, что каталог назначения существует. Если каталог не существует, выполните команду mkdir, чтобы его создать.

Сохранение и восстановление конфигурации контекста во флэш-памяти

В режиме с несколькими контекстами выполните одну из этих команд в системном поле выполнения, чтобы скопировать конфигурации контекстов, которые находятся в локальной флэш-памяти.

  1. Выполните команду copy, чтобы скопировать на сервер TFTP:

    hostname#copy disk:[path/]filename tftp://server[/path]/filename
    
  2. Выполните команду copy, чтобы восстановить файл на PIX:

    hostname#copy tftp://server[/path]/filename disk:[path/]filename
    
  3. Выполните команду copy, чтобы скопировать на сервер FTP:

    hostname#copy disk:[path/]filename ftp://[user[:password]@]server 
    [/path]/filename
    
  4. Выполните команду copy, чтобы восстановить файл на PIX:

    hostname#copy ftp://[user[:password]@]server 
    [/path]/filename disk:[path/]filename
    
  5. Выполните команду copy, чтобы скопировать в локальную флэш-память:

    hostname#copy {flash:/ | disk0:/ | disk1:/}[path/]filename {flash:/ | disk0:/ | 
    disk1:/}[path/]newfilename
    
  6. Выполните команду copy, чтобы восстановить файл на PIX:

    hostname#copy {flash:/ | disk0:/ | 
    disk1:/}[path/]newfilename {flash:/ | disk0:/ | disk1:/}[path/]filename
    

Сохранение конфигурации контекста в контексте

В режиме с несколькими контекстами можно выполнить такие сохранения:

  1. Выполните команду copy, чтобы скопировать рабочую конфигурацию на сервер начальной конфигурации (подключенный к административному контексту):

    hostname/contexta#copy running-config startup-config
    
  2. Выполните команду copy, чтобы скопировать рабочую конфигурацию на сервер TFTP, подключенный к сети контекста:

    hostname/contexta#copy running-config tftp:/server[/path]/filename
    

Сохранение дополнительных файлов с помощью команд Export и Import

Для конфигурации могут быть необходимы дополнительные файлы, например:

  • Файлы, импортируемые с помощью команды import webvpn. В настоящее время эти файлы включают настройки, списки URL, веб-контент, подключаемые модули и языковые переводы.

  • Политики динамического доступа (DAP) (dap.xml)

  • Конфигурации CSD (data.xml)

  • Цифровые ключи и сертификаты

  • База данных пользователей локального центра сертификации (CA) и файлы статуса сертификатов

Интерфейс командной строки позволяет сохранять и восстанавливать отдельные элементы конфигурации с помощью команд export и import. Чтобы сохранить эти файлы, например импортированные командой import webvpn, или сертификаты, выполните следующие действия:

  1. Выполните соответствующую команду show. Например:

    hostname #show import webvpn plug-in
    ica
    rdp
    ssh,telnet
    vnc
    hostname#
  2. Выполните команду export для файла, который необходимо сохранить; в этом примере это файл rdp.

    hostname #export webvpn plug-in protocol rdp tftp://tftpserver/backupfilename
    
    hostname #

Использование сценария для сохранения и восстановления файлов

Можно использовать сценарий для сохранения и восстановления файлов конфигурации на устройстве безопасности, которое включает все расширения, импортированные командой import webvpn, XML-файлы конфигурации CSD и XML-файл конфигурации DAP. По соображениям безопасности Cisco не рекомендует выполнять автоматическое сохранение цифровых ключей и сертификатов или ключа локального центра сертификации.

В этом разделе приводится описание этого процесса с примером сценария, который можно использовать без изменений или модифицировать в соответствии с условиями среды. Пример сценария приведен для системы Linux. Для использования в системе Microsoft Windows его необходимо изменить, сохранив логику.

 Примечание.Существующий интерфейс командной строки позволяет сохранять и восстанавливать отдельные файлы с помощью команд copy, export и import. Однако в нем нет возможности сохранить все файлы конфигурации ASA за одно действие. Выполнение сценария устраняет необходимость ввода нескольких команд командной строки.

Предварительные условия

Чтобы использовать сценарий для сохранения и восстановления конфигурации ASA, выполните следующие действия:

  • Установите Perl с модулем Expect.

  • Установите SSH-клиент с доступом к ASA.

