Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA 7.x и более поздние версии: пример конфигурации Multiple Context

22 сентября 2010 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (20 февраля 2009) | Отзыв

Содержание

Введение
Предварительные условия
      Требования
      Использованные компоненты
      Родственные продукты
      Условные обозначения
Общие сведения
      Файлы конфигурации контекстов
      Доступ для управления контекстами безопасности
Настройка
      Диаграмма сети
      Включение и выключение многоконтекстного режима
      Настройка контекста безопасности
      ASA 8.x — настройка системного поля исполнения
      Переход между контекстами и системным полем исполнения
      ASA — конфигурация Context1
      ASA — конфигурация Context2
      Сохранение изменений конфигурации в многоконтекстном режиме
Проверка
Поиск и устранение неполадок
      Восстановление одноконтекстного режима
      Присвоение одного и того же IP-адреса общим интерфейсам в многоконтекстном режиме
      Переименование контекста
      Удаление контекста
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В этом документе описаны действия, применяемые при настройке нескольких контекстов в устройствах защиты.

Одно устройство защиты можно разделить на множество виртуальных устройств, известных как контексты безопасности. Каждый контекст является независимым устройством со своей собственной политикой безопасности, интерфейсами и администраторами. Наличие нескольких контекстов похоже на присутствие нескольких автономных устройств. Многие функции поддерживаются в многоконтекстном режиме, включая таблицы маршрутизации, функции брандмауера, IPS и управление. Некоторые функции, включая VPN и протоколы динамической маршрутизации, не поддерживаются.

Несколько контекстов безопасности можно использовать в следующих ситуациях.

  • Вы являетесь поставщиком услуг и хотите продавать услуги безопасности множеству клиентов. Если в устройстве безопасности включены несколько контекстов безопасности, можно внедрить экономичное, экономящее место решение, которое обеспечивает разделенность и безопасность всего трафика заказчиков, а также упрощает настройку.

  • Вы представляете крупное предприятие или студенческий городок и хотите, чтобы отделы были полностью независимыми.

  • Вы относитесь к предприятию, где нужно обеспечить четкие политики безопасности для разных отделов.

  • У вас есть сеть, для которой нужно более одного устройства обеспечения безопасности.

Примечание. В многоконтекстном режиме можно обновлять программное обеспечение PIX/ASA или возвращаться к более старой версии только в режиме System EXEC, но не в других режимах контекста.

Дополнительную информацию о действиях, применяемых для настройки нескольких контекстов в модуле Firewall Service Module (FWSM), см. в документе FWSM: пример конфигурации с несколькими контекстами.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco Adaptive Security Appliance серии 5500 работает под управлением ПО версии 7.x или выше.

    Примечание. Функция поддержки нескольких контекстов не предусмотрена в Adaptive Security Appliance серии 5505 (ASA).

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Родственные продукты

Эти настройки также могут быть использованы в Cisco PIX Security Appliance серии 500, начиная с версии 7.x.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

Файлы конфигурации контекстов

Конфигурации контекстов

Устройство обеспечения безопасности включает конфигурацию для каждого контекста, которая идентифицирует политику безопасности, интерфейсы и почти все параметры автономного устройства, которые можно настроить. Конфигурации контекстов можно сохранять во внутренней флэш-памяти или на внешней карте флэш-памяти. Кроме того, их можно загрузить с сервера TFTP, FTP или HTTP(S).

Конфигурация системы

Системный администратор добавляет контексты и управляет ими с учетом конфигурации каждого местоположения конфигурации контекста, выделенных интерфейсов и других эксплуатационных параметров контекста в конфигурации системы, которая является начальной как и конфигурация с одноконтекстным режимом. Конфигурация системы выявляет основные настройки устройства, обеспечивающего безопасность. Конфигурация системы не включает сетевые интерфейсы или сетевые настройки сами по себе. Вместо этого система, испытывающая потребность в доступе к сетевым ресурсам (таким как загрузки контекста с сервера), использует один из контекстов, разработанных в качестве контекста администратора. Конфигурация системы включает специализированный интерфейс восстановления после отказа, который предназначен только для трафика, возникающего при восстановлении после отказа.

Конфигурация контекста администратора

Контекст администратора похож на любой другой контекст во всем за исключением того, что когда пользователь выполняет вход в контекст администратора, у него появляются права системного администратора, и он получает доступ к системе и всем остальным контекстам. Контекст администратора никак не ограничен, и его можно использовать в качестве обычного контекста. Однако, поскольку вход в контекст администратора дает привилегии администратора для всех контекстов, нужно предоставить доступ к контексту администратора только соответствующим пользователям. Контекст администратора должен располагаться во флэш-памяти, а не в удаленном местоположении.

