106632 Multiple Context

PIX/ASA 7.x y Superiores: Ejemplo de Configuración de ContextoMúltiple

ContenidoIntroducciónPrerrequisitos Requisitos Componentes Utilizados Productos Relacionados ConvencionesAntecedentes Archivos de Configuración de Contexto Acceso de Administración a Contextos de SeguridadConfiguración Diagrama de Red Activación o Desactivación del Modo de Contexto Múltiple Configuración de un Contexto de Seguridad ASA 8.x - Configuración del Espacio de Ejecución del Sistema Cambio entre los Contextos y el Espacio de Ejecución del Sistema ASA - Configuración de Context1 ASA - Configuración de Context2 Guardar Cambios de Configuración en Modo de Contexto MúltipleVerificaciónTroubleshooting Restauración del Modo de Contexto Único

IntroducciónEn este documento, se describen los pasos utilizados para configurar el contexto múltiple en ASAs.

Puede dividir un firewall único en múltiples dispositivos virtuales, conocidos como contextos de seguridad. Cada contexto es un dispositivoindependiente, con política de seguridad, interfaces y administradores propios. Los contextos múltiples funcionan como si fueran múltiplesdispositivos independientes. El modo de contexto múltiple permite utilizar muchas funciones que incluyen tablas de ruteo, funciones de firewall,IPS y administración, pero no permite utilizar algunas funciones, entre las que se incluyen VPN y los protocolos de ruteo dinámico.

Puede utilizar múltiples contextos de seguridad en las siguientes situaciones:

Usted es un proveedor de servicios y desea vender servicios de seguridad a muchos clientes. Si activa contextos de seguridad múltiples enel dispositivo de seguridad, puede implementar una solución rentable, que ocupa poco espacio y mantiene todo el tráfico de los clientesseparado y seguro, y que además facilita la configuración.

Es una gran empresa o un campus universitario y desea mantener los departamentos completamente separados.

Es una empresa que desea proporcionar políticas de seguridad diferentes a cada departamento.

Posee una red cualquiera que requiere más de un dispositivo de seguridad.

Nota: En el modo de contextos múltiples, puede realizar un upgrade o un downgrade del software PIX/ASA solamente en el modo SystemEXEC, no en los otros modos de contexto.

Prerrequisitos

Requisitos

No existen requisitos específicos para este documento.

Componentes Utilizados

La información de este documento se basa en las siguientes versiones de software y hardware:

Cisco 5500 Series Adaptive Security Appliance que ejecuta la versión 7.x del Software o superiores.

La información de este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que seutilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si su red está en funcionamiento, asegúrese de comprenderel posible efecto de los comandos.

Productos Relacionados

Esta configuración también se puede utilizar con Cisco PIX 500 Series Security Appliance Version 7.x y superiores.

Convenciones

Consulte las Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento.

Antecedentes

Archivos de Configuración de Contexto

Configuraciones de Contexto

El firewall incluye una configuración para cada contexto que identifica la política de seguridad, las interfaces y casi todas las opciones que puedeconfigurar en un dispositivo independiente. Puede almacenar las configuraciones de contexto en la memoria Flash interna o en la tarjeta dememoria Flash outside, o puede descargarlas desde un servidor TFTP, FTP o HTTP(S).

Configuración del Sistema

El administrador del sistema agrega y administra contextos al configurar cada ubicación de configuración de contexto, sus interfaces asignadas yotros parámetros operativos de contexto en la configuración del sistema que, al igual que una configuración de modo único, es la configuraciónde inicio. La configuración del sistema identifica las configuraciones básicas para el dispositivo de seguridad. La configuración del sistema noincluye interfaces de red ni configuraciones de la red por sí misma. En lugar de eso, cuando el sistema necesita acceder a los recursos de la red(tales como descargas de contexto desde el servidor), utiliza uno de los contextos que está designado como contexto de administración. Laconfiguración del sistema incluye una interfaz de failover especializada solamente para tráfico de failover.

