PIX/ASA 7.

x y Superiores: Ejemplo de Configuracin de Contexto

Mltiple
Contenido
Introduccin
Prerrequisitos
Requisitos
Componentes Utilizados
Productos Relacionados
Convenciones
Antecedentes
Archivos de Configuracin de Contexto
Acceso de Administracin a Contextos de Seguridad
Configuracin
Diagrama de Red
Activacin o Desactivacin del Modo de Contexto Mltiple
Configuracin de un Contexto de Seguridad
ASA 8.x - Configuracin del Espacio de Ejecucin del Sistema
Cambio entre los Contextos y el Espacio de Ejecucin del Sistema
ASA - Configuracin de Context1
ASA - Configuracin de Context2
Guardar Cambios de Configuracin en Modo de Contexto Mltiple
Verificacin
Troubleshooting
Restauracin del Modo de Contexto nico

Introduccin
En este documento, se describen los pasos utilizados para configurar el contexto mltiple en ASAs.
Puede dividir un firewall nico en mltiples dispositivos virtuales, conocidos como contextos de seguridad. Cada contexto es un dispositivo
independiente, con poltica de seguridad, interfaces y administradores propios. Los contextos mltiples funcionan como si fueran mltiples
dispositivos independientes. El modo de contexto mltiple permite utilizar muchas funciones que incluyen tablas de ruteo, funciones de firewall,
IPS y administracin, pero no permite utilizar algunas funciones, entre las que se incluyen VPN y los protocolos de ruteo dinmico.
Puede utilizar mltiples contextos de seguridad en las siguientes situaciones:
Usted es un proveedor de servicios y desea vender servicios de seguridad a muchos clientes. Si activa contextos de seguridad mltiples en
el dispositivo de seguridad, puede implementar una solucin rentable, que ocupa poco espacio y mantiene todo el trfico de los clientes
separado y seguro, y que adems facilita la configuracin.
Es una gran empresa o un campus universitario y desea mantener los departamentos completamente separados.
Es una empresa que desea proporcionar polticas de seguridad diferentes a cada departamento.
Posee una red cualquiera que requiere ms de un dispositivo de seguridad.
Nota: En el modo de contextos mltiples, puede realizar un upgrade o un downgrade del software PIX/ASA solamente en el modo System
EXEC, no en los otros modos de contexto.

Prerrequisitos
Requisitos
No existen requisitos especficos para este documento.

Componentes Utilizados
La informacin de este documento se basa en las siguientes versiones de software y hardware:
Cisco 5500 Series Adaptive Security Appliance que ejecuta la versin 7.x del Software o superiores.
La informacin de este documento se cre a partir de los dispositivos en un entorno especfico de laboratorio. Todos los dispositivos que se
utilizan en este documento se iniciaron con una configuracin vaca (predeterminada). Si su red est en funcionamiento, asegrese de comprender
el posible efecto de los comandos.

Productos Relacionados
Esta configuracin tambin se puede utilizar con Cisco PIX 500 Series Security Appliance Version 7.x y superiores.

Convenciones
Consulte las Cisco Technical Tips Conventions para obtener ms informacin sobre las convenciones del documento.

Antecedentes
Archivos de Configuracin de Contexto
Configuraciones de Contexto
El firewall incluye una configuracin para cada contexto que identifica la poltica de seguridad, las interfaces y casi todas las opciones que puede
configurar en un dispositivo independiente. Puede almacenar las configuraciones de contexto en la memoria Flash interna o en la tarjeta de
memoria Flash outside, o puede descargarlas desde un servidor TFTP, FTP o HTTP(S).
Configuracin del Sistema
El administrador del sistema agrega y administra contextos al configurar cada ubicacin de configuracin de contexto, sus interfaces asignadas y
otros parmetros operativos de contexto en la configuracin del sistema que, al igual que una configuracin de modo nico, es la configuracin
de inicio. La configuracin del sistema identifica las configuraciones bsicas para el dispositivo de seguridad. La configuracin del sistema no
incluye interfaces de red ni configuraciones de la red por s misma. En lugar de eso, cuando el sistema necesita acceder a los recursos de la red
(tales como descargas de contexto desde el servidor), utiliza uno de los contextos que est designado como contexto de administracin. La
configuracin del sistema incluye una interfaz de failover especializada solamente para trfico de failover.
Configuracin del Contexto de Administracin
El contexto de administracin es exactamente igual que cualquier otro contexto, con la excepcin de que cuando un usuario inicia sesin en el
contexto de administracin, tiene derechos de administrador del sistema y puede acceder al sistema y a todos los otros contextos. El contexto de
administracin no posee ninguna restriccin y se puede utilizar como un contexto comn, pero debido a que al iniciar sesin en el contexto de
administracin se obtienen privilegios de administrador sobre todos los contextos, es necesario restringir el acceso al contexto de administracin
para los usuarios adecuados. El contexto de administracin debe residir en la memoria Flash y no a distancia.
Si el sistema ya se encuentra en el modo de contexto mltiple, o si realiza una conversin desde el modo nico, el contexto de administracin se
crea de manera automtica como un archivo llamado admin.cfg en la memoria Flash interna. El nombre de este contexto es "admin". Si no desea
utilizar admin.cfg como contexto de administracin, puede cambiarlo.

