PIX ASA 7.x - Configuration de Contextes multiples ccnp_cch
Sommaire • Introduction - Composants utilisés - Produits liés • Rappels - Fichiers de configuration de contexte - Accès d'administration aux contextes de sécurité • Configuration - Schéma du réseau - Valider ou dévalider le mode contexte multiple - Configurer un contexte de sécurité - ASA 8.x : Configuration de l'espace d'exécution système - Passer entre les contextes et l'espace d'exécution système - ASA : Configuration du Contexte 1 - ASA : Configuration du Contexte 2 - Sauvegarde de la configuration en mode contexte multiple • Vérification • Résolution de problèmes - Restaurer le mode contexte unique ccnp_cch
Introduction ccnp_cch Ce document décrit les étapes utilisées pour configurer des contextes multiples dans appliances de sécurité Vous pouvez partitionner une appliance de sécurité unique en plusieurs équipements virtuels connus sous la dénomination de contextes de sécurité. Chaque contexte est un équipement indépendant qui possède sa propre politique de sécurité, ses interfaces et ses administrateurs. Des contextes multiples sont équivalents à plusieurs équipe- ments autonomes. Plusieurs fonctionnalités sont supportées en mode contextes mul- tiples dont les tables de routage, les fonctionnalités de pare-feu, l'IPS et l'administra- tion. Quelques caractéristiques telles que le VPN et les protocoles de routage dynami- ques ne sont pas supportées. Vous pouvez utiliser les contextes de sécurité dans les situations suivantes: Vous êtes un opérateur et vous voulez vendre des services de sécurité à des clients. Si vous validez les contextes de sécurité multiples sur l'appliance de sécurité, vous pouvez implémenter une solution à moindre coût et espace limité en gardant tout le trafic des clients séparé et sécurisé avec également une configuration aisée. Vous êtes une entreprise qui veut fournir des politiques de sécurité distinctes à différents départements. Vous avez un réseau qui demande plusieurs appliances de sécurité. Note: En mode multi-contexte, vous pouvez mettre à niveau ou rétrograder le logiciel du PIX/ASA uniquement en mode Système EXEC mais pas dans les autres modes contexte. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: Cisco 5500 Series Adaptive Security Appliance opérant avec un logiciel Version 7.x ou suivantes. Produits liés Cette configuration peut aussi être utilisée avec le matériel Cisco PIX Série 500 version 7.x ou suivantes. ccnp_cch
Rappels ccnp_cch Fichiers de configuration de contexte L'appliance de sécurité comprend une configuration pour chaque contexte qui identi- fie la politique de sécurité, les interfaces et presque toutes les options que vous pouvez configurer sur un équipement autonome. Vous pouvez stocker les configurations de contextes dans la mémoire flash interne, dans la carte mémoire flash externe ou vous les télécharger à partir d'un serveur TFTP, FTP ou HTTP(S). Configuration système L'administrateur système ajoute et administre les contextes par la configuration de l'emplacement de chaque contexte, des interfaces allouées et d'autres paramètres de fonctionnement de contexte dans la configuration système équivalente à un seul mode de configuration et qui est la configuration de démarrage. La configuration système n'inclut aucune interface réseau ou paramètres réseau pour elle-même; au lieu de cela quand le système a besoin d'accéder aux ressources réseau (telle que le téléchar- gement de contexte à partir du serveur) celui-ci utilise un des contextes qui est dési- gné comme le contexte admin. La configuration système doit inclure une interface spécialisée pour le secours et réservée uniquement au secours. Configuration du contexte admin Le contexte admin est exactement comme tout autre contexte sauf quand un utilisa- teur entre dans le contexte admin; cet utilisateur a des droits d'administration