Configuración del Contexto de Administración

El contexto de administración es exactamente igual que cualquier otro contexto, con la excepción de que cuando un usuario inicia sesión en elcontexto de administración, tiene derechos de administrador del sistema y puede acceder al sistema y a todos los otros contextos. El contexto deadministración no posee ninguna restricción y se puede utilizar como un contexto común, pero debido a que al iniciar sesión en el contexto deadministración se obtienen privilegios de administrador sobre todos los contextos, es necesario restringir el acceso al contexto de administraciónpara los usuarios adecuados. El contexto de administración debe residir en la memoria Flash y no a distancia.

Si el sistema ya se encuentra en el modo de contexto múltiple, o si realiza una conversión desde el modo único, el contexto de administración secrea de manera automática como un archivo llamado admin.cfg en la memoria Flash interna. El nombre de este contexto es "admin". Si no deseautilizar admin.cfg como contexto de administración, puede cambiarlo.

Acceso de Administración a Contextos de Seguridad

El firewall proporciona acceso como administrador del sistema en el modo de contexto múltiple y acceso para administradores de contextoindividuales. En estas secciones se describe el inicio de sesión como administrador de sistema o como administrador de contexto.

Acceso como Administrador del Sistema

Puede acceder al ASA como administrador del sistema de dos maneras:

Acceso a la consola del firewall.

Desde la consola, puede acceder al espacio de ejecución del sistema.

Acceso al contexto de administración con Telnet, SSH o ASDM.

Consulte "Administración del Acceso al Sistema" para activar el acceso con Telnet, SSH y SDM.

Como administrador del sistema, puede acceder a todos los contextos.

Al cambiar a otro contexto desde el de administración o desde el sistema, su nombre de usuario cambia por el nombre de usuario predeterminado"enable_15". Si configuró la autorización de comandos (aaa authorization) en ese contexto, debe configurar los privilegios de autorización para elusuario "enable_15", o puede iniciar sesión con un nombre diferente para el cual proporcione suficientes privilegios en la configuración deautorización de comandos para ese contexto. Para iniciar sesión con un nombre de usuario, ingrese el comando login. Por ejemplo, inicia sesiónen el contexto de administración con el nombre de usuario "admin". El contexto de administración no tiene ninguna configuración deautorización de comandos, pero todos los otros contextos incluyen autorización de comandos. Para su comodidad, todas las configuraciones decontexto incluyen un usuario "admin" con privilegios máximos. Cuando cambia del contexto de administración al contexto A, se modifica sunombre de usuario, por lo que debe iniciar sesión nuevamente como "admin" con el comando login. Cuando cambia al contexto B, debe ingresarel comando login nuevamente para iniciar sesión como "admin".

El espacio de ejecución del sistema no permite utilizar ningún comando AAA, pero usted puede configurar su propia enable password(contraseña de activación) y un nombre de usuario en la base de datos local para proporcionar conexiones individuales.

Acceso como Administrador de un Contexto

Puede acceder a un contexto con Telnet, SSH o ASDM. Si inicia sesión en un contexto que no sea el de administración, sólo puede acceder a laconfiguración de ese contexto. Puede proporcionar inicio de sesión individual para el contexto.

ConfiguraciónEn esta sección, encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en estasección.

Diagrama de Red

En este documento, se utiliza la siguiente configuración de red:

Activación o Desactivación del Modo de Contexto Múltiple

Según cómo lo haya pedido a Cisco, es posible que su ASA ya esté configurado para contextos de seguridad múltiples, pero si realiza un upgrade,es posible que necesite convertir de modo único a modo múltiple. En esta sección, se explican los procedimientos para realizar un upgrade.ASDM no permite cambiar de modo, por lo tanto debe cambiar de modo utilizando la CLI.

Cuando realiza la conversión de modo único a modo múltiple, el ASA convierte la configuración que se está ejecutando en dos archivos. Laconfiguración original de inicio no se guarda; por lo tanto, si es diferente de la configuración que se está ejecutando, debe hacer un backup antesde continuar.

