Маршрутизаторы : Устройства защиты Cisco PIX серии 500

PIX/ASA 7.x и более поздние версии: пример конфигурации Multiple Context

21 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (22 сентября 2010) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

В этом документе описаны действия, применяемые при настройке нескольких контекстов в устройствах защиты.

Одно устройство защиты можно разделить на множество виртуальных устройств, известных как контексты безопасности. Каждый контекст является независимым устройством со своей собственной политикой безопасности, интерфейсами и администраторами. Наличие нескольких контекстов похоже на присутствие нескольких автономных устройств. Многие функции поддерживаются в многоконтекстном режиме, включая таблицы маршрутизации, функции межсетевого экрана, IPS и управление. Некоторые функции, включая VPN и протоколы динамической маршрутизации, не поддерживаются.

Несколько контекстов безопасности можно использовать в следующих ситуациях:

  • Вы являетесь поставщиком услуг и хотите продавать услуги безопасности множеству клиентов. Если в устройстве безопасности включены несколько контекстов безопасности, можно внедрить экономичное, экономящее место решение, которое обеспечивает разделенность и безопасность всего трафика заказчиков, а также упрощает настройку.

  • Вы представляете крупное предприятие или студенческий городок и хотите, чтобы отделы были полностью независимыми.

  • Вы относитесь к предприятию, где нужно обеспечить четкие политики безопасности для разных отделов.

  • У вас есть сеть, для которой нужно более одного устройства обеспечения безопасности.

Примечание: В режиме Мультиконтекста можно обновить или понизить программное обеспечение PIX/ASA только в Системном Режиме EXEC, не в других режимах контекста.

Дополнительную информацию о действиях, применяемых для настройки нескольких контекстов в модуле Firewall Service Module (FWSM), см. в документе FWSM: Пример конфигурации с несколькими контекстами.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco Adaptive Security Appliance серии 5500 работает под управлением ПО версии 7.x или выше.

    Примечание: Функция составного контекста не поддерживается на устройстве адаптивной безопасности ASA 5505 Серии.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Эти настройки также могут быть использованы в Cisco PIX Security Appliance серии 500, начиная с версии 7.x.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

Файлы конфигурации контекстов

Конфигурации контекстов

Устройство обеспечения безопасности включает конфигурацию для каждого контекста, которая идентифицирует политику безопасности, интерфейсы и почти все параметры автономного устройства, которые можно настроить. Конфигурации контекстов можно сохранять во внутренней флэш-памяти или на внешней карте флэш-памяти. Кроме того, их можно загрузить с сервера TFTP, FTP или HTTP(S).

Конфигурация системы

Системный администратор добавляет контексты и управляет ими с учетом конфигурации каждого местоположения конфигурации контекста, выделенных интерфейсов и других эксплуатационных параметров контекста в конфигурации системы, которая является начальной как и конфигурация с одноконтекстным режимом. Конфигурация системы выявляет основные настройки устройства, обеспечивающего безопасность. Конфигурация системы не включает сетевые интерфейсы или сетевые настройки сами по себе. Вместо этого система, испытывающая потребность в доступе к сетевым ресурсам (таким как загрузки контекста с сервера), использует один из контекстов, разработанных в качестве контекста администратора. Конфигурация системы включает специализированный интерфейс аварийного переключения, который предназначен только для трафика, возникающего при аварийном переключении.

Конфигурация контекста администратора

Контекст администратора похож на любой другой контекст во всем за исключением того, что когда пользователь выполняет вход в контекст администратора, у него появляются права системного администратора, и он получает доступ к системе и всем остальным контекстам. Контекст администратора никак не ограничен, и его можно использовать в качестве обычного контекста. Однако, поскольку вход в контекст администратора дает привилегии администратора для всех контекстов, нужно предоставить доступ к контексту администратора только соответствующим пользователям. Контекст администратора должен располагаться во флэш-памяти, а не в удаленном местоположении.

Если ваша система уже работает в режиме нескольких контекстов или если выполняется переход из одноконтекстного режима, контекст администратора создается автоматически во внутренней флэш-памяти в виде файла admin.cfg. Этот контекст называется admin. Если admin.cfg не требуется использовать в качестве контекста администратора, контекст администратора можно изменить.

Примечание: Контекст администратора не посчитан в лицензии контекста. Например, при наличии лицензии на два контекста вам разрешено иметь контекст администратора и два других контекста.

