Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA: Сделайте копию и Восстановите Конфигурационные файлы Прибора безопасности Используя Сервер TFTP

11 августа 2015 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (22 сентября 2010) | Английский (23 апреля 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как сделать копию и восстановить конфигурацию и файлы изображения версий 6.x и 7.x Прибора безопасности. Этот документ обеспечивает основные шаги, которые вы используете для копирования этих файлов между сервером TFTP и PIX/ASA.

Примечание: Обратитесь к Выбору Сервера TFTP и Использованию для отбора сервера TFTP.

Предпосылки

Требования

Перед использованием информации в этом документе удостоверьтесь, что у вас есть сервер TFTP в сети, к которой у вас есть возможность соединения IP. Используйте команду звона для подтверждения возможности соединения.

Используемые компоненты

Этот документ не ограничен определенными версиями программного и аппаратного обеспечения.

Связанные продукты

Cisco PIX 500 Серийная конфигурация программного обеспечения Прибора безопасности вариантов 7.x может также использоваться с Cisco Серийная версия 7.x программного обеспечения Прибора безопасности ASA.

Соглашения

Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.

Сделайте копию и восстановите конфигурацию

Эта секция предоставляет информацию об этих процедурах, используемых для резервной копии и восстановления PIX 6.x и 7.x конфигурации:

Используйте tftp-сервер, config чистый, и напишите чистые Команды, чтобы Сделать копию и Восстановить Конфигурацию в PIX 6.x или 7.x

Писание чистого, config чистый, и команды tftp-сервера позволяет вам сделать копию и восстановить конфигурацию PIX для версий 6.x и 7.x.

Примечание: Эти команды и эта процедура поддержаны и в PIX 6.x и в 7.x версии. В обоих случаях команды должны быть выпущены в глобальном способе конфигурации.

  1. Выпустите команду tftp-сервера, чтобы упростить вход в формирование чистого и написать чистые команды.

    При издании этих команд можно или унаследовать сервер TFTP, определенный командой tftp-сервера, или обеспечить собственную стоимость. Можно также унаследовать путь в команде tftp-сервера, как, добавьте путь и имя файла до конца стоимости команды tftp-сервера, или отвергните стоимость команды tftp-сервера. Прибор безопасности PIX поддерживает только одну команду tftp-сервера.

    tftp-server [if_name] {ip_address|hostname} path
    
  2. Определите неплатеж сервер TFTP, путь и имя файла, чтобы использовать с формированием чистого или написать чистые команды.

    Эти команды используются в глобальном способе конфигурации. Не выпустите форму этих команд для удаления конфигурации сервера. Эта команда поддерживает адреса IPv6 и IPv4.

    Примечание: синтаксис команды немного варьируется для PIX 6.x и 7.x. В PIX 6.x, [if_name] является дополнительным параметром, который представляет интерфейсное имя, на котором проживает сервер TFTP. Если не определенный, принят внутренний интерфейс. При определении внешнего интерфейса предупреждающее сообщение сообщает вам, что внешний интерфейс не безопасен. Однако в PIX 7.x, [if_name] является обязательным параметром, который определяет название интерфейса ворот. При определении интерфейса кроме самого высокого интерфейса безопасности предупреждающее сообщение сообщает вам, что интерфейс не безопасен.

    Имя пути, которое вы определяете в команде tftp-сервера, добавлено до конца IP-адреса, который вы определяете в формировании чистого и пишете чистые команды. Чем больше вы определяете файла и имени пути с командой tftp-сервера, тем меньше необходимо определить с формированием чистого и написать чистые команды. Если вы определяете весь путь и имя файла в команде tftp-сервера, IP-адрес в формировании чистого и пишете, что чистые команды могут быть представлены с двоеточием.

    Этот пример определяет сервер TFTP, затем читает конфигурацию от/pixfirewall/config/test_config:

    tftp-server inside 10.1.1.42 /pixfirewall/config/test_config
    
    configure net :
  3. Выпустите формирование чистой команды для слияния текущей бегущей конфигурации с конфигурацией TFTP, сохраненной в IP-адресе, который вы определяете, и от файла вы называете.