Habilitación del Modo de Contexto Múltiple

El modo de contexto (único o múltiple) no se almacena en el archivo de configuración, aunque perdura en caso de reinicios. Si necesita copiar suconfiguración a otro dispositivo, configure el modo en el dispositivo nuevo para que coincida con el comando mode.

Cuando realiza la conversión del modo único al modo múltiple, el dispositivo de seguridad convierte la configuración que se está ejecutando endos archivos: una nueva configuración de inicio que incluye la configuración del sistema, y admin.cfg, que incluye el contexto de administración(en el directorio raíz de la memoria Flash interna). La configuración original que se está ejecutando se almacena como old_running.cfg (en eldirectorio raíz de la memoria Flash interna). La configuración de inicio original no se guarda. El dispositivo de seguridad agregaautomáticamente una entrada para el contexto de administración a la configuración del sistema con el nombre "admin".

Ingrese este comando para habilitar el modo múltiple:

hostname(config)# mode multiple

Aparece un mensaje para que reinicie el firewall.

CiscoASA(config)# mode multipleWARNING: This command will change the behavior of the deviceWARNING: This command will initiate a RebootProceed with change mode? [confirm]Convert the system configuration? [confirm]!The old running configuration file will be written to flash

The admin context configuration will be written to flash

The new running configuration file was written to flashSecurity context mode: multiple

****** --- SHUTDOWN NOW ---****** Message to all terminals:****** change mode

Rebooting....

Booting system, please wait...**!--- salida omitida

**INFO: Admin context is required to get the interfaces*** Output from config line 20, "arp timeout 14400"Creating context 'admin'... Done. (1)*** Output from config line 23, "admin-context admin"

Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a

*** Output from config line 25, " config-url flash:/admi..."

Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061cType help or '?' for a list of available commands.CiscoASA>

Después de reiniciarlo, la configuración predeterminada del ASA es la siguiente:

Configuración Predeterminada de ASA 8.x

CiscoASA# show running-config: Saved:ASA Version 8.0(2) <system>

!hostname CiscoASAenable password 8Ry2YjIyt7RRXU24 encryptedno mac-address auto!interface Ethernet0/0shutdown!interface Ethernet0/1shutdown!interface Ethernet0/2shutdown!interface Ethernet0/3shutdown!interface Management0/0shutdown!class default limit-resource All 0 limit-resource ASDM 5 limit-resource SSH 5 limit-resource Telnet 5!

ftp mode passivepager lines 24no failoverasdm image disk0:/asdm-602.binno asdm history enablearp timeout 14400console timeout 0

admin-context admincontext admin config-url disk0:/admin.cfg!!--- el contexto de administración se crea!--- de forma predeterminada al habilitar!--- el modo múltiple

prompt hostname contextCryptochecksum:410be16e875b7302990a831a5d91aefd: end

Configuración de un Contexto de Seguridad

La definición del contexto de seguridad en la configuración del sistema identifica el nombre del contexto, la URL del archivo de configuración ylas interfaces que puede utilizar un contexto.

Nota: Si no tiene un contexto de administración (por ejemplo, si borra la configuración), primero debe especificar el nombre del contexto deadministración cuando ingresa este comando:

hostname(config)# admin-context <name>

Nota: Aunque este nombre de contexto aún no exista en su configuración, posteriormente puede ingresar el comando context name paraencontrar la correspondencia con el nombre especificado y continuar así con la configuración del contexto de administración.

Para agregar o cambiar un contexto en la configuración del sistema, realice los siguientes pasos:

Para agregar o modificar un contexto, ingrese este comando en el espacio de ejecución del sistema:1.

hostname(config)# context <name>

El nombre es una cadena que puede contener hasta 32 caracteres de longitud. Este nombre distingue entre mayúsculas y minúsculas, por lotanto puede tener dos contextos denominados "customerA" y "CustomerA", por ejemplo. Puede utilizar letras, dígitos o guiones, pero elnombre no puede comenzar ni terminar con un guión.