sys- tème. Il peut accéder au système et à tous les autres contextes. Le contexte admin n'a aucune restriction et peut être utilisé comme un contexte normal mais comme l'entrée dans le contexte admin donne les privilèges administrateur, vous devez res- treindre l'accès au contexte admin aux utilisateurs appropriés. Le contexte admin doit résider en mémoire flash interne et non à l'extérieur. Si votre système est déjà en mode contextes multiples ou si vous convertissez à partir du mode contexte unique, le contexte admin est automatiquement crée comme un fichier appelé admin.cfg sur la mémoire flash interne. Ce contexte est nommé "admin". Si vous ne voulez pas utiliser admin.cfg come contexte admin, vous pouvez changer le contexte admin. Gestion de l'accès aux contexte de sécurité L'appliance de sécurité fournit l'accès administrateur système en mode contexte mul- tiple tout comme l'accès pour les administrateurs individuels de contextes. Accès administrateur système Vous pouvez accéder à l'appliance de sécurité comme administrateur système de deux manières différentes : Accès par la console de l'appliance de sécurité A partir de la console vous accédez à l'espace d'exécution système. ccnp_cch
Accès au contexte admin avec Telnet, SSH ou l'ASDM Accès au contexte admin avec Telnet, SSH ou l'ASDM. Voir "Gestion de l'accès système" pour valider l'accès par Telnet, SSH ou l'ASDM En étant administrateur système, vous pouvez accéder à tous les contextes. Quand vous changez de contexte depuis admin ou système, votre nom d'utilisateur change et prend le nom par défaut "enable-15". Si vous avez configuré l'autorisation de commande dans ce contexte, vous devez soit configurer les privilèges d'autorisa- tion pour l'utilisateur "enable-15" ou vous pouvez vous logger avec nom différent pour lequel vous fournissez les privilèges suffisants dans la configuration d'autorisation de commande de ce contexte. Pour se logger avec un nom d'utilisateur, entrez la com- mande login. Par exemple vous vous loggez dans le contexte admin avec le nom d'uti- lisateur "admin". Le contexte admin n'a aucune configuration d'autorisation de com- mande mais tous les autres contextes ont l'autorisation de commande. Par commodité chaque configuration de contexte inclut un utilisateur "admin" avec les privilèges maximum. Quand vous passez du contexte admin vers le contexte A, votre nom d'uti- lisateur est altéré aussi vous devez vous loggez avec la commande login. Quand vous passez au contexte B, vous devez de nouveau entrer la commande login pour vous logger en "admin". L'espace d'exécution système ne supporte aucune commande AAA mais vous pouvez configurer son propre mot de passe enable et des utilisateurs dans la base de don- nées locale pour fournir des logins individuels. Accès administrateur de contexte Vous pouvez accéder à un contexte avec Telnet, SSH ou l'ASDM. Si vous vous loggez sur un contexte non admin, vous pouvez accéder uniquement à la configuration de ce contexte. Vous pouvez fournir des logins individuels pour ce contexte. ccnp_cch
Configuration Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du réseau Internet S Ethernet 0/0.1 10.1.1.1 Vlan 2 T - Trunk S - Sous-Interface P - Interface physique P Ethernet 0/2 10.3.3.1 Vlan 6 S Ethernet 0/0.2 10.2.2.1 Vlan 4 T Contexte 1 Contexte 2 T E0/0 Outside Contexte Admin ASAs Virtuels T E0/1 Inside P Ethernet 0/3 172.18.1.1 Vlan 7 S Ethernet 0/1.2 172.17.1.1 Vlan 5 S Ethernet 0/1.1 172.16.1.1 Vlan 3 PC Admin 172.18.1.2 Client A 172.16.1.2 Vlan 3 Client B 172.17.1.2 Vlan 5 ccnp_cch