  • Установите сервер TFTP для отправки файлов с ASA на узел сохранения.

Другим вариантом является использование коммерческого программного инструмента. Такой инструмент можно снабдить логикой этого сценария.

Выполнение сценария

Чтобы запустить сценарий сохранения и восстановления, выполните следующие действия:

  1. Загрузите или скопируйте файл сценария в любое местоположение вашей системы..

  2. В командной строке введите Perl scriptname, где scriptname — имя файла сценария.

  3. Нажмите клавишу Enter.

  4. Система запросит значения для каждого параметра. Можно ввести значения параметров в команде Perl scriptname перед нажатием клавиши Enter. В любом случае для сценария обязателен ввод значений всех параметров..

  5. Сценарий начнет работать и распечатывать выполняемые команды, предоставляя запись выходных данных командной строки. Эти данные можно использовать для последующего восстановления, особенно если необходимо восстановить только один или два файла.

Использование программы эмуляции терминала для сохранения и восстановления конфигурации

Программу эмуляции терминала можно использовать для сохранения и восстановления конфигурации. Это описание процедуры, использующей ПО эмуляции терминала Microsoft HyperTerminal и PIX 6.x или 7.x/8.x.

  1. В строке приглашения pix> введите команду enable и требуемый пароль.

    Строка приглашения изменится на pix#. Это означает, что PIX перешел в привилегированный режим.

  2. Выполните команду terminal pager 0, чтобы принудить PIX вернуть сразу весь ответ вместо вывода по одному экрану за раз.

    Это позволит захватить конфигурацию без лишних подсказок --more--, генерируемых в том случае, когда PIX выводит ответ по одному окну за раз.

  3. В меню HyperTerminal выберите Transfer > Capture Text.

    Появится окно Capture Text.

  4. Присвойте этому файлу имя config.txt...

  5. Нажмите Start, чтобы убрать окно Capture Text и начать захват.

  6. Выполните команду show running-config и дайте маршрутизатору время для выполнения ответа.

    Появляется следующее:

    Building configuration...

    Конфигурация идет после записи Building configuration.

  7. В меню HyperTerminal выберите Transfer > Capture Text > Stop, чтобы завершить захват экрана.

  8. Откройте созданный файл config.txt в любом текстовом редакторе, например Notepad или Wordpad, и сохраните его.

  9. Подключитесь к PIX, на который нужно восстановить файл конфигурации.

  10. Откройте файл config.txt.

  11. Выделите все содержимое файла config.txt.

    Перемещайте курсор от первого до последнего символа файла, удерживая левую кнопку мыши, чтобы выделить содержимое. Если используется Notepad, выберите Edit > Select All из меню.

  12. Выберите Edit > Copy из меню текстового редактора или удерживайте клавишу CTRL и одновременно нажмите клавишу C, чтобы скопировать выделенный текст из буфера обмена Windows.

  13. Переключитесь в окно HyperTerminal и введите команду configure terminal в строке приглашения pix#.

  14. Нажмите клавишу Enter.

  15. Выберите Edit > Paste to Host в меню HyperTerminal, чтобы вставить файл конфигурации в PIX.

  16. После вставки конфигурации и возврата в строку приглашения PIX введите команду copy running-config startup-config, чтобы записать конфигурацию в память.

  17. Введите команду exit, чтобы вернуться в строку приглашения pix#.

Резервная копия и сертификаты восстановления

Выполните эти шаги, чтобы восстановить информацию сертификата от одного ASA до другого ASA:

  1. Экспортируйте сертификат от исходного ASA в формате PKCS12.

    crypto ca export [trustpoint name] pkcs12 [export password]

    Это импортирует все сертификаты в цепочке и также ключе, который используется с этим сертификатом. При перемещении всего сертификата другому ASA необходимо также переместить ключ с ним.

  2. Импортируйте сертификат с ключом к второму межсетевому экрану.

    crypto ca import [trust point name] pkcs12 [password used to export]

    Вы не должны определить любые точки доверия перед вводом этой команды. Это создает точки доверия автоматически. Поэтому, если существует любая трастовая точка с тем же названием, тогда удаляют его перед применением его.

Проверка

Выполните команду show running-config, чтобы убедиться, что файл конфигурации скопирован в соответствующий PIX.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 70771