Acceso de Administracin a Contextos de Seguridad

El firewall proporciona acceso como administrador del sistema en el modo de contexto mltiple y acceso para administradores de contexto
individuales. En estas secciones se describe el inicio de sesin como administrador de sistema o como administrador de contexto.
Acceso como Administrador del Sistema
Puede acceder al ASA como administrador del sistema de dos maneras:
Acceso a la consola del firewall.
Desde la consola, puede acceder al espacio de ejecucin del sistema.
Acceso al contexto de administracin con Telnet, SSH o ASDM.
Consulte "Administracin del Acceso al Sistema" para activar el acceso con Telnet, SSH y SDM.
Como administrador del sistema, puede acceder a todos los contextos.

Al cambiar a otro contexto desde el de administracin o desde el sistema, su nombre de usuario cambia por el nombre de usuario predeterminado
"enable_15". Si configur la autorizacin de comandos (aaa authorization) en ese contexto, debe configurar los privilegios de autorizacin para el
usuario "enable_15", o puede iniciar sesin con un nombre diferente para el cual proporcione suficientes privilegios en la configuracin de
autorizacin de comandos para ese contexto. Para iniciar sesin con un nombre de usuario, ingrese el comando login. Por ejemplo, inicia sesin
en el contexto de administracin con el nombre de usuario "admin". El contexto de administracin no tiene ninguna configuracin de
autorizacin de comandos, pero todos los otros contextos incluyen autorizacin de comandos. Para su comodidad, todas las configuraciones de
contexto incluyen un usuario "admin" con privilegios mximos. Cuando cambia del contexto de administracin al contexto A, se modifica su
nombre de usuario, por lo que debe iniciar sesin nuevamente como "admin" con el comando login. Cuando cambia al contexto B, debe ingresar
el comando login nuevamente para iniciar sesin como "admin".
El espacio de ejecucin del sistema no permite utilizar ningn comando AAA, pero usted puede configurar su propia enable password
(contrasea de activacin) y un nombre de usuario en la base de datos local para proporcionar conexiones individuales.
Acceso como Administrador de un Contexto
Puede acceder a un contexto con Telnet, SSH o ASDM. Si inicia sesin en un contexto que no sea el de administracin, slo puede acceder a la
configuracin de ese contexto. Puede proporcionar inicio de sesin individual para el contexto.

Configuracin
En esta seccin, encontrar la informacin para configurar las funciones descritas en este documento.
Nota: Utilice la herramienta Command Lookup (slo para clientes registrados) para obtener ms informacin sobre los comandos utilizados en esta
seccin.

Diagrama de Red
En este documento, se utiliza la siguiente configuracin de red:

Activacin o Desactivacin del Modo de Contexto Mltiple

Segn cmo lo haya pedido a Cisco, es posible que su ASA ya est configurado para contextos de seguridad mltiples, pero si realiza un upgrade,
es posible que necesite convertir de modo nico a modo mltiple. En esta seccin, se explican los procedimientos para realizar un upgrade.
ASDM no permite cambiar de modo, por lo tanto debe cambiar de modo utilizando la CLI.