ccnp_cch Valider ou dévalider le mode contexte multiple Votre appliance de sécurité est probablement déjà configurée pour des contextes de sécurité multiples selon la façon dont vous l'avez commandée mais si la mettez à ni- veau vous aurez peut-être besoin de faire une conversion du mode contexte unique en mode contextes multiples. Cette section explique les procédures de mise à niveau. L'ASDM ne supporte pas les changements de mode aussi vous devez changer les mo- des avec la CLI. Quand vous passez du mode unique au mode multiple, l'appliance de sécurité conver- tit la configuration courante en deux fichiers : une nouvelle configuration de démarra- ge qui comprend la configuration du système et le fichier admin.cfg qui contient le contexte admin (dans le répertoire racine de la mémoire flash). La configuration cou- rante originale est sauvegardée dans le fichier old_running.cfg ( dans le répertoire ra- cine de la mémoire flash). La configuration de démarrage originale n'est pas sauvegar- dée. L'appliance de sécurité ajoute automatiquement une entrée pour le contexte admin à la configuration système avec le nom "admin". Pour valider le mode multiple, entrez cette commande : hostname(config)# mode multiple Vous êtes invité à redémarrer l'appliance de sécurité. CiscoASA(config)# mode multiple WARNING: This command will change the behavior of the device WARNING: This command will initiate a Reboot Proceed with change mode? [confirm] Convert the system configuration? [confirm] ! The old running configuration file will be written to flash The admin context configuration will be written to flash The new running configuration file was written to flash Security context mode: multiple *** *** −−− SHUTDOWN NOW −−− *** Message to all terminals: *** change mode Rebooting.... Booting system, please wait... * !−−− Partie supprimée INFO: Admin context is required to get the interfaces *** Output from config line 20, "arp timeout 14400" Creating context 'admin'... Done. (1) *** Output from config line 23, "admin−context admin" Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a *** Output from config line 25, " config−url flash:/admi..." Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061c Type help or '?' for a list of available commands. CiscoASA> ccnp_cch
Configuration par défaut ASA 8.x Voici la configuration de l'ASA après le redémarrage : Configuration par défaut ASA 8.x CiscoASA# show running−config : Saved : ASA Version 8.0(2) <system> ! hostname CiscoASA enable password 8Ry2YjIyt7RRXU24 encrypted no mac−address auto interface Ethernet0/0 shutdown interface Ethernet0/1 interface Ethernet0/2 interface Ethernet0/3 interface Management0/0 class default limit−resource All 0 limit−resource ASDM 5 limit−resource SSH 5 limit−resource Telnet 5 ftp mode passive pager lines 24 no failover asdm image disk0:/asdm−602.bin no asdm history enable arp timeout 14400 console timeout 0 admin−context admin context admin config−url disk0:/admin.cfg !−−− Le contexte admin est crée !−−− par défaut une fois que vous validez !−−− le mode multiple prompt hostname context Cryptochecksum:410be16e875b7302990a831a5d91aefd : end ccnp_cch
Configurer un contexte de sécurité La définition d'un contexte dans la configuration système identifie le nom du contexte, l'URL du fichier de configuration et indique que le contexte peut être utilisé. Note: Si vous n'avez pas de contexte admin (si par exemple vous effacez la configura- tion), vous devez d'abord spécifier le nom du contexte admin quand vus entrez cette commande : hostname(config)# admin−context <name> Note : Bien que ce nom de contexte n'existe pas déjà dans votre configuration, vous pouvez par la suite entrer la commande de nom de contexte pour la correspondance avec le nom spécifié et continuer la configuration du contexte admin. Pour ajouter ou changer un contexte dans la configuration, exécutez ces étapes: 1. Pour ajouter ou modifier un contexte, entrez cette commande dans l'espace d'exécution système: hostname(config)# context <name> Le nom est une chaine de 32 caractères de longueur maximum. Ce nom est sensi- ble à la casse ainsi vous pouvez avoir deux contextes "customer A" et "Customer A" par exemple. Vous pouvez utiliser des lettres, des chiffres ou des tirets mais vous ne pouvez pas commencer ou terminer un nom par un tiret. "System" et "Null" (en majuscules ou minuscules) sont des noms réservés et ne peuvent pas être utilisés. 