    При определении и IP-адреса и имени пути в команде tftp-сервера можно определить server_ip: имя файла с двоеточием.

    configure net :

    Этот пример устанавливает сервер и имя файла в команде tftp-сервера, и затем отвергает сервер с формированием чистой команды. То же самое имя файла используется.

    hostname(config)#tftp-server inside 10.1.1.1 configs/config1
    
    hostname(config)#configure net 10.2.2.2:
    

    Этот пример устанавливает сервер только в команде tftp-сервера. Формирование чистой команды определяет только имя файла.

    hostname(config)#tftp-server inside 10.1.1.1
    
    hostname(config)#configure net :configs/config1
    

    Слияние добавляет все команды от новой конфигурации до бегущей конфигурации и переписывает любые команды, которые находятся в противоречии с новыми версиями. Например, если команда позволяет многократные случаи, новые команды добавлены к командам, которые существуют в бегущей конфигурации. Если команда позволяет только один случай, новая команда переписывает команду в бегущей конфигурации. Слияние никогда не удаляет команды, которые существуют в бегущей конфигурации, но не установлены в новой конфигурации.

    Эта команда совпадает с копией tftp управляющий-config командой. Для многократного способа контекста в PIX 7.x, эта команда только доступна в системном космосе выполнения. Поэтому, формирование чистой команды является альтернативой для использования в пределах контекста.

  4. Выпустите писание чистой команды для хранения бегущей конфигурации в сервере TFTP.

    Писание чистой команды эквивалентно копии, бегущей-config tftp команда.

    write net :

    Бегущая конфигурация является конфигурацией, которая в настоящее время бежит в памяти. Это включает любые изменения, которые вы внесли в командной строке. В многократном способе контекста эта команда экономит только текущую конфигурацию. Вы не можете спасти все контексты с единственной командой. Эта команда должна быть введена отдельно для системы и для каждого контекста.

    Писание чистой команды использует интерфейсы контекста для письма конфигурации серверу TFTP. Однако написать команда памяти использует admin интерфейсы контекста для экономии к конфигурации запуска, потому что система использует admin интерфейсы контекста для доступа к конфигурациям запуска контекста.

    Этот пример устанавливает сервер TFTP и имя файла в команде tftp-сервера.

    hostname#tftp-server inside 10.1.1.1 /configs/contextbackup.cfg
    
    hostname#write net
    

    Этот пример устанавливает сервер и имя файла в писании чистой команды. Команда tftp-сервера не населена.

    hostname#write net 10.1.1.1:/configs/contextbackup.cfg
    

    Примечание: Если у вас есть конфигурация Брандмауэра PIX, которая существует на сервере TFTP, и сохраните более короткую версию той конфигурации с тем же самым именем файла на сервере TFTP, вы могли бы заметить дополнительный текст после первой отметки :end.. Некоторые серверы TFTP начинают писать в начале файла и таким образом оставлять часть оригинальной конфигурации после первой отметки :end. Это не затрагивает Брандмауэр PIX. Однако, потому что формирование чистой команды прекращает читать, когда это достигает первой отметки :end, такая ситуация могла бы вызвать беспорядок, если вы рассматриваете конфигурацию и видите дополнительный текст в конце.

Используйте Команду копии, чтобы Сделать копию и Восстановить PIX 6.x Изображение

Копия tftp команда вспышки позволяет вам загрузить изображение программного обеспечения во Флэш-память брандмауэра через TFTP. Можно использовать копию tftp команда вспышки с любой моделью PIX Firewall, которая управляет версией 5.1 или позже. Изображение, которое вы загружаете, сделано доступным для Брандмауэра PIX на следующем, перезагружают (перезагрузка).

Это - продукция из копии tftp команда вспышки:

copy tftp[:[[//location] [/tftp_pathname]]] flash[:[image | pdm]]

Если команда используется без местоположения или имени пути дополнительные параметры, то местоположение и имя файла получены от пользователя в интерактивном режиме через серию вопросов, подобных представленным программным обеспечением Cisco IOS�. Если вы только входите в двоеточие, параметры взяты от параметров настройки команды tftp-сервера. Если другие дополнительные параметры поставляются, то эти ценности используются вместо соответствующего урегулирования команды tftp-сервера. Если какой-либо из дополнительных параметров, таких как двоеточие и что-нибудь после него поставляется, пробеги команды без быстрого для ввода данных пользователем.

