Интерфейсы и модули Cisco : Сервисный модуль межсетевого экрана Cisco Catalyst серии 6500

FWSM : Пример конфигурации с несколькими контекстами

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (16 ноября 2010) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

В этом документе описана процедура настройки нескольких контекстов в модуле служб межсетевого экрана (FWSM).

Один модуль FWSM можно разделить на несколько виртуальных устройств, именуемых контекстами безопасности. У каждого контекста имеются собственные политика безопасности, интерфейсы и администраторы. Наличие нескольких контекстов похоже на присутствие нескольких автономных устройств. В многоконтекстном режиме поддерживаются многие функции, включая таблицы маршрутизации, функции межсетевого экрана и управление. Некоторые функции, включая протоколы динамической маршрутизации, не поддерживаются.

Несколько контекстов безопасности можно использовать в следующих ситуациях:

  • Вы являетесь поставщиком услуг и хотите продавать услуги безопасности множеству клиентов. Если в модуле FWSM включены несколько контекстов безопасности, можно внедрить недорогое, экономящее место решение, которое обеспечивает разделение и защиту всего абонентского трафика, а также упрощает настройку.

  • Вы представляете крупное предприятие или студенческий городок и хотите, чтобы отделы были полностью независимыми.

  • Вы относитесь к предприятию, где нужно обеспечить четкие политики безопасности для разных отделов.

  • У вас есть сеть, для которой нужно более одного межсетевого экрана.

Дополнительные сведения о порядке настройки многоконтекстной конфигурации в устройствах защиты см. в документе PIX/ASA версий 7.x и выше: Пример многоконтекстной конфигурации.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются модуля служб межсетевого экрана (FWSM) с версией программного обеспечения 3.2(5).

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

Файлы конфигурации контекстов

Конфигурации контекстов

Модуль FWSM содержит конфигурацию для каждого контекста, которая определяет политику безопасности, интерфейсы и почти все настраиваемые параметры автономного устройства. Конфигурации контекстов можно сохранять во внутренней флэш-памяти или на внешней карте флэш-памяти. Кроме того, их можно загрузить с сервера TFTP, FTP или HTTP(S).

Конфигурация системы

Системный администратор добавляет контексты и управляет ими с настройкой местоположения конфигурации каждого контекста, выделенных интерфейсов и других рабочих параметров контекста в конфигурации системы, которая является загрузочной, как и конфигурация с одноконтекстным режимом. Конфигурация системы выявляет основные настройки модуля FWSM. Конфигурация системы не содержит сетевых интерфейсов или собственных сетевых настроек. Вместо этого система, испытывающая потребность в доступе к сетевым ресурсам (например, при загрузке контекста с сервера), использует один из контекстов, обозначенный в качестве контекста администратора. Конфигурация системы включает специализированный интерфейс аварийного переключения, который предназначен только для трафика, возникающего при аварийном переключении.

Конфигурация контекста администратора

Контекст администратора похож на любой другой контекст во всем за исключением того, что когда пользователь выполняет вход в контекст администратора, у него появляются права системного администратора, и он получает доступ к системе и всем остальным контекстам. Контекст администратора никоим образом не ограничен и может использоваться как обычный контекст. Но, поскольку регистрация в контексте администратора наделяет пользователя полномочиями администратора во всех контекстах, может возникнуть потребность в ограничении доступа к контексту администратора рамками соответствующего круга пользователей. Контекст администратора должен располагаться во флэш-памяти, а не в удаленном местоположении.

Если ваша система уже работает в режиме нескольких контекстов или если выполняется переход из одноконтекстного режима, контекст администратора создается автоматически во внутренней флэш-памяти в виде файла admin.cfg. Этот контекст называется admin. Если admin.cfg не требуется использовать в качестве контекста администратора, контекст администратора можно изменить.

Неподдерживаемые функции

Многоконтекстный режим не поддерживает следующие функции:

  • Протоколы динамической маршрутизации

    Контексты безопасности поддерживают только статические маршруты. В многоконтекстном режиме нельзя активировать OSPF или RIP.