2. (Optionnel) Pour ajouter une description pour ce contexte, entrez cette commande: hostname(config−ctx)# description text 3. Pour spécifier les interfaces que vous pourrez utiliser dans ce contexte, entrez la commande appropriée pour une interface physique ou pour une ou plusieurs sous-interfaces. Pour allouer une interface physique, entrez cette commande: hostname(config−ctx)# allocate−interface <physical_interface> [mapped_name] [visible | invisible] Pour allouer une ou plusieurs sous-interfaces, entrez cette commande: hostname(config−ctx)# allocate−interface <physical_interface.subinterface[−physical_interface.subinterface]> [mapped_name[−mapped_name]] [visible | invisible] Vous pouvez entrer ces commandes plusieurs fois pour spécifier différents in- tervalles. Si vous retirez une allocation avec la forme no de la commande, toutes les commandes de contexte qui incluent cette interface sont retirées de la configuration courante. ccnp_cch
Etapes de configuration ASA Contexte multiple 4. Pour identifier l'URL à partir de laquelle le système télécharge la configuration de contexte, entrez cette commande: hostname(config−ctx)# config−url url Note: Entrez la ou les commandes allocate-interface avant d'entrer la commande config-url. L'appliance de sécurité doit affecter les interfaces au contexte avant de charger la configuration de contexte; la configuration de contexte peut inclure des commandes qui fon référence à ces interfaces (interface nat, global). Si vous entrez la commande config-url en premier, l'appliance de sécurité charge immédiatement la configuration de contexte. Si le contexte contient des commandes qui font réfé- rence à des interfaces, ces commandes échouent. Dans ce scénario, suivez les étapes du tableau pour configurer le mode contexte mul- tiple. Il y a deux clients, CustomerA et CustomerB. Créez les contextes multiples ( virtuelle- ment trois ASAs) dans un SAS unique tels que Context1 pour CustomerA, Context2 pour Customer B et admin pour administrer les contextes de l'ASA. Créez deux sous-interfaces pour chaque contexte pour les connexions internes et ex- ternes. Affectez les différents VLANs pour chaque sous-interface. Créez les deux sous-interfaces sur Ethernet 0/0 avec Ethernet0/0.1 et Ethernet0/0.2 pour les connexions externes respectives de Context1 et Context2. De manière simi- laire créez deux sous-interfaces Ethernet0/1.1 et Ethernet0/1.2 pour les connexions internes des contextes respectifs Context1 et Context2. Affectez chaque VLAN pour chaque sous-interface comme vlan 2 pour Ethernet0/0.1, vlan 3 pour Ethernet0/1.1, vlan 4 pour Ethernet0/0.2 et vlan 5 pour Ethernet0/1.2. Etapes de configuration ASA Contexte multiple : ciscoasa(config)# interface Ethernet0/0 ciscoasa(config−if)# no shutdown ciscoasa(config)# interface Ethernet0/1 !−−− Interface Externe pour le contexte admin !−−− pour accéder à l'ASA à partir de l'extérieur !−−− en utilisant telnet ou SSH. ciscoasa(config−if)# interface Ethernet0/2 ciscoasa(config−if)# vlan 6 ccnp_cch