Доступ для управления контекстами безопасности

Устройство обеспечения безопасности предоставляет системному администратору доступ в многоконтекстном режиме. Также предоставляется доступ отдельным администраторам контекста. В следующих разделах описана процедура входа для системного администратора, а также входа в качестве администратора контекста:

Доступ системного администратора

Доступ к устройству обеспечения безопасности в качестве системного администратора предоставляется двумя способами:

Будучи системным администратором вы имеете доступ ко всем контекстам.

При переходе к контексту из контекста администратора или системы присваивается имя пользователя enable_15, выбранное по умолчанию. Если в данном контексте настроена авторизация команд, необходимо либо настроить привилегии авторизации для пользователя "enable_15", либо войти, указав другое имя, для которого предоставляются достаточные привилегии при настройке авторизации команд для контекста. Чтобы выполнить вход, указав имя пользователя, введите команду login. Например, для входа в контекст администратора вводится имя пользователя admin. Контекст администратора не располагает какой бы то ни было конфигурацией авторизации команд в отличие от всех остальных контекстов. Для удобства каждая конфигурация контекста включает пользователя "admin" с максимальными привилегиями. При переходе от контекста admin к контексту A имя пользователя изменяется, и вам нужно снова войти как "admin", выполнив команду login. При переходе к контексту Б необходимо снова ввести команду login, чтобы войти под именем "admin."."

Системное поле выполнения не поддерживает команды AAA, но можно настроить собственную команду enable password, а также указать имена пользователей в локальной базе данных, чтобы предоставить отдельные учетные данные.

Доступ администратора контекста

Доступ к контексту осуществляется с помощью Telnet, SSH или ASDM. При входе в контекст, отличный от контекста администратора, доступ предоставляется только к конфигурации данного контекста. Для входа в контекст можно предоставить отдельные учетные данные.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В настоящем документе используется следующая схема сети:

/image/gif/paws/99131/multiple-context1.gif

Примечание: Порты на коммутаторе, которые связаны с ASA, должны быть в режиме магистрали, так как трафик несколько интерфейсов VLAN должен переместиться через него, как только интерфейсы ASA разделены на подчиненные интерфейсы.

Включение и выключение многоконтекстного режима

Возможно, что ваше устройство обеспечения безопасности уже настроено для нескольких контекстов безопасности в зависимости от способа заказа их в Cisco, но в случае обновления может потребоваться переход от одноконтекстного режима к многоконтекстному. В этом разделе поясняются процедуры, необходимые для обновления. Поддержки ASDM, изменяющие режимы от одиночного до составного режима при использовании Мастера Высокой доступности и Масштабируемости, и вы включаете Активное/Активное аварийное переключение. Если вы не хотите использовать Активное/Активное аварийное переключение или хотеть возвратиться к одному режиму, необходимо изменить режимы в CLI. См. Включение или Отключение Многоконтекстного режима для получения дополнительной информации.

При переходе от одноконтекстного режима к многоконтекстному устройство обеспечения безопасности преобразует текущую конфигурацию в два файла. Исходная начальная конфигурация не сохраняется. Если она отличается от текущей конфигурации, перед продолжением создайте резервную копию.

Включение многоконтекстного режима

Контекстный режим (одноконтекстный или многоконтекстный) не сохраняется в файле конфигурации, хотя он и не меняется при перезагрузке. Если требуется скопировать конфигурацию на другое устройство, задайте режим на новом устройстве так, чтобы он соответствовал команде mode.

При переходе от одноконтекстного режима к многоконтекстному устройство обеспечения безопасности преобразует текущую конфигурацию в два файла: в файл новой начальной конфигурации, отвечающий за конфигурацию системы, и файл admin.cfg, определяющий контекст администратора (в корневом каталоге внутренней флэш-памяти). Исходная текущая конфигурация сохраняется в виде файла old_running.cfg (в корневом каталоге внутренней флэш-памяти). Исходная начальная конфигурация при этом не сохраняется. Устройство обеспечения безопасности автоматически добавляет запись, которая называется "admin", для контекста администратора в системную конфигурацию."

Чтобы включить многоконтекстный режим, введите следующую команду:

hostname(config)# mode multiple

Будет предложена перезагрузка устройства обеспечения безопасности.

CiscoASA(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash

The admin context configuration will be written to flash

The new running configuration file was written to flash
Security context mode: multiple

***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
***   change mode

Rebooting....