  • Групповая адресация

Доступ для управления контекстами безопасности

Модуль FWSM предоставляет системному администратору доступ в многоконтекстном режиме. Также предоставляется доступ администраторам отдельных контекстов. В следующих разделах описана процедура входа для системного администратора, а также входа в качестве администратора контекста:

Доступ системного администратора

Доступ системного администратора к модулю FWSM возможен двумя способами:

Будучи системным администратором вы имеете доступ ко всем контекстам.

При переходе к контексту из контекста администратора или системы присваивается имя пользователя enable_15, выбранное по умолчанию. Если в данном контексте настроена авторизация команд, необходимо либо настроить привилегии авторизации для пользователя "enable_15", либо войти, указав другое имя, для которого предоставляются достаточные привилегии при настройке авторизации команд для контекста. Чтобы выполнить вход с указанием имени пользователя, введите команду login. Например, для входа в контекст администратора вводится имя пользователя admin. Контекст администратора не располагает какой бы то ни было конфигурацией авторизации команд в отличие от всех остальных контекстов. Для удобства каждая конфигурация контекста включает пользователя "admin" с максимальными привилегиями. При переходе от контекста администратора к контексту «A» имя пользователя изменяется, и необходимо заново войти в систему с именем пользователя admin, выполнив команду login. При переходе к контексту Б необходимо снова ввести команду login, чтобы войти под именем "admin.".

Системное поле выполнения не поддерживает команды AAA, но можно настроить собственную команду enable password, а также указать имена пользователей в локальной базе данных для задания учетных данных в индивидуальном порядке.

Доступ администратора контекста

Доступ к контексту осуществляется с помощью Telnet, SSH или ASDM. При входе в контекст, отличный от контекста администратора, доступ предоставляется только к конфигурации данного контекста. Для входа в контекст можно предоставить отдельные учетные данные.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В настоящем документе используется следующая схема сети:

/image/gif/paws/107524/fwsm-multiple-context-config-01.gif

Включение и выключение многоконтекстного режима

В зависимости от того, в каком виде модуль FWSM был заказан в компании Cisco, в нем может иметься настроенная конфигурация для нескольких контекстов безопасности. Однако в случае обновления может потребоваться переход из одноконтекстного в многоконтекстный режим, порядок выполнения которого описан в этом разделе. ASDM не поддерживает смену режимов, поэтому менять режимы нужно с помощью интерфейса командной строки.

Резервное копирование конфигурации одноконтекстного режима

При переходе от одноконтекстного режима к многоконтекстному модуль FWSM преобразует текущую конфигурацию в два файла. Исходная загрузочная конфигурация не сохраняется. Если она отличается от текущей конфигурации, перед продолжением создайте резервную копию.

Включение многоконтекстного режима

Контекстный режим (одноконтекстный или многоконтекстный) не сохраняется в файле конфигурации, хотя он и не меняется при перезагрузке. Если требуется скопировать конфигурацию на другое устройство, задайте режим на новом устройстве так, чтобы он соответствовал команде mode.

При переходе от одноконтекстного режима к многоконтекстному модуль FWSM преобразует текущую конфигурацию в два файла:.

  1. Новая загрузочная конфигурация, которая включает в себя конфигурацию системы

  2. Файл admin.cfg, содержащий контекст администратора, в корневом каталоге внутренней флэш-памяти

Исходная текущая конфигурация сохраняется в виде файла old_running.cfg (в корневом каталоге внутренней флэш-памяти). Исходная начальная конфигурация при этом не сохраняется. Модуль FWSM автоматически добавляет запись контекста администратора в системную конфигурацию, которая называется «admin»."

Чтобы включить многоконтекстный режим, введите следующую команду:

hostname(config)#mode multiple

Будет предложено перезагрузить модуль FWSM.

FWSM(config)#mode multiple

WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash

The admin context configuration will be written to flash

The new running configuration file was written to flash
Security context mode: multiple

***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
***   change mode

Rebooting....