Cuando realiza la conversin de modo nico a modo mltiple, el ASA convierte la configuracin que se est ejecutando en dos archivos. La
configuracin original de inicio no se guarda; por lo tanto, si es diferente de la configuracin que se est ejecutando, debe hacer un backup antes
de continuar.
Habilitacin del Modo de Contexto Mltiple
El modo de contexto (nico o mltiple) no se almacena en el archivo de configuracin, aunque perdura en caso de reinicios. Si necesita copiar su
configuracin a otro dispositivo, configure el modo en el dispositivo nuevo para que coincida con el comando mode.
Cuando realiza la conversin del modo nico al modo mltiple, el dispositivo de seguridad convierte la configuracin que se est ejecutando en
dos archivos: una nueva configuracin de inicio que incluye la configuracin del sistema, y admin.cfg, que incluye el contexto de administracin
(en el directorio raz de la memoria Flash interna). La configuracin original que se est ejecutando se almacena como old_running.cfg (en el
directorio raz de la memoria Flash interna). La configuracin de inicio original no se guarda. El dispositivo de seguridad agrega
automticamente una entrada para el contexto de administracin a la configuracin del sistema con el nombre "admin".
Ingrese este comando para habilitar el modo mltiple:

hostname(config)# mode multiple

Aparece un mensaje para que reinicie el firewall.

CiscoASA(config)# mode multiple

WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash
The admin context configuration will be written to flash
The new running configuration file was written to flash
Security context mode: multiple
***
*** --- SHUTDOWN NOW --***
*** Message to all terminals:
***
***
change mode
Rebooting....
Booting system, please wait...
*
*
!--- salida omitida
*
*
INFO: Admin context is required to get the interfaces
*** Output from config line 20, "arp timeout 14400"
Creating context 'admin'... Done. (1)
*** Output from config line 23, "admin-context admin"
Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a
*** Output from config line 25, "

config-url flash:/admi..."

Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061c

Type help or '?' for a list of available commands.
CiscoASA>

Despus de reiniciarlo, la configuracin predeterminada del ASA es la siguiente:

Configuracin Predeterminada de ASA 8.x

CiscoASA# show running-config

: Saved
:
ASA Version 8.0(2) <system>

!
hostname CiscoASA
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0/0
shutdown
!
interface Ethernet0/1
shutdown
!
interface Ethernet0/2
shutdown
!
interface Ethernet0/3
shutdown
!
interface Management0/0
shutdown
!
class default
limit-resource All 0
limit-resource ASDM 5
limit-resource SSH 5
limit-resource Telnet 5
!
ftp mode passive
pager lines 24
no failover
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
console timeout 0
admin-context admin
context admin
config-url disk0:/admin.cfg
!
!--- el contexto de administracin se crea
!--- de forma predeterminada al habilitar
!--- el modo mltiple
prompt hostname context
Cryptochecksum:410be16e875b7302990a831a5d91aefd
: end

Configuracin de un Contexto de Seguridad

La definicin del contexto de seguridad en la configuracin del sistema identifica el nombre del contexto, la URL del archivo de configuracin y
las interfaces que puede utilizar un contexto.
Nota: Si no tiene un contexto de administracin (por ejemplo, si borra la configuracin), primero debe especificar el nombre del contexto de
administracin cuando ingresa este comando:

hostname(config)# admin-context <name>

Nota: Aunque este nombre de contexto an no exista en su configuracin, posteriormente puede ingresar el comando context name para
encontrar la correspondencia con el nombre especificado y continuar as con la configuracin del contexto de administracin.
Para agregar o cambiar un contexto en la configuracin del sistema, realice los siguientes pasos:
1. Para agregar o modificar un contexto, ingrese este comando en el espacio de ejecucin del sistema:

hostname(config)# context <name>

El nombre es una cadena que puede contener hasta 32 caracteres de longitud. Este nombre distingue entre maysculas y minsculas, por lo
tanto puede tener dos contextos denominados "customerA" y "CustomerA", por ejemplo. Puede utilizar letras, dgitos o guiones, pero el
nombre no puede comenzar ni terminar con un guin.
"System" o "Null" (en letras maysculas o minsculas) son nombres reservados y no se los puede utilizar.

2. (Opcional) Para agregar una descripcin de este contexto, ingrese el siguiente comando:

hostname(config-ctx)# description text

3. Para especificar las interfaces que puede utilizar en el contexto, ingrese el comando correspondiente a una interfaz fsica o a una o ms
subinterfaces.
Para asignar una interfaz fsica, ingrese el siguiente comando:

hostname(config-ctx)# allocate-interface
<physical_interface> [mapped_name]
[visible | invisible]

Para asignar una o ms subinterfaces, ingrese el siguiente comando:

hostname(config-ctx)# allocate-interface
<physical_interface.subinterface[-physical_interface.subinterface]>
[mapped_name[-mapped_name]] [visible | invisible]

