ASA Context

1.一个系统执行空间

系统执行空间和其他虚拟墙不同,它没有2、3层接口以及其他网络设置,它的作用是为其他虚拟防火墙定义属性和设置。需要为空间

中的每个虚拟防火墙配置3个重要设置:虚拟防火墙的名称,分配接口,确定虚拟防火墙的启动文件。它的文件存贮在NVRAM

2.一个管理虚拟防火墙

在配置其他虚拟防火墙之前需要配置管理防火墙,它的作用主要是提供网络资源的连通性比如AAA、日志服务器,需要配置IP,管理

员可以通过它切换管理其他虚拟墙。当ASA从单模(物理墙)转换成多模(虚拟防火墙)时,原来的网络文件会被存储在admin虚拟防火

墙中。

3.客户虚拟防火墙

每一个客户虚拟防火墙都可以当作一台独立的防火墙,特性包含IPS、路由表、管理等。使用show version可以查看本台物理墙可以

支持多少虚拟墙。(需要购买)

在虚拟墙下不支持的特性: 路由协议、QOS、组播、IPSEC SSL/VPN。

可以把物理的一个防火墙配置出多个虚拟的防火墙,每个防火墙称为context,

防火墙就支持两种工作模式:

single-context和multiple-context,处于后者工作模式的防火墙被分为三个功能模块:

system execution space(虽然没有context的功能,但是是所有的基础),

administrative context(被用来管理物理的防火墙)

user contexts(虚拟出来的防火墙,所有配置防火墙的命令都适用)配置:

首先使用show activation-key来验证是否有multiple-context的许可,然后通过mode multiple和mode single命令在这两个模式之间

进行切换,当然也可以用show mode来验证现在工作在什么模式下。

在不同context下进行切换使用Firewall# changeto {system | context name[/i]},

总结配置如下几条:

1、进入多模工作模式 mode multiple

2、创建主防火墙 admin_context___(命名)

3、进入主防火墙:admin_context

(1)、命名:context admin

4、添加端口allocate-interface (物理端口)

5、创建存储文件 config-url disk0 :// admin.cfg 文件名

6、要创建虚拟的防护墙 context 名称

其他步骤同上!

7、各个防火墙之间切换:changto context xxxx,各个防火墙之间独立工作。彼此不影响!

1.为什么要使用Multiple Context

(1)如果启用 active/active failover 可以实现负载分担,充分利用带宽

(2)为了部署不同的安全策略需要逻辑隔离的网络

(3)减少硬件的开支

2.Multiple Context的缺点?

(1).不支持动态路由协议 组播 QoS

(2).不支持VPN?

http://www.cisco.com/c/en/us/td/docs/security/asa/asa90/configuration/guide/asa_90_cli_config/ha_contexts.html

3.数据包如何判断 进入哪一个context?

How the ASA Classifies Packets

 

 

Multiple Context 的配置

 

Enabling Multiple Context Mode

hostname(config)# mode multiple

 

ASA Resource Management

1.ASA的通过context应用class来实现资源管理。

2.如果没有分配class 就使用默认class.

3.一个context可以属于一个自定义class和default class. 可以叠加。

For most resources, the default class provides unlimited access to resources for all contexts, except for the following limits:

Telnet sessions—5 sessions. (The maximum per context.)

SSH sessions—5 sessions. (The maximum per context.)

IPsec sessions—5 sessions. (The maximum per context.)

MAC addresses—65,535 entries. (The maximum per context.)

VPN site-to-site tunnels—0 sessions. (You must manually configure the class to allow any VPN sessions.)

1,Configuring a Class 

hostname(config)# class default

hostname(config-class)# limit-resource conns 10%

hostname(config-class)# limit-resource vpn other 5

hostname(config-class)# limit-resource vpn burst other 2

hostname(config)# class gold

hostname(config-class)# limit-resource mac-addresses 10000

.......................

2.Configuring a Security Context

hostname(config)# admin-context administrator

hostname(config)# context administrator

hostname(config-ctx)# allocate-interface gigabitethernet0/0.1

hostname(config-ctx)# allocate-interface gigabitethernet0/1.1

hostname(config-ctx)# config-url disk0:/admin.cfg

hostname(config-ctx)# context test

hostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1

hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2

hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8

hostname(config-ctx)# config-url ftp://user1:[email protected]/configlets/test.cfg

hostname(config-ctx)# member gold

hostname(config-ctx)# context sample

hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int1

hostname(config-ctx)# allocate-interface gigabitethernet0/1.212 int2

hostname(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235 int3-int8

hostname(config-ctx)# config-url ftp://user1:[email protected]/configlets/sample.cfg

hostname(config-ctx)# member silver

3.Monitoring Security Contexts

 