Если ваша система уже работает в режиме нескольких контекстов или если выполняется переход из одноконтекстного режима, контекст администратора создается автоматически во внутренней флэш-памяти в виде файла admin.cfg. Этот контекст называется "admin". Если admin.cfg не требуется использовать в качестве контекста администратора, контекст администратора можно изменить.

Примечание. Контекст администратора не учитывается в лицензии на контекст. Например, при наличии лицензии на два контекста вам разрешено иметь контекст администратора и два других контекста.

Доступ для управления контекстами безопасности

Устройство обеспечения безопасности предоставляет системному администратору доступ в многоконтекстном режиме. Также предоставляется доступ отдельным администраторам контекста. В следующих разделах описана процедура входа для системного администратора, а также входа в качестве администратора контекста.

Доступ системного администратора

Доступ к устройству обеспечения безопасности в качестве системного администратора предоставляется двумя способами.

  • Откройте консоль устройства безопасности.

    Из консоли можно получить доступ к системному полю исполнения.

  • Откройте контекст администратора с помощью Telnet, SSH или ASDM.

    Чтобы включить доступ по протоколам Telnet, SSH и SDM, см. документ "Управление доступом в систему".

Будучи системным администратором вы имеете доступ ко всем контекстам.

При переходе к контексту из контекста администратора или системы### присваивается имя пользователя "enable_15", выбранное по умолчанию. Если в данном контексте настроена авторизация команд, необходимо либо настроить привилегии авторизации для пользователя "enable_15", либо войти, указав другое имя, для которого предоставляются достаточные привилегии при настройке авторизации команд для контекста. Чтобы выполнить вход, указав имя пользователя, введите команду login. Например, вы входите в контекст администратора под именем "admin". Контекст администратора не располагает какой бы то ни было конфигурацией авторизации команд в отличие от всех остальных контекстов. Для удобства каждая конфигурация контекста включает пользователя "admin" с максимальными привилегиями. При переходе от контекста admin к контексту A имя пользователя изменяется, и вам нужно снова войти как "admin", выполнив команду login. При переходе к контексту Б необходимо снова ввести команду login, чтобы войти под именем "admin."

Системное поле выполнения не поддерживает команды AAA, но можно настроить собственную команду enable password, а также указать имена пользователей в локальной базе данных, чтобы предоставить отдельные учетные данные.

Доступ администратора контекста

Доступ к контексту осуществляется с помощью Telnet, SSH или ASDM. При входе в контекст, отличный от контекста администратора, доступ предоставляется только к конфигурации данного контекста. Для входа в контекст можно предоставить отдельные учетные данные.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание. Для поиска дополнительной информации о командах, приведенных в данном документе, используйте инструмент Command Lookup (только для зарегистрированных пользователей).

Схема сети

В настоящем документе используется следующая схема сети:

multiple-context1.gif

Примечание. Порты коммутатора, подключенные к ASA, должны работать в транковом режиме, поскольку несколько видов трафика VLAN должны пройти через него, после разделения интерфейсов ASA на субинтерфейсы.

Включение и выключение многоконтекстного режима

Возможно, что ваше устройство обеспечения безопасности уже настроено для нескольких контекстов безопасности в зависимости от способа заказа их в Cisco, но в случае обновления может потребоваться переход от одноконтекстного режима к многоконтекстному. В этом разделе поясняются процедуры, необходимые для обновления. ASDM не поддерживает смену режимов, поэтому менять режимы нужно с помощью интерфейса командной строки.

При переходе от одноконтекстного режима к многоконтекстному устройство обеспечения безопасности преобразует текущую конфигурацию в два файла. Исходная начальная конфигурация не сохраняется. Если она отличается от текущей конфигурации, перед продолжением создайте резервную копию.

Включение многоконтекстного режима

Контекстный режим (одноконтекстный или многоконтекстный) не сохраняется в файле конфигурации, хотя он и не меняется при перезагрузке. Если требуется скопировать конфигурацию на другое устройство, задайте режим на новом устройстве так, чтобы он соответствовал команде mode.