"System" o "Null" (en letras mayúsculas o minúsculas) son nombres reservados y no se los puede utilizar.

(Opcional) Para agregar una descripción de este contexto, ingrese el siguiente comando:2.

hostname(config-ctx)# description text

Para especificar las interfaces que puede utilizar en el contexto, ingrese el comando correspondiente a una interfaz física o a una o mássubinterfaces.

3.

Para asignar una interfaz física, ingrese el siguiente comando:

hostname(config-ctx)# allocate-interface<physical_interface> [mapped_name][visible | invisible]

Para asignar una o más subinterfaces, ingrese el siguiente comando:

hostname(config-ctx)# allocate-interface<physical_interface.subinterface[-physical_interface.subinterface]>[mapped_name[-mapped_name]] [visible | invisible]

Puede ingresar estos comandos varias veces para especificar diferentes rangos: Si quita una asignación con la forma no de estecomando, los comandos de contexto que incluyan esta interfaz se quitan de la configuración que se está ejecutando.

Para identificar la URL desde la cual el sistema descarga la configuración del contexto, ingrese el siguiente comando:4.

hostname(config-ctx)# config-url url

Nota: Ingrese el/los comando(s) allocate-interface antes de ingresar el comando config-url. El ASA debe asignar interfaces al contextoantes de cargar la configuración del contexto. La configuración del contexto puede incluir comandos que hagan referencia a las interfaces(interface, nat, global...). Si ingresa el comando config-url primero, el dispositivo de seguridad carga la configuración del contexto deinmediato. Si el contexto contiene comandos que hagan referencia a interfaces, esos comandos fallan.

En este escenario, siga los pasos que aparecen en la tabla para configurar el contexto múltiple.

Hay dos clientes, Customer A y Customer B. Cree tres contextos múltiples (virtualmente, tres ASA) en un único ASA, como por ejemploContext1 para Customer A, Context2 para Customer B y Admin Context para administrar los contextos ASA.

Cree dos subinterfaces para cada contexto para la conexión interna y externa. Asigne las diferentes VLANs para cada subinterfaz.

Cree las dos subinterfaces en ethernet 0/0 como ethernet 0/0.1 y ethernet 0/0.2 para la conexión externa de context1 y context2, respectivamente.De la misma manera, cree dos subinterfaces en ethernet 0/1 como ethernet 0/1.1 y ethernet 0/1.2 para la conexión interna de context1 y context2,respectivamente.

Asigne la vlan para cada subinterfaz como vlan 2 para ethernet 0/0.1, vlan 3 para ethernet 0/1.1, vlan 4 para ethernet 0/0.2, vlan 5 para ethernet0/1.2

Pasos para la Configuración de Contexto Múltiple de ASA

:

!--- Interfaz outside para context1 y context2.!--- Creación de la subinterfaz en!--- la interfaz outside para context1 y context2.

ciscoasa(config)# interface Ethernet0/0ciscoasa(config-if)# no shutdown

!--- Interfaz interna para context1 y context2.!--- Creación de la subinterfaz en!--- la interfaz inside para context1 y context2.

ciscoasa(config)# interface Ethernet0/1ciscoasa(config-if)# no shutdown

!--- Interfaz outside del contexto de administración!--- para acceder al ASA desde la red outside!--- con Telnet o SSH.

ciscoasa(config-if)# interface Ethernet0/2ciscoasa(config-if)# no shutdownciscoasa(config-if)# vlan 6

!--- Interfaz inside del contexto de administración!--- para acceder al ASA desde la red inside!--- con Telnet o SSH.

ciscoasa(config-if)# interface Ethernet0/3ciscoasa(config-if)# no shutdownciscoasa(config-if)# vlan 7