Puede ingresar estos comandos varias veces para especificar diferentes rangos: Si quita una asignacin con la forma no de este
comando, los comandos de contexto que incluyan esta interfaz se quitan de la configuracin que se est ejecutando.
4. Para identificar la URL desde la cual el sistema descarga la configuracin del contexto, ingrese el siguiente comando:

hostname(config-ctx)# config-url url

Nota: Ingrese el/los comando(s) allocate-interface antes de ingresar el comando config-url. El ASA debe asignar interfaces al contexto
antes de cargar la configuracin del contexto. La configuracin del contexto puede incluir comandos que hagan referencia a las interfaces
(interface, nat, global...). Si ingresa el comando config-url primero, el dispositivo de seguridad carga la configuracin del contexto de
inmediato. Si el contexto contiene comandos que hagan referencia a interfaces, esos comandos fallan.
En este escenario, siga los pasos que aparecen en la tabla para configurar el contexto mltiple.
Hay dos clientes, Customer A y Customer B. Cree tres contextos mltiples (virtualmente, tres ASA) en un nico ASA, como por ejemplo
Context1 para Customer A, Context2 para Customer B y Admin Context para administrar los contextos ASA.
Cree dos subinterfaces para cada contexto para la conexin interna y externa. Asigne las diferentes VLANs para cada subinterfaz.
Cree las dos subinterfaces en ethernet 0/0 como ethernet 0/0.1 y ethernet 0/0.2 para la conexin externa de context1 y context2, respectivamente.
De la misma manera, cree dos subinterfaces en ethernet 0/1 como ethernet 0/1.1 y ethernet 0/1.2 para la conexin interna de context1 y context2,
respectivamente.
Asigne la vlan para cada subinterfaz como vlan 2 para ethernet 0/0.1, vlan 3 para ethernet 0/1.1, vlan 4 para ethernet 0/0.2, vlan 5 para ethernet
0/1.2
Pasos para la Configuracin de Contexto Mltiple de ASA

:
!--- Interfaz outside para context1 y context2.
!--- Creacin de la subinterfaz en
!--- la interfaz outside para context1 y context2.
ciscoasa(config)# interface Ethernet0/0
ciscoasa(config-if)# no shutdown
!--- Interfaz interna para context1 y context2.
!--- Creacin de la subinterfaz en
!--- la interfaz inside para context1 y context2.

ciscoasa(config)# interface Ethernet0/1

ciscoasa(config-if)# no shutdown
!--- Interfaz outside del contexto de administracin
!--- para acceder al ASA desde la red outside
!--- con Telnet o SSH.
ciscoasa(config-if)# interface Ethernet0/2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 6
!--- Interfaz inside del contexto de administracin
!--- para acceder al ASA desde la red inside
!--- con Telnet o SSH.
ciscoasa(config-if)# interface Ethernet0/3
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 7
!--- Subinterfaz outside de Context1
ciscoasa(config-subif)# interface Ethernet0/0.1
ciscoasa(config-subif)# vlan 2
!--- !--- Subinterfaz inside de Context1
ciscoasa(config-subif)# interface ethernet 0/1.1
ciscoasa(config-subif)# vlan 3
!--- !--- Subinterfaz outside de Context2
ciscoasa(config-subif)# interface ethernet 0/0.2
ciscoasa(config-subif)# vlan 4
!--- !--- Subinterfaz inside de Context2
ciscoasa(config-subif)# interface ethernet 0/1.2
ciscoasa(config-subif)# vlan 5
!--- Contexto del Customer A como Context1
ciscoasa(config)# context context1
Creating context 'context1'... Done. (3)
ciscoasa(config-ctx)# allocate-interface
Ethernet0/0.1 outside-context1
ciscoasa(config-ctx)# allocate-interface
Ethernet0/1.1 inside-context1
!--- Para especificar las interfaces
!--- utilizadas para el context1
ciscoasa(config-ctx)# config-url disk0:/context1.cfg
!--- Para identificar la direccin URL desde la cual
!--- el sistema descarga la configuracin del contexto.
ciscoasa(config-ctx)# exit
!--- Contexto del Customer B como Context2
ciscoasa(config)# context context2
Creating context 'context2'... Done. (3)
ciscoasa(config-ctx)# allocate-interface
Ethernet0/0.2 outside-context2
ciscoasa(config-ctx)# allocate-interface
Ethernet0/1.2 inside-context2
ciscoasa(config-ctx)# config-url
disk0:/context2.cfg
ciscoasa(config)# context admin
ciscoasa(config-ctx)# allocate-interface Ethernet0/2 outside
ciscoasa(config-ctx)# allocate-interface Ethernet0/3 inside