При переходе от одноконтекстного режима к многоконтекстному устройство обеспечения безопасности преобразует текущую конфигурацию в два файла: в файл новой начальной конфигурации, отвечающий за конфигурацию системы, и файл admin.cfg, определяющий контекст администратора (в корневом каталоге внутренней флэш-памяти). Исходная текущая конфигурация сохраняется в виде файла old_running.cfg (в корневом каталоге внутренней флэш-памяти). Исходная начальная конфигурация при этом не сохраняется. Устройство обеспечения безопасности автоматически добавляет запись, которая называется "admin", для контекста администратора в системную конфигурацию.

Чтобы включить многоконтекстный режим, введите следующую команду:

hostname(config)# mode multiple

Будет предложена перезагрузка устройства обеспечения безопасности.

CiscoASA(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash

The admin context configuration will be written to flash

The new running configuration file was written to flash
Security context mode: multiple

***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
***   change mode

Rebooting....

Booting system, please wait...
*
*
!--- output suppressed

*
*
INFO: Admin context is required to get the interfaces
*** Output from config line 20, "arp timeout 14400"
Creating context 'admin'... Done. (1)
*** Output from config line 23, "admin-context admin"

Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a

*** Output from config line 25, "  config-url flash:/admi..."

Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061c
Type help or '?' for a list of available commands.
CiscoASA>

После перезагрузки конфигурация ASA по умолчанию будет выглядеть следующим образом:

Конфигурация ASA 8.x по умолчанию

CiscoASA# show running-config
: Saved
:
ASA Version 8.0(2) <system>
!
hostname CiscoASA
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0/0
shutdown
!
interface Ethernet0/1
shutdown
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
no failover
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
   config-url disk0:/admin.cfg
!
!--- admin context is created
!--- by default once you enable 
!--- multiple mode


prompt hostname context
Cryptochecksum:410be16e875b7302990a831a5d91aefd
: end

Настройка контекста безопасности

Определение контекста безопасности в конфигурации системы определяет имя контекста, URL файла конфигурации и интерфейсы, которые может использовать контекст.

Примечание. Если у вас нет контекста администратора (например, при очистке конфигурации), нужно сначала указать название контекста администратора при вводе следующей команды:

hostname(config)# admin-context <name>

Примечание. Хотя это название контекста еще не существует в вашей конфигурации, можно впоследствии ввести команду, задающую название контекста, исходя из указанного названия, чтобы продолжить настройку контекста администратора.

Чтобы добавить или изменить контекст в конфигурации системы, выполните следующие действия.

  1. Чтобы добавить или изменить контекст, введите следующую команду в системном поле выполнения:

    hostname(config)# context <name>
    

    Название строки может включать до 32 символов. Это название чувствительно к регистру, и у вас может иметься два контекста (например, "заказчикA" и "ЗаказчикА"). Можно использовать буквы, цифры и дефисы, но дефис не должен стоять в начале или в конце названия.

    Названия "System" и "Null" (написанные строчными или заглавными буквами) зарезервированы и не могут использоваться.

  2. Чтобы добавить необязательное описание для этого контекста, введите следующую команду:

    hostname(config-ctx)# description text
    
    
  3. Чтобы указать интерфейсы, которые можно применять в этом контексте, введите команду, которая соответствует физическому интерфейсу или одному или нескольким субинтерфейсам.

    • Чтобы выделить физический интерфейс, введите следующую команду:

      hostname(config-ctx)# allocate-interface 
      <physical_interface> [mapped_name] 
      [visible | invisible]
      
    • Чтобы выделить субинтерфейс, введите следующую команду:

      hostname(config-ctx)# allocate-interface 
      <physical_interface.subinterface[-physical_interface.subinterface]>
      [mapped_name[-mapped_name]] [visible | invisible]
      

      Для указания различных диапазонов эти команды можно вводить многократно. Если удалить выделение, введя эту команду с добавлением слова "no", из текущей конфигурации удаляются любые команды контекста, включающие этот интерфейс.

  4. Чтобы выяснить URL-адрес, с которого система загружает конфигурацию контекста, введите следующую команду:

    hostname(config-ctx)# config-url url
    
    

    Примечание. Введите команду allocate-interface перед вводом команды config-url. Устройство обеспечения безопасности должно присвоить интерфейсы контексту перед загрузкой конфигурации контекста, которая может включать команды, относящиеся к интерфейсам (interface, nat, global и т.д.) Если вначале вводится команда config-url, устройство обеспечения безопасности сразу же загружает конфигурацию контекста. Если контекст содержит любые команды, которые относятся к интерфейсам, эти команды не удается выполнить.