!--- Subinterfaz outside de Context1

ciscoasa(config-subif)# interface Ethernet0/0.1ciscoasa(config-subif)# vlan 2

!--- !--- Subinterfaz inside de Context1

ciscoasa(config-subif)# interface ethernet 0/1.1ciscoasa(config-subif)# vlan 3

!--- !--- Subinterfaz outside de Context2


!--- !--- Subinterfaz inside de Context2


!--- Contexto del Customer A como Context1

ciscoasa(config)# context context1Creating context 'context1'... Done. (3)ciscoasa(config-ctx)# allocate-interface Ethernet0/0.1 outside-context1ciscoasa(config-ctx)# allocate-interface Ethernet0/1.1 inside-context1

!--- Para especificar las interfaces!--- utilizadas para el context1

ciscoasa(config-ctx)# config-url disk0:/context1.cfg

!--- Para identificar la dirección URL desde la cual!--- el sistema descarga la configuración del contexto.

ciscoasa(config-ctx)# exit

!--- Contexto del Customer B como Context2

ciscoasa(config)# context context2Creating context 'context2'... Done. (3)ciscoasa(config-ctx)# allocate-interface Ethernet0/0.2 outside-context2ciscoasa(config-ctx)# allocate-interface Ethernet0/1.2 inside-context2ciscoasa(config-ctx)# config-url disk0:/context2.cfg

ciscoasa(config)# context adminciscoasa(config-ctx)# allocate-interface Ethernet0/2 outsideciscoasa(config-ctx)# allocate-interface Ethernet0/3 inside

ASA 8.x - Configuración del Espacio de Ejecución del Sistema

ASA 8.x - Configuración del Espacio de Ejecución del Sistema

ciscoasa# sh run

ASA Version 8.0(2) <system>!hostname ciscoasaenable password 8Ry2YjIyt7RRXU24 encryptedmac-address auto!interface Ethernet0/0!interface Ethernet0/0.1vlan 2!interface Ethernet0/0.2vlan 4!interface Ethernet0/1!interface Ethernet0/1.1vlan 3!interface Ethernet0/1.2vlan 5!interface Ethernet0/2!interface Ethernet0/3!interface Management0/0shutdown!class default limit-resource All 0 limit-resource ASDM 5 limit-resource SSH 5 limit-resource Telnet 5!

ftp mode passivepager lines 24no failoverno asdm history enablearp timeout 14400console timeout 0

admin-context admincontext admin allocate-interface Ethernet0/2 outside allocate-interface Ethernet0/3 inside config-url disk0:/admin.cfg!

context context1 allocate-interface Ethernet0/0.1 outside-context1 allocate-interface Ethernet0/1.1 inside-context1 config-url disk0:/context1.cfg!

context context2 allocate-interface Ethernet0/0.2 outside-context2 allocate-interface Ethernet0/1.2 inside-context2 config-url disk0:/context2.cfg!

prompt hostname contextCryptochecksum:9e8bc648b240917631fa5716a007458f: end

Cambio entre los Contextos y el Espacio de Ejecución del Sistema

Si inicia sesión en el espacio de ejecución del sistema (o en el contexto de administración con Telnet o SSH), puede cambiar entre contextos y

realizar tareas de configuración y supervisión dentro de cada contexto. La configuración que se está ejecutando y que usted modifica en un modode configuración, o que se utiliza en los comandos copy o write depende de su ubicación. Cuando usted está en el espacio de ejecución delsistema, la configuración que se está ejecutando sólo consta de la configuración del sistema. Cuando usted está en un contexto, la configuraciónque se está ejecutando sólo consta de ese contexto. Por ejemplo, no puede ver todas las configuraciones que se están ejecutando (sistema mástodos los contextos) cuando ingresa el comando show running-config. Sólo se muestra la configuración actual.