ccnp_cch !−−− Interface interne pour le contexte admin !−−− pour accéder à l'ASA à partir du réseau interne !−−− en utilisant telnet ou SSH. ciscoasa(config−if)# interface Ethernet0/3 ciscoasa(config−if)# no shutdown ciscoasa(config−if)# vlan 7 !−−− Sous-interface externe de Context1 ciscoasa(config−subif)# interface Ethernet0/0.1 ciscoasa(config−subif)# vlan 2 !−−− Sous-interface interne de Context1 ciscoasa(config−subif)# interface ethernet 0/1.1 ciscoasa(config−subif)# vlan 3 !−−− Sous-interface externe de Context2 ciscoasa(config−subif)# interface ethernet 0/0.2 ciscoasa(config−subif)# vlan 4 !−−− Sous-interface interne de Context2 ciscoasa(config−subif)# interface ethernet 0/1.2 ciscoasa(config−subif)# vlan 5 !−−− Context1 pour le contexte Customer A ciscoasa(config)# context context1 Creating context 'context1'... Done. (3) !−−− Spécifie les interfaces utilisées par context1 ciscoasa(config−ctx)# allocate−interface Ethernet0/0.1 outside−context1 Ethernet0/1.1 inside−context1 !−−− Identifie l'URL à partir de laquelle le système !−−− charge la configuration de contexte. ciscoasa(config−ctx)# config−url disk0:/context1.cfg ciscoasa(config−ctx)# exit ccnp_cch
ASA 8.x − Configuration de l'espace d'exécution Système !−−− Context2 pour le contexte Customer B ciscoasa(config)# context context2 Creating context 'context2'... Done. (3) ciscoasa(config−ctx)# allocate−interface Ethernet0/0.2 outside−context2 Ethernet0/1.2 inside−context2 ciscoasa(config−ctx)# config−url disk0:/context2.cfg ciscoasa(config)# context admin ciscoasa(config−ctx)# allocate−interface Ethernet0/2 outside ciscoasa(config−ctx)# allocate−interface Ethernet0/3 inside ASA 8.x : Configuration de l'espace d'exécution système ASA 8.x − Configuration de l'espace d'exécution Système ciscoasa# sh run ASA Version 8.0(2) <system> ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted mac−address auto interface Ethernet0/0 interface Ethernet0/0.1 vlan 2 interface Ethernet0/0.2 vlan 4 interface Ethernet0/1 interface Ethernet0/1.1 vlan 3 interface Ethernet0/1.2 vlan 5 interface Ethernet0/2 interface Ethernet0/3 interface Management0/0 shutdown ccnp_cch
Passer entre les contextes et l'espace d'exécution système ! class default limit−resource All 0 limit−resource ASDM 5 limit−resource SSH 5 limit−resource Telnet 5 ftp mode passive pager lines 24 no failover no asdm history enable arp timeout 14400 console timeout 0 admin−context admin context admin allocate−interface Ethernet0/2 outside allocate−interface Ethernet0/3 inside config−url disk0:/admin.cfg context context1 allocate−interface Ethernet0/0.1 outside−context1 allocate−interface Ethernet0/1.1 inside−context1 config−url disk0:/context1.cfg context context2 allocate−interface Ethernet0/0.2 outside−context2 allocate−interface Ethernet0/1.2 inside−context2 config−url disk0:/context2.cfg prompt hostname context Cryptochecksum:9e8bc648b240917631fa5716a007458f : end Passer entre les contextes et l'espace d'exécution système Si vous vous loggez dans l'espace d'exécution système (ou le contexte avec Telnet ou SSH), vous pouvez passer entre contextes mais également exécuter des tâches de configuration et de supervision dans chaque contexte. La configuration courante que vous éditez en mode configuration ou qui est utilisée pour copier ou entrer des com- mandes dépend de votre localisation. Quand vous êtes dans l'espace d'exécution sys- tème la configuration courante contient uniquement la configuration système; quand vous êtes dans un contexte, la configuration courante est propre à ce contexte. Par exemple vous ne pouvez pas voir toutes les configurations courantes (système plus tous les contextes) quand vous entrez la commande show-running. Seule la configu- ration courante du contexte s'affiche. ccnp_cch
ASA 8.x − Configuration par défaut de Context1 Pour passer de l'espace d'exécution système à celui d'un contexte ou entre contextes, utilisez ces commandes: Pour passer d'un contexte à un autre, entrez cette commande: hostname# changeto context <context name> Le prompt devient celui-ci: hostname/name# Pour passer à l'espace d'exécution système, entrez cette commande: hostname/admin# changeto system Le prompt devient celui-ci: hostname# ASA : Configuration du Context1 Pour configurer le Context1, passez au context1 et suivez cette procédure: !−−− A partir de l'espace d'exécution système entrez la commande !−−− "changeto context context1" pour configurer le context1 ciscoasa(config)# changeto context context1 ciscoasa/context1(config)# ASA 8.x − Configuration par défaut de Context1 ciscoasa/context1(config)# show run !−−− Configuration par défaut du context1 ASA Version 8.0(2) <context> ! hostname context1 enable password 8Ry2YjIyt7RRXU24 encrypted names interface outside−contex1 no nameif no security−level no ip address interface inside−contex1 ccnp_cch