Местоположением является или IP-адрес или имя, которое решает к IP-адресу через Брандмауэр PIX, называющий механизм резолюции, который является в настоящее время статическими отображениями через имя и называет команды. Брандмауэр PIX должен знать, как достигнуть этого местоположения через его информацию о таблице маршрутизации. Эта информация определена IP-адресом, маршрутом или командами RIP. Это зависит от вашей конфигурации.

Имя пути может включать любые имена каталогов помимо фактического последнего компонента пути к файлу на сервере. Имя пути не может содержать места. Если имя каталога имеет набор мест к справочнику в сервере TFTP вместо в копии tftp команда вспышки, и если ваш сервер TFTP формируется для обращения на справочник на системе, с которой вы загружаете изображение, только необходимо использовать IP-адрес системы и имени файла изображения. Сервер TFTP получает команду и определяет фактическое местоположение файла от его информации о справочнике корня. Сервер тогда загружает изображение TFTP на Брандмауэр PIX.

Это - процедура для копирования файла изображения от сервера TFTP до PIX, и назад к серверу TFTP.

  1. Выпустите копию tftp команда вспышки для копирования изображения PIX от сервера TFTP до Вспышки PIX.

    Этот пример заставляет Брандмауэр PIX побуждать вас для имени файла и местоположения перед стартом загрузки TFTP.

    pix#copy tftp flash
    Address or name of remote host [127.0.0.1]? 10.1.1.5
    Source file name [cdisk]? pix512.bin
    copying tftp://10.1.1.5/pix512.bin to flash
    
    
    !!
    1030 bytes copied in 2.489 secs (395 bytes/sec)
    pix#
  2. Выпустите вспышку копии tftp команда для копирования изображения PIX со Вспышки на сервер TFTP:

    pix#copy flash tftp
    Address or name of remote host []? 10.0.0.1
    Source filename []? pix512.bin
    Destination filename [pix512.bin]?
    Accessing tftp://10.66.64.10/backup_cfg_for_pix...
    !!!!
    
    1030 bytes copied in 9.612 secs (107 bytes/sec)
    pix#
  3. Выпустите команду tftp-сервера для урегулирования имени файла и местоположения.

    Это сохраняет память, и затем загружает изображение на Флэш-память.

    Этот пример берет информацию от команды tftp-сервера. В этом случае сервер TFTP находится в интранете и проживает во внешнем интерфейсе.

    pixfirewall(config)#tftp-server outside 10.1.1.5 pix512.bin
    
    Warning: 'outside' interface has a low security level (0).

    Этот пример показывает использование tftp: в команде копии. PIX непосредственно копирует изображение с TFTP для Высвечивания без вмешательства.

    pixfirewall(config)#copy tftp: flash 
    
    copying tftp://10.1.1.5/pix512.bin to flash
    
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!...
  4. Выпустите название команды tftp-хозяина в командах копии.

    Этот пример наносит на карту IP-адрес к имени хоста TFTP с командой имени.

    name 10.1.1.6 tftp-host
    
    copy tftp://tftp-host/pix512.bin flash
    
    copy tftp://tftp-host/tftpboot/pix512.bin flash

Используйте Команду копии, чтобы Сделать копию и Восстановить Конфигурацию на PIX/ASA 7.x/8.x

Используйте один из этих методов, чтобы сделать копию и восстановить вашу конфигурацию на PIX/ASA 7.x/8.x:

Используйте Команду копии, чтобы Сделать копию и Восстановить Конфигурацию PIX и Изображение

Команда копии позволяет вам скопировать файл от одного местоположения до другого.

copy [/noconfirm | /pcap] {url | running-config | startup-config}
 {running-config | startup-config | url}

Примечание: Используйте процедуру команды копии, упомянутую в шагах 1 и 2 Использования Команда копии, чтобы Сделать копию и Восстановить PIX 6.x секция Изображения, чтобы взять резервную копию и вернуть изображение PIX серверу TFTP. Использование команды копии немного отличается с версиями 6.x и 7.x/8.x. В версии 6.x, если вы выпускаете tftp: с командой копии, такой как копия tftp: вспышка, PIX использует хранившую информацию сервера TFTP, такую как путь и имя файла. Но в версии 7.x/8.x PIX взаимодействует пользователь с рядом вопросов даже при определении tftp: с копией командуют и информация о сервере TFTP..