В данном сценарии выполните указанные в таблице действия, чтобы настроить многоконтекстный режим.

Существует два заказчика ("Заказчик A" и "Заказчик Б"). Создайте три многоконтекстных режима (для трех устройств ASA) в рамках одного устройства ASA (например, "Context1" для заказчика А, "Context2" для заказчика Б и "Admin Context" для управления контекстами ASA).

Создайте два субинтерфейса для каждого контекста, относящегося к внутреннему и внешнему подключению. Назначьте различные сети VLAN для каждого субинтерфейса.

Создайте два субинтерфейса в ethernet 0/0 ("ethernet 0/0.1" и "ethernet 0/0.2" для внешнего подключения контекста "context1" и "context2" соответственно). Создайте два субинтерфейса в ethernet 0/1 ("ethernet 0/1,1" и "ethernet 0/1,2" для внутреннего подключения контекста "context1" и "context2" соответственно).

Назначьте VLAN для каждого субинтерфейса (например, "vlan 2" для "ethernet 0/0.1", "vlan3" для "ethernet 0/1.1", "vlan 4" для "ethernet 0/0.2", "vlan5" для "ethernet 0/1.2").

Действия по настройке многоконтекстного режима ASA

:

!--- Outside interface for context1 and context2.
!--- Create the sub interface in 
!--- outside interface for context1 and context2.


ciscoasa(config)# interface Ethernet0/0
ciscoasa(config-if)# no shutdown

!--- Inside interface for context1 and context2.
!--- Create the sub interface in 
!--- inside interface for context1 and context2.


ciscoasa(config)# interface Ethernet0/1
ciscoasa(config-if)# no shutdown


!--- Outside interface for admin context 
!--- to access the ASA from outside network
!--- using telnet or SSH.


ciscoasa(config-if)# interface Ethernet0/2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 6


!--- Inside interface for admin context 
!--- to access the ASA from inside network
!--- using telnet or SSH.


ciscoasa(config-if)# interface Ethernet0/3
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 7


!--- Context1 outside subinterface

ciscoasa(config-subif)# interface Ethernet0/0.1
ciscoasa(config-subif)# vlan 2

!--- !--- Context1 inside subinterface

ciscoasa(config-subif)# interface ethernet 0/1.1
ciscoasa(config-subif)# vlan 3

!--- !--- Context2 outside subinterface

ciscoasa(config-subif)# interface ethernet 0/0.2
ciscoasa(config-subif)# vlan 4

!--- !--- Context2 inside subinterface

ciscoasa(config-subif)# interface ethernet 0/1.2
ciscoasa(config-subif)# vlan 5

!--- Customer A Context as Context1


ciscoasa(config)# context context1
Creating context 'context1'... Done. (3)
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/0.1 outside-context1
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/1.1 inside-context1

!--- To specify the interfaces 
!--- used for the context1

ciscoasa(config-ctx)# config-url disk0:/context1.cfg

!--- To identify the URL from which the 
!--- system downloads the context configuration.


ciscoasa(config-ctx)# exit

!--- Customer B Context as Context2


ciscoasa(config)# context context2
Creating context 'context2'... Done. (3)
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/0.2 outside-context2
ciscoasa(config-ctx)# allocate-interface 
   Ethernet0/1.2 inside-context2
ciscoasa(config-ctx)# config-url 
   disk0:/context2.cfg

ciscoasa(config)# context admin
ciscoasa(config-ctx)# allocate-interface Ethernet0/2 outside
ciscoasa(config-ctx)# allocate-interface Ethernet0/3 inside


ASA 8.x — конфигурация системного поля исполнения

ASA 8.x — конфигурация системного поля исполнения

ciscoasa# sh run


ASA Version 8.0(2) <system>
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/0.1
 vlan 2
!
interface Ethernet0/0.2
 vlan 4
!
interface Ethernet0/1
!
interface Ethernet0/1.1
 vlan 3
!
interface Ethernet0/1.2
 vlan 5
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0


admin-context admin
context admin
  allocate-interface Ethernet0/2 outside
  allocate-interface Ethernet0/3 inside
  config-url disk0:/admin.cfg
!


context context1
  allocate-interface Ethernet0/0.1 outside-context1
  allocate-interface Ethernet0/1.1 inside-context1
  config-url disk0:/context1.cfg
!