Booting system, please wait...
*
*
!--- output suppressed

*
*
INFO: Admin context is required to get the interfaces
*** Output from config line 20, "arp timeout 14400"
Creating context 'admin'... Done. (1)
*** Output from config line 23, "admin-context admin"

Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a

*** Output from config line 25, "  config-url flash:/admi..."

Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061c
Type help or '?' for a list of available commands.
CiscoASA>

После перезагрузки конфигурация ASA по умолчанию будет выглядеть следующим образом:

Конфигурация ASA 8.x по умолчанию
CiscoASA# show running-config
: Saved
:
ASA Version 8.0(2) <system>
!
hostname CiscoASA
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0/0
shutdown
!
interface Ethernet0/1
shutdown
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
no failover
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
   config-url disk0:/admin.cfg
!
!--- admin context is created
!--- by default once you enable 
!--- multiple mode


prompt hostname context
Cryptochecksum:410be16e875b7302990a831a5d91aefd
: end

Настройка контекста безопасности

Определение контекста безопасности в конфигурации системы определяет имя контекста, URL файла конфигурации и интерфейсы, которые может использовать контекст.

Примечание: Если у вас нет контекста администратора (например, после очистки конфигурации), то при вводе следующей команды нужно сначала указать название контекста администратора:

hostname(config)# admin-context <name>

Примечание: Несмотря на то, что это название контекста еще не существует в вашей конфигурации, можно впоследствии ввести команду названия контекста для соответствия с указанным именем для продолжения конфигурации контекста администратора.

Чтобы добавить или изменить контекст в конфигурации системы, выполните следующие действия:

  1. Чтобы добавить или изменить контекст, введите следующую команду в системном поле выполнения:

    hostname(config)# context <name>
    

    Название строки может включать до 32 символов. Это название чувствительно к регистру, и у вас может иметься два контекста (например, "заказчикA" и "ЗаказчикА"). Можно использовать буквы, цифры и дефисы, но дефис не должен стоять в начале или в конце названия.

    Названия "System" и "Null" (написанные строчными или заглавными буквами) зарезервированы и не могут использоваться.

  2. Чтобы добавить необязательное описание для этого контекста, введите следующую команду:

    hostname(config-ctx)# description text
    
    
  3. Чтобы указать интерфейсы, которые можно применять в этом контексте, введите команду, которая соответствует физическому интерфейсу или одному или нескольким субинтерфейсам.

    • Чтобы выделить физический интерфейс, введите следующую команду:

      hostname(config-ctx)# allocate-interface 
      <physical_interface> [mapped_name] 
      [visible | invisible]
      
    • Чтобы выделить субинтерфейс, введите следующую команду:

      hostname(config-ctx)# allocate-interface 
      <physical_interface.subinterface[-physical_interface.subinterface]>
      [mapped_name[-mapped_name]] [visible | invisible]
      

      Для указания различных диапазонов эти команды можно вводить многократно. Если удалить выделение, введя эту команду с добавлением слова "no", из текущей конфигурации удаляются любые команды контекста, включающие этот интерфейс.

  4. Чтобы выяснить URL-адрес, с которого система загружает конфигурацию контекста, введите следующую команду:

    hostname(config-ctx)# config-url url
    
    

    Примечание: Введите команду (команды) allocate-interface перед вводом команды config-url. Устройство обеспечения безопасности должно присвоить интерфейсы контексту перед загрузкой конфигурации контекста, которая может включать команды, относящиеся к интерфейсам (interface, nat, global и т.д.)...). Если вначале вводится команда config-url, устройство обеспечения безопасности сразу же загружает конфигурацию контекста. Если контекст содержит любые команды, которые относятся к интерфейсам, эти команды не удается выполнить.

В данном сценарии выполните указанные в таблице действия, чтобы настроить многоконтекстный режим.

Существует два заказчика ("Заказчик A" и "Заказчик Б"). Создайте три многоконтекстных режима (для трех устройств ASA) в рамках одного устройства ASA (например, "Context1" для заказчика А, "Context2" для заказчика Б и "Admin Context" для управления контекстами ASA).

Создайте два субинтерфейса для каждого контекста, относящегося к внутреннему и внешнему подключению. Назначьте различные сети VLAN для каждого субинтерфейса.

Создайте два субинтерфейса в ethernet 0/0 ("ethernet 0/0.1" и "ethernet 0/0.2" для внешнего подключения контекста "context1" и "context2" соответственно). Создайте два субинтерфейса в ethernet 0/1 ("ethernet 0/1,1" и "ethernet 0/1,2" для внутреннего подключения контекста "context1" и "context2" соответственно).