Booting system, please wait...
*
*

!--- Output suppressed


*
*
INFO: Admin context is required to get the interfaces
*** Output from config line 20, "arp timeout 14400"
Creating context 'admin'... Done. (1)
*** Output from config line 23, "admin-context admin"

Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a

*** Output from config line 25, "  config-url flash:/admi..."

Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061c
Type help or '?' for a list of available commands.
FWSM>

После перезагрузки конфигурация FWSM по умолчанию будет выглядеть следующим образом:

Конфигурация FWSM по умолчанию
FWSM#show running-config
: Saved
:
FWSM Version 3.2(5)5 <system>
!
resource acl-partition 12
hostname FWSM
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
!
interface Vlan501
!
interface Vlan502
!
passwd 2KFQnbNIdI.2KYOU encrypted
class default
  limit-resource IPSec 5
  limit-resource Mac-addresses 65535
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
  limit-resource All 0
!

ftp mode passive
gdb enable
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Vlan501
  allocate-interface Vlan502
  config-url disk:/admin.cfg


!--- admin context is created
!--- by default once you enable 
!--- multiple mode

!

prompt hostname context
Cryptochecksum:d62411d2a15f1da35c76fe071b61dcdb
: end
FWSM#

Настройка контекста безопасности

Определение контекста безопасности в конфигурации системы задает название контекста, URL-адрес файла конфигурации, интерфейсы, которые может использовать контекст, а также прочие параметры контекста.

Примечание: Если у вас нет контекста администратора (например, после очистки конфигурации), то при вводе следующей команды нужно сначала указать название контекста администратора:.

hostname(config)#admin-context <name>

Примечание: Несмотря на то, что это название контекста еще не существует в вашей конфигурации, можно впоследствии ввести команду названия контекста для соответствия с указанным именем для продолжения конфигурации контекста администратора.

Чтобы добавить или изменить контекст в конфигурации системы, выполните следующие действия:

  1. Чтобы добавить или изменить контекст, введите следующую команду в системном поле выполнения:

    hostname(config)#context <name>
    
    

    Название строки может включать до 32 символов. Это название чувствительно к регистру, и у вас может иметься два контекста (например, "заказчикA" и "ЗаказчикА"). Можно использовать буквы, цифры и дефисы, но дефис не должен стоять в начале или в конце названия.

    Названия "System" и "Null" (написанные строчными или заглавными буквами) зарезервированы и не могут использоваться.

  2. Чтобы добавить необязательное описание для этого контекста, введите следующую команду:

    hostname(config-ctx)#description text
    
    
    
  3. Для указания интерфейсов, которые могут использоваться в контексте, введите следующую команду:

    hostname(config-ctx)#allocate-interface vlannumber[-vlannumber] [map_name[-map_name] 
    [invisible | visible]]
    

    Для указания различных диапазонов эту команду можно вводить многократно. Если удалить выделение, введя эту команду с добавлением слова no, из рабочей конфигурации удаляются любые команды контекста, включающие этот интерфейс.

    Введите номер сети VLAN или диапазон сетей VLAN (обычно приняты диапазоны от 2 до 1000 и от 1025 до 4094). Список поддерживаемых сетей VLAN см. в документации на коммутатор. Команда show vlan позволяет просмотреть список сетей VLAN, назначенных модулю FWSM. Можно выделить модулю FWSM сеть VLAN, которая еще не назначена, но для передачи трафика необходимо назначить их на коммутаторе. При выделении интерфейса FWSM автоматически добавляет команду interface для каждой сети VLAN в конфигурации системы.

  4. Чтобы определить URL-адрес, с которого система загружает конфигурацию контекста, введите следующую команду:

    hostname(config-ctx)#config-url url
    

    При добавлении URL-адреса контекста система незамедлительно загружает контекст, позволяя ввести его в действие, если доступна конфигурация.

    Примечание: Введите команду (команды) allocate-interface перед вводом команды config-url. Модуль FWSM должен присвоить интерфейсы контексту перед загрузкой конфигурации контекста, которая может включать команды, относящиеся к интерфейсам (interface, nat, global и т.д.). Если вначале вводится команда config-url, то модуль безопасности сразу же загрузит конфигурацию контекста. Если контекст содержит любые команды, которые относятся к интерфейсам, эти команды не удается выполнить.