ASA 8.x - Configuracin del Espacio de Ejecucin del Sistema

ASA 8.x - Configuracin del Espacio de Ejecucin del Sistema

ciscoasa# sh run
ASA Version 8.0(2) <system>
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/0.1
vlan 2
!
interface Ethernet0/0.2
vlan 4
!
interface Ethernet0/1
!
interface Ethernet0/1.1
vlan 3
!
interface Ethernet0/1.2
vlan 5
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Management0/0
shutdown
!
class default
limit-resource All 0
limit-resource ASDM 5
limit-resource SSH 5
limit-resource Telnet 5
!
ftp mode passive
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0
admin-context admin
context admin
allocate-interface Ethernet0/2 outside
allocate-interface Ethernet0/3 inside
config-url disk0:/admin.cfg
!
context context1
allocate-interface Ethernet0/0.1 outside-context1
allocate-interface Ethernet0/1.1 inside-context1
config-url disk0:/context1.cfg
!
context context2
allocate-interface Ethernet0/0.2 outside-context2
allocate-interface Ethernet0/1.2 inside-context2
config-url disk0:/context2.cfg
!
prompt hostname context
Cryptochecksum:9e8bc648b240917631fa5716a007458f
: end

Cambio entre los Contextos y el Espacio de Ejecucin del Sistema

Si inicia sesin en el espacio de ejecucin del sistema (o en el contexto de administracin con Telnet o SSH), puede cambiar entre contextos y

realizar tareas de configuracin y supervisin dentro de cada contexto. La configuracin que se est ejecutando y que usted modifica en un modo
de configuracin, o que se utiliza en los comandos copy o write depende de su ubicacin. Cuando usted est en el espacio de ejecucin del
sistema, la configuracin que se est ejecutando slo consta de la configuracin del sistema. Cuando usted est en un contexto, la configuracin
que se est ejecutando slo consta de ese contexto. Por ejemplo, no puede ver todas las configuraciones que se estn ejecutando (sistema ms
todos los contextos) cuando ingresa el comando show running-config. Slo se muestra la configuracin actual.
Para cambiar entre el espacio de ejecucin del sistema y un contexto, o entre contextos, consulte estos comandos:
Para cambiar a un contexto, ingrese el siguiente comando:

hostname# changeto context <context name>

El prompt cambia a:

hostname/name#

Para cambiar al espacio de ejecucin del sistema, ingrese el siguiente comando:

hostname/admin# changeto system

El prompt cambia a:

hostname#

ASA - Configuracin de Context1

Para configurar el context1, cambie al context1 y siga el procedimiento:

!--!--!--!---

Desde el espacio de ejecucin del sistema,

ingrese el comando
"changeto context context1"
para establecer la configuracin de context1

ciscoasa(config)# changeto context context1

ciscoasa/context1(config)#

Configuracin Predeterminada de Context1 - ASA 8.x

ciscoasa/context1(config)# show run

!--- Configuracin predeterminada de context1

ASA Version 8.0(2) <context>

!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-contex1
no nameif
no security-level
no ip address
!
interface inside-contex1
no nameif
no security-level
no ip address

!
passwd 2KFQnbNIdI.2KYOU encrypted
pager lines 24
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed
0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225
1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite
0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Configuracin del Customer A para conectividad a Internet:

Configuracin de Context1 - ASA 8.x

!--- Configuracin de Context1 para customer A

ciscoasa/context1# conf t
ciscoasa/context1(config)# int outside-context1
ciscoasa/context1(config-if)# ip add 10.1.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa/context1(config-if)# int inside-context1
ciscoasa/context1(config-if)# ip add 172.16.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa/context1(config-if)# exit
ciscoasa/context1(config)# access-list outbound permit ip any any
ciscoasa/context1(config)# nat (inside-context1) 1 access-list outbound
ciscoasa/context1(config)# global (outside-context1) 1 interface
INFO: outside interface address added to PAT pool
ciscoasa/context1(config)# route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2
ciscoasa/context1(config)# exit

Configuracin de Context1 - ASA 8.x

ciscoasa/context1(config)# show run

ciscoasa/context1# sh run
: Saved
:
ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-context1
nameif outside
security-level 0
ip address 10.1.1.1 255.255.255.0
!
interface inside-context1
nameif inside
security-level 100
ip address 172.16.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside-context1) 1 interface
nat (inside-context1) 1 access-list outbound
route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2 1
!--- Salida omitida
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
ciscoasa/context1#