Назначьте VLAN для каждого субинтерфейса (например, "vlan 2" для "ethernet 0/0.1", "vlan3" для "ethernet 0/1.1", "vlan 4" для "ethernet 0/0.2", "vlan5" для "ethernet 0/1.2").

Действия по настройке многоконтекстного режима ASA
:

!--- Outside interface for context1 and context2.
!--- Create the sub interface in 
!--- outside interface for context1 and context2.


ciscoasa(config)# interface Ethernet0/0
ciscoasa(config-if)# no shutdown

!--- Inside interface for context1 and context2.
!--- Create the sub interface in 
!--- inside interface for context1 and context2.


ciscoasa(config)# interface Ethernet0/1
ciscoasa(config-if)# no shutdown


!--- Outside interface for admin context 
!--- to access the ASA from outside network
!--- using telnet or SSH.


ciscoasa(config-if)# interface Ethernet0/2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 6


!--- Inside interface for admin context 
!--- to access the ASA from inside network
!--- using telnet or SSH.


ciscoasa(config-if)# interface Ethernet0/3
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 7


!--- Context1 outside subinterface

ciscoasa(config-subif)# interface Ethernet0/0.1
ciscoasa(config-subif)# vlan 2

!--- !--- Context1 inside subinterface

ciscoasa(config-subif)# interface ethernet 0/1.1
ciscoasa(config-subif)# vlan 3

!--- !--- Context2 outside subinterface

ciscoasa(config-subif)# interface ethernet 0/0.2
ciscoasa(config-subif)# vlan 4

!--- !--- Context2 inside subinterface

ciscoasa(config-subif)# interface ethernet 0/1.2
ciscoasa(config-subif)# vlan 5

!--- Customer A Context as Context1


ciscoasa(config)# context context1
Creating context 'context1'... Done. (3)
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/0.1 outside-context1
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/1.1 inside-context1

!--- To specify the interfaces 
!--- used for the context1

ciscoasa(config-ctx)# config-url disk0:/context1.cfg

!--- To identify the URL from which the 
!--- system downloads the context configuration.


ciscoasa(config-ctx)# exit

!--- Customer B Context as Context2


ciscoasa(config)# context context2
Creating context 'context2'... Done. (3)
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/0.2 outside-context2
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/1.2 inside-context2
ciscoasa(config-ctx)# config-url 
   disk0:/context2.cfg

ciscoasa(config)# context admin
ciscoasa(config-ctx)# allocate-interface Ethernet0/2 outside
ciscoasa(config-ctx)# allocate-interface Ethernet0/3 inside


ASA 8.x — конфигурация системного поля исполнения

ASA 8.x — конфигурация системного поля исполнения
ciscoasa# sh run


ASA Version 8.0(2) <system>
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/0.1
 vlan 2
!
interface Ethernet0/0.2
 vlan 4
!
interface Ethernet0/1
!
interface Ethernet0/1.1
 vlan 3
!
interface Ethernet0/1.2
 vlan 5
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0


admin-context admin
context admin
  allocate-interface Ethernet0/2 outside
  allocate-interface Ethernet0/3 inside
  config-url disk0:/admin.cfg
!


context context1
  allocate-interface Ethernet0/0.1 outside-context1
  allocate-interface Ethernet0/1.1 inside-context1
  config-url disk0:/context1.cfg
!

context context2
  allocate-interface Ethernet0/0.2 outside-context2
  allocate-interface Ethernet0/1.2 inside-context2
  config-url disk0:/context2.cfg
!

prompt hostname context
Cryptochecksum:9e8bc648b240917631fa5716a007458f
: end

Переход между контекстами и системным полем исполнения

После входа в системное поле исполнения (или в контекст администратора с помощью Telnet или SSH) можно переходить одного контекста к другому, а также выполнять задачи настройки и мониторинга в каждом контексте. Текущая конфигурация, изменяемая в режиме конфигурации или используемая в командах copy или write, зависит от местоположения пользователя. Если он находится в системном поле исполнения, текущая конфигурация состоит только из конфигурации системы; если он работает с контекстом, текущая конфигурация состоит только из данного контекста. Например, при вводе команды show running-config просмотреть все текущие конфигурации (системы и всех контекстов) невозможно. Отображается только текущая конфигурация.