Это - процедура для копирования конфигурации с PIX на сервер TFTP, и назад к PIX.

  1. Выберите и скопируйте PIX бегущий конфигурационный файл к серверу TFTP:

    pix#copy running-config tftp
    Address or name of remote host []? 10.0.0.1
    Destination filename [pix-confg]? backup_cfg_for_pix
    !!
    1030 bytes copied in 2.489 secs (395 bytes/sec)
    pix#
  2. Выберите и скопируйте конфигурационный файл от сервера TFTP до того же самого PIX в привилегированном (позволяют) способ, который имеет базовую конфигурацию.

    pix#copy tftp running-config
    Address or name of remote host []? 10.0.0.1
    Source filename []? backup_cfg_for_pix
    Destination filename [running-config]?
    Accessing tftp://10.66.64.10/backup_cfg_for_pix...
    Loading backup_cfg_for_pix from 10.0.0.1 (via Ethernet0): !
    [OK - 1030 bytes]
    
    1030 bytes copied in 9.612 secs (107 bytes/sec)
    pix#

Сделайте копию и восстановите единственную конфигурацию способа или многократную системную конфигурацию способа

В единственном способе контекста, или от системной конфигурации в многократном способе, можно скопировать конфигурацию запуска или бегущую конфигурацию к внешнему серверу или к местной Флэш-памяти:

Примечание: при копировании конфигурации к бегущей конфигурации вы сливаете эти две конфигурации. Слияние добавляет любые новые команды от новой конфигурации до бегущей конфигурации. Если конфигурации являются тем же самым, никакие изменения не происходят. Если команды находятся в противоречии или если команды затрагивают управление контекстом, то эффект слияния зависит от команды. Вы могли бы получить ошибки, или у вас могли бы быть неожиданные результаты.

  1. Выберите и скопируйте конфигурацию запуска или бегущую конфигурацию к внешнему серверу или к местной Флэш-памяти:

    hostname#copy {startup-config | running-config}
    tftp://server[/path]/filename
    
  2. Выпустите эту копию tftp команда для восстановления файла назад PIX:

    hostname#copy tftp://server[/path]/filename {startup-config | running-config}
    
  3. Выпустите эту команду копии для копирования к Ftp-серверу:

    hostname#copy {startup-config | running-config} 
    ftp://[user[:password]@]server[/path]/filename
    
  4. Выпустите эту команду копии для восстановления файла назад PIX:

    hostname#copy ftp://[user[:password]@]server[/path]/filename {startup-config | running-config}
    
  5. Выпустите эту команду копии для копирования к местной Флэш-памяти:

    hostname#copy {startup-config | running-config} {flash:/ | disk0:/ | 
    disk1:/}[path/]filename
    
  6. Выпустите эту команду копии для восстановления резервного файла:

    hostname#copy {flash:/ | disk0:/ | 
    disk1:/}[path/]filename {startup-config | running-config}
    

    Удостоверьтесь, что существует справочник назначения. Если это не существует, выпускает команду mkdir для создания справочника.

Сделайте копию и восстановите конфигурацию контекста во флэш-памяти

В многократном способе контекста выпустите одну из этих команд в системном космосе выполнения для копирования конфигураций контекста, которые находятся на местной Флэш-памяти.