context context2
  allocate-interface Ethernet0/0.2 outside-context2
  allocate-interface Ethernet0/1.2 inside-context2
  config-url disk0:/context2.cfg
!

prompt hostname context
Cryptochecksum:9e8bc648b240917631fa5716a007458f
: end

Переход между контекстами и системным полем исполнения

После входа в системное поле исполнения (или в контекст администратора с помощью Telnet или SSH) можно переходить одного контекста к другому, а также выполнять задачи настройки и мониторинга в каждом контексте. Текущая конфигурация, изменяемая в режиме конфигурации или используемая в командах copy или write, зависит от местоположения пользователя. Если он находится в системном поле исполнения, текущая конфигурация состоит только из конфигурации системы; если он работает с контекстом, текущая конфигурация состоит только из данного контекста. Например, при вводе команды show running-config просмотреть все текущие конфигурации (системы и всех контекстов) невозможно. Отображается только текущая конфигурация.

Чтобы перейти от системного поля исполнения к контексту или перейти от одного контекста к другому, используйте следующие команды:

  • Чтобы перейти к контексту, введите следующую команду:

    hostname# changeto context <context name>
    

    В строке появляется следующая информация:

    hostname/name#
    
  • Чтобы перейти к системному полю исполнения, введите следующую команду:

    hostname/admin# changeto system
    

    В строке появляется следующая информация:

    hostname#
    

ASA — конфигурация Context1

Чтобы настроить context1, перейдите к нему и выполните следующую процедуру:


!--- From the system execution space, 
!--- enter the command
!--- "changeto context context1 
!--- to configure the context1 configuration"

ciscoasa(config)# changeto context context1
ciscoasa/context1(config)#

ASA 8.x — конфигурация Context1 по умолчанию

ciscoasa/context1(config)# show run


!--- Default configuration of the context1



ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-contex1
 no nameif
 no security-level
 no ip address
!
interface inside-contex1
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
pager lines 24
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 
   0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 
   1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 
   0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Конфигурация заказчика A для подключения к Интернету.

ASA 8.x — конфигурация Context1


!--- Configuring Context1 for customer A


ciscoasa/context1# conf t
ciscoasa/context1(config)# int outside-context1
ciscoasa/context1(config-if)# ip add 10.1.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.

ciscoasa/context1(config-if)# int inside-context1
ciscoasa/context1(config-if)# ip add 172.16.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa/context1(config-if)# exit

ciscoasa/context1(config)# access-list outbound permit ip any any
ciscoasa/context1(config)# nat (inside-context1) 1 access-list outbound
ciscoasa/context1(config)# global (outside-context1) 1 interface
INFO: outside interface address added to PAT pool
ciscoasa/context1(config)# route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2
ciscoasa/context1(config)# exit

ASA 8.x — конфигурация Context1

ciscoasa/context1(config)# show run

ciscoasa/context1# sh run
: Saved
:
ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-context1
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!
interface inside-context1
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

global (outside-context1) 1 interface
nat (inside-context1) 1 access-list outbound
route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2 1


!--- Output Suppressed

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
ciscoasa/context1#

ASA — конфигурация Context2

Конфигурация заказчика Б для подключения к Интернету.

Чтобы настроить context2, перейдите к context2 из context1.


!--- From the system execution space, enter the command
!--- "changeto context context2
---to configure the context2 configuration"

ciscoasa/context1(config)# changeto context context2
ciscoasa/context2(config)#

ASA 8.x — конфигурация Context2

ciscoasa/context2(config)# show run
ASA Version 8.0(2) <context>
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside-context2
 nameif inside
 security-level 100
 ip address 172.17.1.1 255.255.255.0
!
interface outside-context2
 nameif outside
 security-level 0
 ip address 10.2.2.1 255.255.255.0
!

!--- Output Suppressed

!
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

global (outside-context2) 1 interface
nat (inside-context2) 1 access-list outbound
route outside-context2 0.0.0.0 0.0.0.0 10.2.2.2 1


!--- Output Suppressed

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Точно так же настройте контекст администратора, чтобы управлять ASA и его контекстами с внешнего и внутреннего интерфейсов.

Сохранение изменений конфигурации в многоконтекстном режиме

Каждую конфигурацию контекста и системы можно сохранить по отдельности. Кроме того, можно сохранить все конфигурации контекста в одно и то же время. В этом разделе рассматриваются следующие темы.