Чтобы перейти от системного поля исполнения к контексту или перейти от одного контекста к другому, используйте следующие команды:

  • Чтобы перейти к контексту, введите следующую команду:

    hostname# changeto context <context name>
    

    В строке появляется следующая информация:

    hostname/name#
    
  • Чтобы перейти к системному полю исполнения, введите следующую команду

    hostname/admin# changeto system
    

    В строке появляется следующая информация:

    hostname#
    

ASA — конфигурация Context1

Чтобы настроить context1, перейдите к нему и выполните следующую процедуру:


!--- From the system execution space, 
!--- enter the command
!--- "changeto context context1 
!--- to configure the context1 configuration"

ciscoasa(config)# changeto context context1
ciscoasa/context1(config)#
ASA 8.x — конфигурация Context1 по умолчанию
ciscoasa/context1(config)# show run


!--- Default configuration of the context1



ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-contex1
 no nameif
 no security-level
 no ip address
!
interface inside-contex1
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
pager lines 24
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 
   0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 
   1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 
   0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Конфигурация заказчика A для подключения к Интернету.

ASA 8.x — конфигурация Context1

!--- Configuring Context1 for customer A


ciscoasa/context1# conf t
ciscoasa/context1(config)# int outside-context1
ciscoasa/context1(config-if)# ip add 10.1.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.

ciscoasa/context1(config-if)# int inside-context1
ciscoasa/context1(config-if)# ip add 172.16.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa/context1(config-if)# exit

ciscoasa/context1(config)# access-list outbound permit ip any any
ciscoasa/context1(config)# nat (inside-context1) 1 access-list outbound
ciscoasa/context1(config)# global (outside-context1) 1 interface
INFO: outside interface address added to PAT pool
ciscoasa/context1(config)# route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2
ciscoasa/context1(config)# exit

ASA 8.x — конфигурация Context1
ciscoasa/context1(config)# show run

ciscoasa/context1# sh run
: Saved
:
ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-context1
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!
interface inside-context1
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

global (outside-context1) 1 interface
nat (inside-context1) 1 access-list outbound
route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2 1


!--- Output Suppressed

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
ciscoasa/context1#

ASA — конфигурация Context2

Конфигурация заказчика Б для подключения к Интернету.

Чтобы настроить context2, перейдите к context2 из context1:


!--- From the system execution space, enter the command
!--- "changeto context context2
---to configure the context2 configuration"

ciscoasa/context1(config)# changeto context context2
ciscoasa/context2(config)#
ASA 8.x — конфигурация Context2
ciscoasa/context2(config)# show run
ASA Version 8.0(2) <context>
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside-context2
 nameif inside
 security-level 100
 ip address 172.17.1.1 255.255.255.0
!
interface outside-context2
 nameif outside
 security-level 0
 ip address 10.2.2.1 255.255.255.0
!

!--- Output Suppressed

!
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

global (outside-context2) 1 interface
nat (inside-context2) 1 access-list outbound
route outside-context2 0.0.0.0 0.0.0.0 10.2.2.2 1


!--- Output Suppressed

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Точно так же настройте контекст администратора, чтобы управлять ASA и его контекстами с внешнего и внутреннего интерфейсов.

Сохранение изменений конфигурации в многоконтекстном режиме

Каждую конфигурацию контекста и системы можно сохранить по отдельности. Кроме того, можно сохранить все конфигурации контекста в одно и то же время. В этом разделе рассматриваются следующие темы:

Сохранение каждого контекста и системы по отдельности

Чтобы сохранить конфигурацию системы или контекста, введите следующую команду в системе или контексте:

hostname# write memory

Примечание: Команда copy running-config startup-config эквивалентна команде write memory.

В многоконтекстном режиме начальные конфигурации контекста могут располагаться на внешних серверах. В этом случае устройство защиты сохраняет конфигурацию, идентифицируемую в URL-адресе контекста за исключением URL-адреса HTTP или HTTPS, который не позволяет сохранить конфигурацию на сервере.

Одновременное сохранение всех конфигураций контекстов

Чтобы сохранить все конфигурации контекстов, а также конфигурации системы сразу, введите следующую команду в системном поле выполнения:

hostname# write memory all [/noconfirm]

Если ключевое слово /noconfirm не ввести, появится следующее сообщение:

Are you sure [Y/N]:

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • show flash — проверка сохранения во флэш-памяти файла конфигурации контекста.