Для настройки многоконтекстного режима в данном сценарии выполните указанные в таблице действия.

Существует два заказчика (обозначаемых «Customer A» и «Customer B»). Требуется создать три многоконтекстных режима (для трех устройств ASA) в рамках одного устройства ASA (например, «Context1» для заказчика «A», «Context2» для заказчика «B» и «Admin Context» для управления контекстами FWSM).

Примечание: Создайте VLAN 300, 301, 400, 401, 500 и 501 в Коммутаторе серии Catalyst 6500 перед использованием его в FWSM.

Создайте контексты в системном поле выполнения и выделите соответствующую сеть VLAN каждому созданному контексту, затем настройте путь URL-адреса для каждого контекста, как показано в примере.

Действия по настройке многоконтекстного режима FWSM
FWSM(config)#context admin
FWSM(config-ctx)#allocate-interface VLAN500
FWSM(config-ctx)#allocate-interface VLAN501
FWSM(config-ctx)#config-url disk:/admin.cfg


!--- Allocate VLAN 500 and 501 to admin context


FWSM(config)#context contextA


!--- Customer A Context as Context A


FWSM(config-ctx)#allocate-interface VLAN300
FWSM(config-ctx)#allocate-interface VLAN301


!--- Allocate VLAN 300 and 301 to admin context


FWSM(config-ctx)#config-url disk:/contextA.cfg
WARNING: Could not fetch the URL disk:/contextA.cfg
INFO: Creating context with default config


!--- To identify the URL from which the 
!--- system downloads the context configuration.


FWSM(config-ctx)#context contextB
Creating context 'contextB'... Done. (3)


!--- Customer B Context as Context B


FWSM(config-ctx)#allocate-interface VLAN400
FWSM(config-ctx)#allocate-interface VLAN401


!--- Allocate VLAN 400 and 401 to admin context


FWSM(config-ctx)#config-url disk:/contextB.cfg
WARNING: Could not fetch the URL disk:/contextB.cfg
INFO: Creating context with default config
FWSM(config-ctx)#exit

FWSM – настройка системного поля выполнения

FWSM – настройка системного поля выполнения
FWSM(config)#show running-config
: Saved
:
FWSM Version 3.2(5)5 <system>
!
resource acl-partition 12
hostname FWSM
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
!
interface Vlan300
!
interface Vlan301
!
interface Vlan400
!
interface Vlan401
!
interface Vlan501
!
interface Vlan502
!
passwd 2KFQnbNIdI.2KYOU encrypted
class default
  limit-resource IPSec 5
  limit-resource Mac-addresses 65535
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
  limit-resource All 0
!

ftp mode passive
gdb enable
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Vlan501
  allocate-interface Vlan502
  config-url disk:/admin.cfg
!

context contextA
  allocate-interface Vlan300
  allocate-interface Vlan301
  config-url disk:/contextA.cfg
!

context contextB
  allocate-interface Vlan400
  allocate-interface Vlan401
  config-url disk:/contextB.cfg
!

prompt hostname context
Cryptochecksum:d62411d2a15f1da35c76fe071b61dcdb
: end
FWSM#

Переход между контекстами и системным полем исполнения

После входа в системное поле выполнения (или в контекст администратора с помощью Telnet или SSH) можно переходить от одного контекста к другому, а также выполнять задачи настройки и контроля в каждом контексте. Текущая конфигурация, изменяемая в режиме конфигурации и затрагиваемая командами copy или write, зависит от местонахождения пользователя. Если он находится в системном поле исполнения, текущая конфигурация состоит только из конфигурации системы; если он работает с контекстом, текущая конфигурация состоит только из данного контекста. Например, при вводе команды show running-config просмотреть все текущие конфигурации (системы и всех контекстов) невозможно. Отображается только текущая конфигурация. Тем не менее, можно сохранить рабочие конфигурации всех контекстов из системного поля выполнения, используя команду write memory all.