  1. Isssue эта команда копии для копирования к серверу TFTP:

    hostname#copy disk:[path/]filename tftp://server[/path]/filename
    
  2. Выпустите эту команду копии для восстановления файла назад PIX:

    hostname#copy tftp://server[/path]/filename disk:[path/]filename
    
  3. Выпустите эту команду копии для копирования к Ftp-серверу:

    hostname#copy disk:[path/]filename ftp://[user[:password]@]server 
    [/path]/filename
    
  4. Выпустите эту команду копии для восстановления файла назад PIX:

    hostname#copy ftp://[user[:password]@]server 
    [/path]/filename disk:[path/]filename
    
  5. Выпустите эту команду копии для копирования к местной Флэш-памяти:

    hostname#copy {flash:/ | disk0:/ | disk1:/}[path/]filename {flash:/ | disk0:/ | 
    disk1:/}[path/]newfilename
    
  6. Выпустите эту команду копии для восстановления файла назад PIX:

    hostname#copy {flash:/ | disk0:/ | 
    disk1:/}[path/]newfilename {flash:/ | disk0:/ | disk1:/}[path/]filename
    

Сделайте копию конфигурации контекста в пределах контекста

В многократном способе контекста, из контекста, можно выполнить эти резервные копии:

  1. Выпустите эту команду копии для копирования бегущей конфигурации к серверу конфигурации запуска (связанный с admin контекстом):

    hostname/contexta#copy running-config startup-config
    
  2. Выпустите эту команду копии для копирования бегущей конфигурации к серверу TFTP, связанному с сетью контекста:

    hostname/contexta#copy running-config tftp:/server[/path]/filename
    

Поддержите дополнительные файлы Используя экспорт и импортируйте команды

Дополнительные файлы, важные для вашей конфигурации, могут включать их:

  • Файлы вы импортируете использование импорта webvpn команда. В настоящее время эти файлы включают настройки, списки URL, веб-контент, программные расширения и языковые переводы.

  • Политика DAP (dap.xml)

  • Конфигурации CSD (data.xml)

  • Цифровые ключи и свидетельства

  • Местная пользовательская база данных CA и файлы статуса свидетельства

CLI позволяет вам отходить назад и восстанавливать отдельные элементы своей конфигурации с помощью экспорта и импортировать команды. Для поддержки этих файлов, например, импортированные через импорт webvpn команда или свидетельства, закончите эти шаги:

  1. Выпустите соответствующую выставочную команду (ы). Например.

    hostname #show import webvpn plug-in
    ica
    rdp
    ssh,telnet
    vnc
    hostname#
  2. Выпустите экспортную команду для файла, который вы хотите поддержать, в этом примере, rdp файле.

    hostname #export webvpn plug-in protocol rdp tftp://tftpserver/backupfilename
    
    hostname #

Используйте подлинник, чтобы отойти назад и восстановить файлы

Можно использовать подлинник, чтобы отойти назад и восстановить конфигурационные файлы на приборе безопасности, который включает все расширения, которые вы импортируете через импорт webvpn CLI, конфигурация CSD файлы XML и конфигурация DAP файл XML. Из соображений безопасности Cisco не рекомендует выполнить автоматизированные резервные копии цифровых ключей и свидетельства или Местного ключа CA.

Эта секция предоставляет инструкции для того, чтобы сделать так и включает типовой подлинник, который можно использовать как есть или изменить, поскольку среда требует. Типовой подлинник является определенным для системы Linux. Для использования его для системы Microsoft Windows необходимо изменить его с логикой образца.

Примечание: существующий CLI позволяет вам отходить назад и восстанавливать отдельные файлы с использованием копии, экспортом, и импортировать команды. Это, однако, не имеет средства, которое позволяет вам поддерживать все конфигурационные файлы ASA в одной операции. При управлении подлинником это облегчает использование многократного CLIs.

Предпосылки:

Для использования подлинника, чтобы отойти назад и восстановить конфигурацию ASA, выполните эти задачи:

  • Установите Perl с Ожидать модулем.

  • Установите клиента SSH, который может достигнуть ASA.

  • Установите сервер TFTP для отправки файлов от ASA до резервного места.

Другой выбор состоит в том, чтобы использовать коммерчески доступный инструмент. Можно поместить логику этого подлинника в такой инструмент.

Управление подлинником

Закончите эти шаги, чтобы управлять резервной копией и восстановить подлинник:

  1. Загрузка или вырезанный и вставленный файл подлинника к любому местоположению на вашей системе..

  2. В командной строке войдите в Perl scriptname, где scriptname является названием файла подлинника.