  • show mode — проверка настройки ASA в одноконтекстном или многоконтекстном режиме.

ciscoasa# sh flash
--#--  --length--  -----date/time------  path
   71  14524416    Jul 23 2007 23:11:22  asa802-k8.bin
   75  6889764     Jul 23 2007 23:32:16  asdm-602.bin
    2  4096        Jul 23 2007 23:51:36  log
    6  4096        Jul 23 2007 23:51:48  crypto_archive
   76  2635734     Aug 12 2007 22:44:50  anyconnect-win-2.0.0343-k9.pkg
   77  1841        Sep 20 2007 04:21:38  old_running.cfg
   78  1220        Sep 20 2007 04:21:38  admin.cfg

ciscoasa/context2# sh mode
Security context mode: multiple

Устранение неполадок

Восстановление одноконтекстного режима

При переходе от многоконтекстного режима к одноконтекстному, сначала можно скопировать целиком начальную конфигурацию (при наличии) на устройство обеспечения безопасности; конфигурация системы, унаследованная от многоконтекстного режима, не является полностью функциональной конфигурацией для устройства, работающего в одноконтекстном режиме. Поскольку конфигурация системы не включает какие-либо сетевые интерфейсы, чтобы выполнить копирование, необходим доступ к устройству защиты с консоли.

Чтобы скопировать старую текущую конфигурацию в начальную конфигурацию и перейти к одноконтекстному режиму, выполните следующие действия в системном поле выполнения:

  1. Чтобы скопировать резервную версию исходной текущей конфигурации в текущую начальную конфигурацию, введите следующую команду в системном поле выполнения:

    hostname(config)# copy flash:old_running.cfg startup-config
    
    
  2. Чтобы выбрать одноконтекстный режим, введите следующую команду в системном поле выполнения:

    hostname(config)# mode single
    

Устройство обеспечения безопасности перезагрузится.

Присвоение того же IP-адреса для нескольких интерфейсов в многоконтекстном режиме

Можно назначить тот же IP-адрес на несколько интерфейсов в другом контексте. Хотя это возможно, этому интерфейсу необходимо присвоить отдельный MAC-адрес в каждом контексте, чтобы классифицировать трафик в контексте указанным способом.

Примечание: Если admin не хочет назначать MAC-адрес с ручным способом, можно использовать команду auto mac-address . Эта команда автоматически назначает MAC-адрес всем интерфейсам, включая субинтерфейсы.

Это - пример конфигурации:

context test1

   allocate-interface Ethernet0/2

   allocate-interface Ethernet0/2.1

   config-url disk0:/test1

!
!

context test2

   allocate-interface Ethernet0/2

   allocate-interface Ethernet0/2.200

   config-url disk0:/test2


ciscoasa(config)# change context test1

ciscoasa/test1(config)# int e0/2.1

ciscoasa/test1(config-if)# ip address 4.4.4.4

ciscoasa/test1(config-if)# change context test2

ciscoasa/test2(config)# int e0/2.200

ciscoasa/test2(config-if)# ip address 4.4.4.4

ciscoasa/test2(config-if)# exit

Примечание: Когда пакет будет передан с назначением как 4.4.4.4, межсетевой экран будет придерживаться Правила Классификатора направить тот пакет к заинтересованному контексту. Для получения дополнительной информации о, как межсетевой экран классифицирует пакеты, обратитесь к Правилу Классификатора для Потока пакетов.

Присвоение одного и того же IP-адреса общим интерфейсам в многоконтекстном режиме

Присвоение того же IP-адреса к совместно используемому интерфейсу не возможно. Совместно используемый интерфейс по составным контекстам позволяет нам моделировать действительные межсетевые экраны по одинаковому сегменту локальной сети. Когда тот же IP-адрес назначен на совместно используемый интерфейс, например разделенный по составным контекстам, это дает ошибку Конфликта IP-адресов. ASA не позволит эту конфигурацию из-за проблемы при использовании ARP между контекстами для того же IP-адреса.

Ошибку показывают здесь для вашей ссылки: ERROR: This address conflicts with another address on net.

Переименование контекста

В многоконтекстном режиме не поддерживается переименование контекста без изменения конфигурации.

Конфигурацию можно сохранить в виде конфигурации межсетевого экрана, но при этом нужно будет скопировать всю конфигурацию в новое название контекста и удалить старую конфигурацию контекста.

Удаление контекста

Чтобы удалить контекст, выполните следующую команду в пространстве системы:

  
no context contA 

Не забудьте также удалить соответствующий файл конфигурации для контекста.

dir disk:
 
delete disk:/contA.cfg

Дополнительные сведения


Document ID: 99131