ASA - Configuracin de Context2

Configuracin del Customer B para conectividad a Internet:
Para configurar el context2, cambie al context2 desde el context1:

!--- Desde el espacio de ejecucin del sistema, ingrese el comando

!--- "changeto context context1"
---para establecer la configuracin de context1

ciscoasa/context1(config)# changeto context context2

ciscoasa/context2(config)#

Configuracin de Context2 - ASA 8.x

ciscoasa/context2(config)# show run

ASA Version 8.0(2) <context>
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside-context2
nameif inside
security-level 100
ip address 172.17.1.1 255.255.255.0
!
interface outside-context2
nameif outside
security-level 0
ip address 10.2.2.1 255.255.255.0
!
!--- Salida omitida
!
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside-context2) 1 interface
nat (inside-context2) 1 access-list outbound
route outside-context2 0.0.0.0 0.0.0.0 10.2.2.2 1
!--- Salida omitida
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

De manera similar, configure el contexto de administracin para administrar el ASA y sus contextos desde la interfaz inside y outside.

Guardar Cambios de Configuracin en el Modo de Contexto Mltiple

Puede guardar todas las configuraciones de los contextos (y de los sistemas) por separado o puede guardar todas las configuraciones de los
contextos al mismo tiempo. Esta seccin incluye los siguientes temas:
Guardar Cada Contexto y Sistema por Separado
Para guardar la configuracin de sistema o de contexto, ingrese este comando dentro del sistema o contexto:

hostname# write memory

Nota: El comando copy running-config startup-config es equivalente al comando write memory.

Para el modo de contexto mltiple, las configuraciones de inicio de contexto pueden residir en servidores externos. En ese caso, el ASA vuelve a
guardar la configuracin en el servidor que usted identific en la URL del contexto, excepto en el caso de una URL HTTP o HTTPS que no le
permite guardar la configuracin en el servidor.
Guardar Todas las Configuraciones de Contexto al Mismo Tiempo
Para guardar todas las configuraciones de contexto al mismo tiempo, y tambin la configuracin del sistema, ingrese el siguiente comando en el
espacio de ejecucin del sistema:

hostname# write memory all [/noconfirm]

Si no ingresa la palabra clave /noconfirm, ver el siguiente mensaje:

Are you sure [Y/N]:

Verificacin
Utilice esta seccin para confirmar que la configuracin funciona correctamente.
La herramienta Output Interpreter (slo para clientes registrados) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un anlisis de los
resultados de los comandos show.
show flash: Verificar que el archivo de configuracin del contexto est almacenado en la memoria Flash.
show mode: Verificar que el ASA est configurado como modo nico o como modo mltiple.

ciscoasa# sh flash
--#-- --length-- -----date/time-----71 14524416
Jul 23 2007 23:11:22
75 6889764
Jul 23 2007 23:32:16
2 4096
Jul 23 2007 23:51:36
6 4096
Jul 23 2007 23:51:48
76 2635734
Aug 12 2007 22:44:50
77 1841
Sep 20 2007 04:21:38
78 1220
Sep 20 2007 04:21:38

path
asa802-k8.bin
asdm-602.bin
log
crypto_archive
anyconnect-win-2.0.0343-k9.pkg
old_running.cfg
admin.cfg

ciscoasa/context2# sh mode
Security context mode: multiple

Troubleshooting
Restauracin del Modo de Contexto nico
Si realiza una conversin de modo mltiple a modo nico, es posible copiar primero una configuracin de inicio completa (si est disponible) en
el ASA; la configuracin del sistema heredada del modo mltiple no es una aplicacin completamente funcional para un dispositivo de modo
nico. Debido a que la configuracin del sistema no posee ninguna interfaz de red como parte de su configuracin, debe acceder al dispositivo de
seguridad desde la consola para realizar una copia.
Para copiar la configuracin anterior que se estaba ejecutando a la configuracin de inicio, y para cambiar el modo a modo nico, realice los
siguientes pasos en el espacio de configuracin del sistema:
1. Para copiar la versin de la copia de seguridad de la configuracin original que se estaba ejecutando a la configuracin de inicio actual,
ingrese el siguiente comando en el espacio de ejecucin del sistema:

hostname(config)# copy flash:old_running.cfg startup-config

2. Para configurar el modo a modo nico, ingrese este comando en el espacio de ejecucin del sistema:

hostname(config)# mode single

El firewall se reinicia.

1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.

Fecha de Generacin del PDF: 20 Enero 2009
http://www.cisco.com/cisco/web/support/LA/10/106/106632_multiple-context.html