Para cambiar entre el espacio de ejecución del sistema y un contexto, o entre contextos, consulte estos comandos:

Para cambiar a un contexto, ingrese el siguiente comando:

hostname# changeto context <context name>

El prompt cambia a:

hostname/name#

Para cambiar al espacio de ejecución del sistema, ingrese el siguiente comando:

hostname/admin# changeto system

El prompt cambia a:

hostname#

ASA - Configuración de Context1

Para configurar el context1, cambie al context1 y siga el procedimiento:

!--- Desde el espacio de ejecución del sistema,!--- ingrese el comando!--- "changeto context context1"!--- para establecer la configuración de context1

ciscoasa(config)# changeto context context1ciscoasa/context1(config)#

Configuración Predeterminada de Context1 - ASA 8.x

ciscoasa/context1(config)# show run

!--- Configuración predeterminada de context1

ASA Version 8.0(2) <context>!hostname context1enable password 8Ry2YjIyt7RRXU24 encryptednames!interface outside-contex1no nameifno security-levelno ip address!interface inside-contex1no nameifno security-levelno ip address

!passwd 2KFQnbNIdI.2KYOU encryptedpager lines 24icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactno crypto isakmp nat-traversaltelnet timeout 5ssh timeout 5!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns preset_dns_mapparameters message-length maximum 512policy-map global_policyclass inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp!service-policy global_policy globalCryptochecksum:00000000000000000000000000000000: end

Configuración del Customer A para conectividad a Internet:

Configuración de Context1 - ASA 8.x

!--- Configuración de Context1 para customer A

ciscoasa/context1# conf tciscoasa/context1(config)# int outside-context1ciscoasa/context1(config-if)# ip add 10.1.1.1 255.255.255.0ciscoasa/context1(config-if)# no shutdownciscoasa/context1(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default.

ciscoasa/context1(config-if)# int inside-context1ciscoasa/context1(config-if)# ip add 172.16.1.1 255.255.255.0ciscoasa/context1(config-if)# no shutdownciscoasa/context1(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default.ciscoasa/context1(config-if)# exit

ciscoasa/context1(config)# access-list outbound permit ip any anyciscoasa/context1(config)# nat (inside-context1) 1 access-list outboundciscoasa/context1(config)# global (outside-context1) 1 interfaceINFO: outside interface address added to PAT poolciscoasa/context1(config)# route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2ciscoasa/context1(config)# exit


ciscoasa/context1(config)# show run

ciscoasa/context1# sh run: Saved:ASA Version 8.0(2) <context>!hostname context1enable password 8Ry2YjIyt7RRXU24 encryptednames!interface outside-context1nameif outsidesecurity-level 0ip address 10.1.1.1 255.255.255.0!interface inside-context1nameif insidesecurity-level 100ip address 172.16.1.1 255.255.255.0!passwd 2KFQnbNIdI.2KYOU encryptedaccess-list outbound extended permit ip any anypager lines 24mtu outside 1500mtu inside 1500icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400

global (outside-context1) 1 interfacenat (inside-context1) 1 access-list outboundroute outside-context1 0.0.0.0 0.0.0.0 10.1.1.2 1

!--- Salida omitida

!!policy-map type inspect dns preset_dns_mapparameters message-length maximum 512policy-map global_policyclass inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp!service-policy global_policy globalCryptochecksum:00000000000000000000000000000000: endciscoasa/context1#

ASA - Configuración de Context2

Configuración del Customer B para conectividad a Internet:

Para configurar el context2, cambie al context2 desde el context1:

!--- Desde el espacio de ejecución del sistema, ingrese el comando!--- "changeto context context1"---para establecer la configuración de context1

ciscoasa/context1(config)# changeto context context2ciscoasa/context2(config)#


ciscoasa/context2(config)# show runASA Version 8.0(2) <context>!hostname context2enable password 8Ry2YjIyt7RRXU24 encryptednames!interface inside-context2nameif insidesecurity-level 100ip address 172.17.1.1 255.255.255.0!interface outside-context2nameif outsidesecurity-level 0ip address 10.2.2.1 255.255.255.0!

