ASA Context

1.一个系统执行空间

系统执行空间和其他虚拟墙不同，它没有2、3层接口以及其他网络设置，它的作用是为其他虚拟防火墙定义属性和设置。需要为空间

中的每个虚拟防火墙配置3个重要设置：虚拟防火墙的名称，分配接口，确定虚拟防火墙的启动文件。它的文件存贮在NVRAM

2.一个管理虚拟防火墙

在配置其他虚拟防火墙之前需要配置管理防火墙，它的作用主要是提供网络资源的连通性比如AAA、日志服务器，需要配置IP，管理

员可以通过它切换管理其他虚拟墙。当ASA从单模（物理墙）转换成多模（虚拟防火墙）时，原来的网络文件会被存储在admin虚拟防火

墙中。

3.客户虚拟防火墙

每一个客户虚拟防火墙都可以当作一台独立的防火墙，特性包含IPS、路由表、管理等。使用show version可以查看本台物理墙可以

支持多少虚拟墙。（需要购买）

在虚拟墙下不支持的特性： 路由协议、QOS、组播、IPSEC SSL/VPN。

可以把物理的一个防火墙配置出多个虚拟的防火墙，每个防火墙称为context，

防火墙就支持两种工作模式：

single-context和multiple-context，处于后者工作模式的防火墙被分为三个功能模块：

system execution space(虽然没有context的功能，但是是所有的基础)，

administrative context(被用来管理物理的防火墙)

user contexts(虚拟出来的防火墙，所有配置防火墙的命令都适用)配置：

首先使用show activation-key来验证是否有multiple-context的许可，然后通过mode multiple和mode single命令在这两个模式之间

进行切换，当然也可以用show mode来验证现在工作在什么模式下。

在不同context下进行切换使用Firewall# changeto {system | context name[/i]}，

总结配置如下几条：

1、进入多模工作模式 mode multiple

2、创建主防火墙 admin_context___(命名)

3、进入主防火墙：admin_context

（1）、命名：context admin

4、添加端口allocate-interface （物理端口）

5、创建存储文件 config-url disk0 ：// admin.cfg 文件名

6、要创建虚拟的防护墙 context 名称

其他步骤同上！

7、各个防火墙之间切换：changto context xxxx,各个防火墙之间独立工作。彼此不影响！

1.为什么要使用Multiple Context

(1)如果启用 active/active failover 可以实现负载分担,充分利用带宽

(2)为了部署不同的安全策略需要逻辑隔离的网络

(3)减少硬件的开支

2.Multiple Context的缺点?

(1).不支持动态路由协议 组播 QoS

(2).不支持VPN？

http://www.cisco.com/c/en/us/td/docs/security/asa/asa90/configuration/guide/asa_90_cli_config/ha_contexts.html

3.数据包如何判断 进入哪一个context？

How the ASA Classifies Packets

Multiple Context 的配置

Enabling Multiple Context Mode

hostname(config)# mode multiple

ASA Resource Management

1.ASA的通过context应用class来实现资源管理。

2.如果没有分配class 就使用默认class.

3.一个context可以属于一个自定义class和default class. 可以叠加。

For most resources, the default class provides unlimited access to resources for all contexts, except for the following limits:

Telnet sessions—5 sessions. (The maximum per context.)

SSH sessions—5 sessions. (The maximum per context.)

IPsec sessions—5 sessions. (The maximum per context.)

MAC addresses—65,535 entries. (The maximum per context.)

VPN site-to-site tunnels—0 sessions. (You must manually configure the class to allow any VPN sessions.)

1,Configuring a Class 

hostname(config)# class default

hostname(config-class)# limit-resource conns 10%

hostname(config-class)# limit-resource vpn other 5

hostname(config-class)# limit-resource vpn burst other 2

hostname(config)# class gold

hostname(config-class)# limit-resource mac-addresses 10000

.......................

2.Configuring a Security Context

hostname(config)# admin-context administrator

hostname(config)# context administrator

hostname(config-ctx)# allocate-interface gigabitethernet0/0.1

hostname(config-ctx)# allocate-interface gigabitethernet0/1.1

hostname(config-ctx)# config-url disk0:/admin.cfg

hostname(config-ctx)# context test

hostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1

hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2

hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8

hostname(config-ctx)# config-url ftp://user1:[email protected]/configlets/test.cfg

hostname(config-ctx)# member gold

hostname(config-ctx)# context sample

hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int1

hostname(config-ctx)# allocate-interface gigabitethernet0/1.212 int2

hostname(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235 int3-int8

hostname(config-ctx)# config-url ftp://user1:[email protected]/configlets/sample.cfg

hostname(config-ctx)# member silver

3.Monitoring Security Contexts

1.Viewing Context Information

show context

show context detail

2.Viewing Resource Allocation

show resource allocation

show resource allocation detail

3.Viewing Resource Usage

show resource usage context admin

show resource usage summary

4.Viewing MAC Addresses 

show running-config all context

show interface | include (Interface)|(MAC)