Чтобы перейти от системного поля исполнения к контексту или перейти от одного контекста к другому, используйте следующие команды:

  • Чтобы перейти к контексту, введите следующую команду:

    hostname#changeto context <context name>
    

    В строке появляется следующая информация:

    hostname/name#
    
  • Чтобы перейти к системному полю исполнения, введите следующую команду

    hostname/admin#changeto system
    

    В строке появляется следующая информация:

    hostname#
    

FWSM – конфигурация контекста «A»

Для настройки контекста «A» перейдите в contextA и выполните следующую процедуру:


!--- From the system execution space, 
!--- enter the changeto context contextA command
!--- in order to configure the contextA configuration.

FWSM(config)#changeto context contextA

FWSM/context1(config)#
FWSM – конфигурация контекста «A» по умолчанию
FWSM/contextA(config)#show running-config


!--- Default configuration of the context1


: Saved
:
FWSM Version 3.2(5)5 <context>
!
hostname contextA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan300
 no nameif
 no security-level
 no ip address
!
interface Vlan301
no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
gdb enable
pager lines 24
mtu inside 1500
mtu outside 1500
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 1:00:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
FWSM/contextA#
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
gdb enable
pager lines 24
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 1:00:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Конфигурация заказчика A для подключения к Интернету.

FWSM – конфигурация контекста «A»
FWSM/contextA(config)#interface vlan300
FWSM/contextA(config-if)#nameif inside
WARNING: VLAN *300* is not configured.
INFO: Security level for "inside" set to 100 by default.
Access Rules Download Complete: Memory Utilization: 1%
FWSM/contextA(config-if)#ip address 10.1.1.1 255.255.255.0
FWSM/contextA(config-if)#no shut

FWSM/contextA(config-if)#interface vlan 301
FWSM/contextA(config-if)#nameif outside
INFO: Security level for "outside" set to 0 by default.
Access Rules Download Complete: Memory Utilization: 1%
FWSM/contextA(config-if)#ip add 192.168.1.1 255.255.255.0
FWSM/contextA(config-if)#no shut

FWSM/contextA(config)#access-list outbound permit ip any any
FWSM/contextA(config)#nat (inside) 1 access-list outbound
FWSM/contextA(config)#global (outside) 1 interface
INFO: outside interface address added to PAT pool
FWSM/contextA(config)#route outside-context1 0.0.0.0 0.0.0.0 192.168.1.5
FWSM/contextA(config)#exit

FWSM – конфигурация контекста «A»
FWSM/contextA#show running-config
: Saved
:
FWSM Version 3.2(5)5 <context>
!
hostname contextA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan300
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Vlan301
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
gdb enable
pager lines 24
mtu inside 1500
mtu outside 1500
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 access-list outbound
route outside 0.0.0.0 0.0.0.0 192.168.1.5 1


!--- Output Suppressed


!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
FWSM/contextA#

FWSM - Конфигурация контекста «B»

Конфигурация заказчика Б для подключения к Интернету.

Чтобы настроить контекст «B», перейдите из contextA в context1B:


!--- From the system execution space, enter  
!--- the changeto context contextB command
--- in orderto configure the contextB configuration.

FWSM/contextA(config)#changeto context contextB
FWSM/contextB(config)#
FWSM - Конфигурация контекста «B»
FWSM/contextB(config)#show running-config
: Saved
:
FWSM Version 3.2(5)5 <context>
!
hostname contextB
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan400
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0
!
interface Vlan401
 nameif outside
 security-level 0
 ip address 192.168.2.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
gdb enable
pager lines 24
mtu inside 1500
mtu outside 1500
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 access-list outbound
route outside 0.0.0.0 0.0.0.0 192.168.2.5 1

!--- Output Suppressed


!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
FWSM/contextB(config)#

Настройте контекст администратора аналогичным образом для администрирования модуля FWSM и его контекстов с внешнего и внутреннего интерфейсов.