!--- Salida omitida

!access-list outbound extended permit ip any anypager lines 24mtu outside 1500mtu inside 1500icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400

global (outside-context2) 1 interfacenat (inside-context2) 1 access-list outboundroute outside-context2 0.0.0.0 0.0.0.0 10.2.2.2 1

!--- Salida omitida

!!policy-map type inspect dns preset_dns_mapparameters message-length maximum 512policy-map global_policyclass inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp!service-policy global_policy globalCryptochecksum:00000000000000000000000000000000: end

De manera similar, configure el contexto de administración para administrar el ASA y sus contextos desde la interfaz inside y outside.

Guardar Cambios de Configuración en el Modo de Contexto Múltiple

Puede guardar todas las configuraciones de los contextos (y de los sistemas) por separado o puede guardar todas las configuraciones de loscontextos al mismo tiempo. Esta sección incluye los siguientes temas:

Guardar Cada Contexto y Sistema por Separado

Para guardar la configuración de sistema o de contexto, ingrese este comando dentro del sistema o contexto:

hostname# write memory

Nota: El comando copy running-config startup-config es equivalente al comando write memory.

Para el modo de contexto múltiple, las configuraciones de inicio de contexto pueden residir en servidores externos. En ese caso, el ASA vuelve aguardar la configuración en el servidor que usted identificó en la URL del contexto, excepto en el caso de una URL HTTP o HTTPS que no lepermite guardar la configuración en el servidor.

Guardar Todas las Configuraciones de Contexto al Mismo Tiempo

Para guardar todas las configuraciones de contexto al mismo tiempo, y también la configuración del sistema, ingrese el siguiente comando en elespacio de ejecución del sistema:

hostname# write memory all [/noconfirm]

Si no ingresa la palabra clave /noconfirm, verá el siguiente mensaje:

Are you sure [Y/N]:

VerificaciónUtilice esta sección para confirmar que la configuración funciona correctamente.

La herramienta Output Interpreter (sólo para clientes registrados) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis de losresultados de los comandos show.

show flash: Verificar que el archivo de configuración del contexto está almacenado en la memoria Flash.

show mode: Verificar que el ASA esté configurado como modo único o como modo múltiple.

ciscoasa# sh flash--#-- --length-- -----date/time------ path 71 14524416 Jul 23 2007 23:11:22 asa802-k8.bin 75 6889764 Jul 23 2007 23:32:16 asdm-602.bin 2 4096 Jul 23 2007 23:51:36 log 6 4096 Jul 23 2007 23:51:48 crypto_archive 76 2635734 Aug 12 2007 22:44:50 anyconnect-win-2.0.0343-k9.pkg 77 1841 Sep 20 2007 04:21:38 old_running.cfg

78 1220 Sep 20 2007 04:21:38 admin.cfg

ciscoasa/context2# sh modeSecurity context mode: multiple

Troubleshooting

Restauración del Modo de Contexto Único

Si realiza una conversión de modo múltiple a modo único, es posible copiar primero una configuración de inicio completa (si está disponible) enel ASA; la configuración del sistema heredada del modo múltiple no es una aplicación completamente funcional para un dispositivo de modoúnico. Debido a que la configuración del sistema no posee ninguna interfaz de red como parte de su configuración, debe acceder al dispositivo deseguridad desde la consola para realizar una copia.

Para copiar la configuración anterior que se estaba ejecutando a la configuración de inicio, y para cambiar el modo a modo único, realice lossiguientes pasos en el espacio de configuración del sistema:

Para copiar la versión de la copia de seguridad de la configuración original que se estaba ejecutando a la configuración de inicio actual,ingrese el siguiente comando en el espacio de ejecución del sistema:

1.

hostname(config)# copy flash:old_running.cfg startup-config

Para configurar el modo a modo único, ingrese este comando en el espacio de ejecución del sistema:2.

hostname(config)# mode single

El firewall se reinicia.

© 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.

Fecha de Generación del PDF: 20 Enero 2009

http://www.cisco.com/cisco/web/support/LA/10/106/106632_multiple-context.html

Documents

106632 Multiple Context