  3. Пресса входит.

  4. Система побуждает вас для ценностей для каждого из вариантов. Альтернативно, можно войти в ценности для вариантов при входе в команду Perl scriptname перед нажимом, Входят. Так или иначе подлинник требует, чтобы вы вошли в стоимость для каждого выбора..

  5. Подлинник начинает бежать и распечатывает команды, которые он выпускает, который предоставляет вам отчет CLIs. Можно использовать эти CLIs для более позднего, восстанавливают, особенно полезный, если вы хотите восстановить только один или два файла.

Используйте предельную программу эмуляции, чтобы сделать копию и восстановить конфигурацию

Предельная программа эмуляции может использоваться, чтобы сделать копию и восстановить конфигурацию. Это - описание процедуры, которая использует программное обеспечение Microsoft HyperTerminal Terminal Emulation и или PIX 6.x или 7.x/8.x.

  1. В быстром pix> выпустите позволить команду и введите необходимый пароль, когда вызвано.

    Быстрые изменения pix#. Это указывает, что PIX находится в привилегированном способе.

  2. Выпустите предельный пейджер 0 команд, чтобы вынудить PIX возвратить весь ответ сразу, а не один экран за один раз.

    Это позволяет, вы для завоевания конфигурации без постороннего --more-- вызываете произведенный, когда PIX отвечает одно окно за один раз.

  3. В меню HyperTerminal выберите Передачу> текст Захвата.

    Текстовое окно Захвата появляется.

  4. Назовите этот файл config.txt..

  5. Нажмите Start, чтобы отклонить текстовое окно Захвата и начать захват.

  6. Выпустите выставочную команду управления-config и позвольте времени для маршрутизатора заканчивать свой ответ.

    Вы видите это:

    Building configuration...

    Конфигурация прибывает после Building configuration.

  7. В меню HyperTerminal выберите Передачу> текст Захвата> Остановка для окончания захвата кадра.

  8. Откройте config.txt файл, который вы создали в любом редакторе текста, таком как Notepad или Wordpad, и сохраните файл.

  9. Соединитесь с PIX, который нуждается в конфигурации для восстановления.

  10. Откройте config.txt файл.

  11. Выдвиньте на первый план все содержание config.txt файла.

    Тяните курсор до первого характера к после последнего характера в файле при подавлении левой кнопки мыши для выдвижения на первый план. Альтернативно, если вы используете Блокнот, выбираете, Редактируют>, Выбирают Все из меню.

  12. Выберите Редактируют> Копия с меню редактора текста, или удерживают клавишу CTRL и одновременно нажимают ключ C для копирования выделенного текста с клипборда Windows.

  13. Переключитесь на Гиперокно терминала и выпустите формировать предельную команду в быстром pix#.

  14. Пресса входит.

  15. Выберите Редактируют> Паста для Оказания гостеприимства в меню HyperTerminal для приклеивания конфигурационного файла в PIX.

  16. После того, как конфигурация приклеивается, и PIX возвращает вас быстрой конфигурации, выпустите копию бегущая-config команда запуска-config для письма конфигурации в память.

  17. Выпустите выходную команду для возвращения к быстрому pix#.

Сделайте копию и восстановите свидетельства

Закончите эти шаги для восстановления информации о свидетельстве от одного ASA до другого ASA:

  1. Экспортируйте свидетельство от оригинального ASA в формате PKCS12.

    crypto ca export [trustpoint name] pkcs12 [export password]

    Это импортирует все свидетельства в области цепи и также ключа, который используется с этим свидетельством. При перемещении всего свидетельства другому ASA необходимо также переместить ключ с ним.

  2. Импортируйте свидетельство с ключом к второму брандмауэру.

    crypto ca import [trust point name] pkcs12 [password used to export]

    Вы не должны определять трастовые пункты перед входом в эту команду. Это создает трастовые пункты автоматически. Поэтому, если существует, любой доверяет вопросу с тем же самым именем, тогда удаляют его перед применением его.

Проверить

Выпустите выставочную команду управления-config, чтобы подтвердить, что конфигурационный файл был скопирован к месту назначения PIX.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 70771