ccnp_cch passwd 2KFQnbNIdI.2KYOU encrypted pager lines 24 icmp unreachable rate−limit 1 burst−size 1 no asdm history enable arp timeout 14400 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip−invite 0:03:00 sip−disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp−server location no snmp−server contact no crypto isakmp nat−traversal telnet timeout 5 ssh timeout 5 ! class−map inspection_default match default−inspection−traffic policy−map type inspect dns preset_dns_map parameters message−length maximum 512 policy−map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service−policy global_policy global Cryptochecksum:00000000000000000000000000000000 : end ccnp_cch
ASA 8.x − Configuration de Context1 ASA 8.x − Configuration Context1 Configuration Customer A pour la connectivité Internet ASA 8.x − Configuration de Context1 !−−− Configuration de Context1 pour Customer A ciscoasa/context1# conf t ciscoasa/context1(config)# int outside−context1 ciscoasa/context1(config−if)# ip add 10.1.1.1 255.255.255.0 ciscoasa/context1(config−if)# no shutdown ciscoasa/context1(config−if)# nameif outside INFO: Security level for "outside" set to 0 by default. ciscoasa/context1(config−if)# int inside−context1 ciscoasa/context1(config−if)# ip add 172.16.1.1 255.255.255.0 ciscoasa/context1(config−if)# nameif inside INFO: Security level for "inside" set to 100 by default. ciscoasa/context1(config−if)# exit ciscoasa/context1(config)# access−list outbound permit ip any any ciscoasa/context1(config)# nat (inside−context1) 1 access−list outbound ciscoasa/context1(config)# global (outside−context1) 1 interface INFO: outside interface address added to PAT pool ciscoasa/context1(config)# route outside−context1 0.0.0.0 0.0.0.0 10.1.1.2 ciscoasa/context1(config)# exit ASA 8.x − Configuration Context1 ciscoasa/context1(config)# show run ciscoasa/context1# sh run : Saved : ASA Version 8.0(2) <context> ! hostname context1 enable password 8Ry2YjIyt7RRXU24 encrypted names interface outside−context1 nameif outside security−level 0 ip address 10.1.1.1 255.255.255.0 interface inside−context1 nameif inside security−level 100 ip address 172.16.1.1 255.255.255.0 ccnp_cch
ccnp_cch ! passwd 2KFQnbNIdI.2KYOU encrypted access−list outbound extended permit ip any any pager lines 24 mtu outside 1500 mtu inside 1500 icmp unreachable rate−limit 1 burst−size 1 no asdm history enable arp timeout 14400 global (outside−context1) 1 interface nat (inside−context1) 1 access−list outbound route outside−context1 0.0.0.0 0.0.0.0 10.1.1.2 1 !−−− Partie supprimée policy−map type inspect dns preset_dns_map parameters message−length maximum 512 policy−map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service−policy global_policy global Cryptochecksum:00000000000000000000000000000000 : end ciscoasa/context1# ASA : Configuration du Context2 Configuration de Customer B pour la connectivité Internet. Pour configurer le context2, passez au context2 à partir de context1. ciscoasa/context1(config)# changeto context context2 ciscoasa/context2(config)# ccnp_cch