Сохранение каждого контекста и системы по отдельности

Чтобы сохранить конфигурацию системы или контекста, введите следующую команду в системе или контексте:

hostname# write memory

Примечание. Команда copy running-config startup-config эквивалентна команде write memory.

В многоконтекстном режиме начальные конфигурации контекста могут располагаться на внешних серверах. В этом случае устройство обеспечения безопасности сохраняет конфигурацию, идентифицируемую в URL-адресе контекста за исключением URL-адреса HTTP или HTTPS, который не позволяет сохранить конфигурацию на сервере.

Одновременное сохранение всех конфигураций контекстов

Чтобы сохранить все конфигурации контекстов, а также конфигурации системы сразу, введите следующую команду в системном поле выполнения:

hostname# write memory all [/noconfirm]

Если ключевое слово /noconfirm не ввести, появится следующее сообщение:

Are you sure [Y/N]:

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Интерпретатор выходных данных – OIT (доступный только зарегистрированным пользователям) поддерживает ряд команд show. Посредством OIT можно анализировать выходные данные команд show.

  • show flash — проверка сохранения во флэш-памяти файла конфигурации контекста.

  • show mode — проверка настройки ASA в одноконтекстном или многоконтекстном режиме.

ciscoasa# sh flash
--#--  --length--  -----date/time------  path
   71  14524416    Jul 23 2007 23:11:22  asa802-k8.bin
   75  6889764     Jul 23 2007 23:32:16  asdm-602.bin
    2  4096        Jul 23 2007 23:51:36  log
    6  4096        Jul 23 2007 23:51:48  crypto_archive
   76  2635734     Aug 12 2007 22:44:50  anyconnect-win-2.0.0343-k9.pkg
   77  1841        Sep 20 2007 04:21:38  old_running.cfg
   78  1220        Sep 20 2007 04:21:38  admin.cfg

ciscoasa/context2# sh mode
Security context mode: multiple

Устранение неполадок

Восстановление одноконтекстного режима

При переходе от многоконтекстного режима к одноконтекстному, сначала можно скопировать целиком начальную конфигурацию (при наличии) на устройство обеспечения безопасности; конфигурация системы, унаследованная от многоконтекстного режима, не является полностью функциональной конфигурацией для устройства, работающего в одноконтекстном режиме. Поскольку конфигурация системы не включает какие-либо сетевые интерфейсы, чтобы выполнить копирование, необходим доступ к устройству обеспечения безопасности с консоли.

Чтобы скопировать старую текущую конфигурацию в начальную конфигурацию и перейти к одноконтекстному режиму, выполните следующие действия в системном поле выполнения:

  1. Чтобы скопировать резервную версию исходной текущей конфигурации в текущую начальную конфигурацию, введите следующую команду в системном поле выполнения:

    hostname(config)# copy flash:old_running.cfg startup-config
    
    
  2. Чтобы выбрать одноконтекстный режим, введите следующую команду в системном поле выполнения:

    hostname(config)# mode single
    

Устройство обеспечения безопасности перезагрузится.

Присвоение одного и того же IP-адреса общим интерфейсам в многоконтекстном режиме

Один и тот же IP-адрес можно присвоить общим интерфейсам в другом контексте. Хотя это возможно, этому интерфейсу необходимо присвоить отдельный MAC-адрес в каждом контексте, чтобы классифицировать трафик в контексте указанным способом.

Примечание.  Если администратор не хочет присваивать MAC-адрес вручную, можно воспользоваться командой mac-address auto. Эта команда автоматически назначает MAC-адрес всем интерфейсам, включая субинтерфейсы.

<system context configuration>
interface Ethernet0
!
interface Ethernet0.1
 vlan 2
!
interface Ethernet0.2
 vlan 3
!

<context1 configuration>
!
interface Ethernet0.1
mac-address 0000.0707.0000


!--- MAC address must be unique


nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0
!

<context2 configuration>
!
interface Ethernet0.2
mac-address 0000.0808.0000


!--- MAC address must be unique


nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0
!

Переименование контекста

В многоконтекстном режиме не поддерживается переименование контекста без изменения конфигурации.

Конфигурацию можно сохранить в виде конфигурации брандмауэра, но при этом нужно будет скопировать всю конфигурацию в новое название контекста и удалить старую конфигурацию контекста.

Удаление контекста

Чтобы удалить контекст, выполните следующую команду в пространстве системы:

  
no context contA 

Не забудьте также удалить соответствующий файл конфигурации для контекста.

dir disk:
 
delete disk:/contA.cfg

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 99131