Сохранение изменений конфигурации в многоконтекстном режиме

Каждую конфигурацию контекста и системы можно сохранить по отдельности. Кроме того, можно сохранить все конфигурации контекста в одно и то же время. В этом разделе рассматриваются следующие темы:

Сохранение каждого контекста и системы по отдельности

Чтобы сохранить конфигурацию системы или контекста, введите следующую команду в системе или контексте:

hostname#write memory

Примечание: Команда copy running-config startup-config эквивалентна команде write memory.

В многоконтекстном режиме начальные конфигурации контекста могут располагаться на внешних серверах. В этом случае устройство защиты сохраняет конфигурацию, идентифицируемую в URL-адресе контекста за исключением URL-адреса HTTP или HTTPS, который не позволяет сохранить конфигурацию на сервере.

Одновременное сохранение всех конфигураций контекстов

Чтобы сохранить все конфигурации контекстов, а также конфигурации системы сразу, введите следующую команду в системном поле выполнения:

hostname#write memory all [/noconfirm]

Если ключевое слово /noconfirm не ввести, появится следующее сообщение:

Are you sure [Y/N]:

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • show context – отображает различные контексты.

    FWSM(config)#show context
    Context Name      Class      Interfaces           Mode         URL
    *admin            default    Vlan501,Vlan502      Routed       disk:/admin.cfg
     contextA         default    Vlan300,Vlan301      Routed       disk:/contextA.cfg
     contextB         default    Vlan400,Vlan401      Routed       disk:/contextB.cfg
    
    Total active Security Contexts: 3
  • show mode — позволяет проверить, настроен ли модуль FWSM в одноконтекстном или многоконтекстном режиме.

    FWSM(config)#show mode
    Security context mode: multiple
    The flash mode is the SAME as the running mode.

Устранение неполадок

Восстановление одноконтекстного режима

При переходе от многоконтекстного режима к одноконтекстному сначала можно скопировать целиком загрузочную конфигурацию (при наличии) в модуль FWSM; конфигурация системы, унаследованная от многоконтекстного режима, не является полностью функциональной конфигурацией для устройства, работающего в одноконтекстном режиме. Поскольку конфигурация системы не включает какие-либо сетевые интерфейсы, чтобы выполнить копирование, необходим доступ к устройству защиты с консоли.

Чтобы скопировать старую текущую конфигурацию в загрузочную конфигурацию и перейти к одноконтекстному режиму, выполните следующие действия в системном поле выполнения:

  1. Чтобы скопировать резервную версию исходной текущей конфигурации в текущую начальную конфигурацию, введите следующую команду в системном поле выполнения:

    hostname(config)#copy flash:old_running.cfg startup-config
    
  2. Чтобы выбрать одноконтекстный режим, введите следующую команду в системном поле выполнения:

    hostname(config)#mode single
    

Модуль FWSM перезагрузится.

Повторная загрузка контекста безопасности

Заново загрузить контекст можно двумя способами:

  1. Сохранение текущей конфигурации с последующим импортом загрузочной конфигурации.

    Это действие вызывает очистку большинства атрибутов, связанных с контекстом, например подключений и таблиц NAT.

  2. Удаление контекста из конфигурации системы.

    Это действие очищает дополнительные атрибуты, такие как распределение памяти, что может быть полезным для поиска неполадок. Однако для того, чтобы вернуть контекст в систему, потребуется повторно определить URL-адрес и интерфейсы.

В этом разделе рассматриваются следующие темы:

Переименование контекста

В многоконтекстном режиме не поддерживается переименование контекста без изменения конфигурации.

Конфигурацию можно сохранить в виде конфигурации межсетевого экрана, но при этом нужно будет скопировать всю конфигурацию в новое название контекста и удалить старую конфигурацию контекста.

Удаление контекста

Для удаления контекста используйте следующую команду. В системном поле выполните команду:

no context contA

Не забудьте также удалить соответствующий файл конфигурации для контекста.

dir disk:
 
delete disk:/contA.cfg

Дополнительные сведения


Document ID: 107524