1.Viewing Context Information

show context

show context detail

2.Viewing Resource Allocation

show resource allocation

show resource allocation detail

3.Viewing Resource Usage

show resource usage context admin

show resource usage summary

4.Viewing MAC Addresses 

show running-config all context

show interface | include (Interface)|(MAC)

时间: 2024-11-07 09:58:49

ASA Context的相关文章

二维码框架ZBarSDK的使用和自己定义二维码扫描界面方法

假设你不知道ZBarSDK怎么用,请下载demo http://download.csdn.net/detail/u013686641/7858917 假设你已经配置好ZBarSDK .那么以下这个类能够直接用 以下是效果图 // //  头文件 //  TestProject // #import <UIKit/UIKit.h> #import "ZBarSDK.h" @interface yxpQrCode :UIViewController @end // //  实

ZBar之自定义二维码扫描

// // YvanQRCodeViewController.m // zBar // // Created by City--Online on 15/6/8. // Copyright (c) 2015年 CYW. All rights reserved. // #import "YvanQRCodeViewController.h" #import "ZBarSDK.h" #define SCANVIEW_EdgeTop 40.0 #define SCANVI

二维码框架ZBarSDK的使用和自定义二维码扫描界面方法

如果你不知道ZBarSDK怎么用,请下载demo http://download.csdn.net/detail/u013686641/7858917 如果你已经配置好ZBarSDK ,那么下面这个类可以直接用 下面是效果图 // //  头文件 //  TestProject // #import <UIKit/UIKit.h> #import "ZBarSDK.h" @interface yxpQrCode :UIViewController @end // //  实

什么是架构

什么是软件架构 前言:软体设计师中有一些技术水平较高.经验较为丰富的人,他们需要承担软件系统的架构设计,也就是需要设计系统的元件如何划分.元件之间如何发生相互作用,以及系统中逻辑的.物理的.系统的重要决定的作出.在很多公司中,架构师不是一个专门的和正式的职务.通常在一个开发小组中,最有经验的程序员会负责一些架构方面的工作.在一个部门中,最有经验的项目经理会负责一些架构方面的工作.但是,越来越多的公司体认到架构工作的重要性. 什么是软件系统的架构(Architecture)?一般而言,架构有两个要

ASA 8.0命令解析

有些朋友对配防火墙还是有问题,其实配置ASA防火墙很简单,常用的命令有hostname.interface(ip address.no shutdown.nameif.security-level).nat.global.route.static.access-list.access-group. 下面来解析一台ASA 8.0的配置 ASA Version 8.0(2)  //注意版本,8.3以后NAT命令有所变化!hostname ciscoasa   //主机名domain-name san

Cisco SSL VPN Over ASA Anyconnect4.2 ASA 9.24

实验anyconnect 4.2:ASA55059.2(4) ASA版本如下: System image file is "disk0:/asa924-k8.bin" 实验需求: 1.远程PC使用SSLVPN拨入访问内网server 2.使用用户A和用户B拨入后的IP不在同一网段. 配置步骤如下: 第一步:配置身份证书 在这里我们生成一个名为sslvpnkeypair的自签名证书,并将这个自答名证书应用在"outside"接口上面.默认情况下,我们的安全设备每次重新

ASA多模式防火墙_06

多模式防火墙 部署建议 1.一个ASA虚拟多个防火墙Security context 2.子墙能共享物理接口(也可分子接口给不同防火墙) 3.每个子墙都有配置文件,ASA还有个系统配置文件(关于各个子墙分配) 4.防火墙模式设置会影响整个Cisco 防火墙,不能一部分路由,一部分透明 5.先改变防火墙模式(如改为透明模式),再创建子墙 6.透明模式的防火墙不能够使用共享接口 7.当使用共享接口时,要为每个子墙的共享接口指定不同的MAC地址 8.注意资源管理,防止一个子墙耗尽资源 局限性 使用子墙

ASA LAB-ASA NAT配置大全

ASA LAB-ASA NAT配置大全 两种NAT配置方式 : 1- Auto(object)NAT 2- Twice NAT NAT分类 : Static nat Dynamic nat Static PAT Dynamic PAT Nat exmption 今天抽空做了下八大类NAT的实验,这个文档比较常用,愿大家共同进步 实验: 先看下 ASA的基本配置和环境 ciscoasa# sh run : Saved : ASA Version 8.4(2) ! hostname ciscoasa

ASA虚墙配置

asa配置ASA Version 8.0(2) <system>!hostname ASA5520enable password 2KFQnbNIdI.2KYOU encryptedno mac-address auto!interface Ethernet0/0!interface Ethernet0/0.1 vlan 100!interface Ethernet0/0.2 vlan 200!interface Ethernet0/0.3 vlan 300!interface Etherne