ASA 8.x − Configuration Context2 ciscoasa/context2(config)# show run ASA Version 8.0(2) <context> ! hostname context2 enable password 8Ry2YjIyt7RRXU24 encrypted names interface inside−context2 nameif inside security−level 100 ip address 172.17.1.1 255.255.255.0 interface outside−context2 nameif outside security−level 0 ip address 10.2.2.1 255.255.255.0 !−−− Partie supprimée access−list outbound extended permit ip any any pager lines 24 mtu outside 1500 mtu inside 1500 icmp unreachable rate−limit 1 burst−size 1 no asdm history enable arp timeout 14400 global (outside−context2) 1 interface nat (inside−context2) 1 access−list outbound route outside−context2 0.0.0.0 0.0.0.0 10.2.2.2 1 policy−map type inspect dns preset_dns_map parameters message−length maximum 512 policy−map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp ccnp_cch
ccnp_cch inspect sip inspect xdmcp ! service−policy global_policy global Cryptochecksum:00000000000000000000000000000000 : end De manière similaire configurez le contexte admin pour administrer l'ASA et ses con- textes à partir de l'interface interne et externe. Sauvegarde de la configuration en mode contexte multiple Vous pouvez sauvegarder chaque configuration de contexte (et système) séparément ou vous pouvez sauvegarder toutes les configurations de contexte en même temps. Cette section comprend les thèmes suivants: Sauvegarde de chaque contexte et du système séparément Pour sauvegarde la configuration système ou de contexte, entrez cette commande en mode système ou contexte: hostname# write memory Note: La commande copy running−config startup−config est équivalente à la commande write memory. Pour le mode contexte multiple, les configurations de démarrage peuvent résider sur des serveurs externes. Dans ce cas, l'appliance de sécurité sauvegarde la configuration sur le serveur que vous avez identifié dans l'URL du contexte sauf pour les URLs HTTP ou HTTPS qui ne vous permettent pas de sauvegarder sur le serveur. Sauvegarde de toutes les configurations de contexte en même temps Pour sauvegarder toutes les configurations des contextes en même temps, mais égale- ment la configuration système, entrez cette commande dans l'espace d'exécution sys- tème : hostname# write memory all [/noconfirm] Si vous n'entrez pas le mot-clé /noconfirm, vous obtenez ce prompt: Are you sure [Y/N]: ccnp_cch
Résolution de problèmes Vérification Utilisez cette section pour confirmer que votre configuration fonctionne correctement. Commandes show show flash - Permet de vérifier si le fichier de configuration de contexte est stocké en mémoire flash. show mode - Affiche le mode de configuration de l'ASA (mode unique ou multiple). ciscoasa# sh flash −−#−− −−length−− −−−−−date/time−−−−−− path 71 14524416 Jul 23 2007 23:11:22 asa802−k8.bin 75 6889764 Jul 23 2007 23:32:16 asdm−602.bin 2 4096 Jul 23 2007 23:51:36 log 6 4096 Jul 23 2007 23:51:48 crypto_archive 76 2635734 Aug 12 2007 22:44:50 anyconnect−win−2.0.0343−k9.pkg 77 1841 Sep 20 2007 04:21:38 old_running.cfg 78 1220 Sep 20 2007 04:21:38 admin.cfg ciscoasa/context2# sh mode Security context mode: multiple Résolution de problèmes Restaurer le mode contexte unique Si vous faîtes une conversion du mode contexte multiple vers le mode contexte unique, il est possible de copier d'abord une configuration de démarrage complète (si disponi- ble) vers l'appliance de sécurité, la configuration héritée du mode multiple n'est pas une configuration totalement fonctionnelle pour un équipement en mode contexte uni- que. Comme la configuration système n'a aucune interface réseau faisant partie de sa configuration, vous devez accéder à l'appliance de sécurité à partir de la console pour exécuter la copie. Pour copier l'ancienne configuration courante vers la configuration de démarrage et passer en mode contexte unique, exécutez ces étapes dans l'espace d'exécution sys- tème: 1. Pour copier une sauvegarde de votre configuration courante originale vers la confi- guration de démarrage courante, entrez cette commande dans l'espace d'exécution système. hostname(config)# copy flash:old_running.cfg startup−config 2. Pour passer en mode contexte unique, entrez cette commande dans l'espace d'exécution système: hostname(config)# mode single L'appliance de sécurité redémarre. ccnp_cch