Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introduccin
En este documento, se describen los pasos utilizados para configurar el contexto mltiple en ASAs.
Puede dividir un firewall nico en mltiples dispositivos virtuales, conocidos como contextos de seguridad. Cada contexto es un dispositivo
independiente, con poltica de seguridad, interfaces y administradores propios. Los contextos mltiples funcionan como si fueran mltiples
dispositivos independientes. El modo de contexto mltiple permite utilizar muchas funciones que incluyen tablas de ruteo, funciones de firewall,
IPS y administracin, pero no permite utilizar algunas funciones, entre las que se incluyen VPN y los protocolos de ruteo dinmico.
Puede utilizar mltiples contextos de seguridad en las siguientes situaciones:
Usted es un proveedor de servicios y desea vender servicios de seguridad a muchos clientes. Si activa contextos de seguridad mltiples en
el dispositivo de seguridad, puede implementar una solucin rentable, que ocupa poco espacio y mantiene todo el trfico de los clientes
separado y seguro, y que adems facilita la configuracin.
Es una gran empresa o un campus universitario y desea mantener los departamentos completamente separados.
Es una empresa que desea proporcionar polticas de seguridad diferentes a cada departamento.
Posee una red cualquiera que requiere ms de un dispositivo de seguridad.
Nota: En el modo de contextos mltiples, puede realizar un upgrade o un downgrade del software PIX/ASA solamente en el modo System
EXEC, no en los otros modos de contexto.
Prerrequisitos
Requisitos
No existen requisitos especficos para este documento.
Componentes Utilizados
La informacin de este documento se basa en las siguientes versiones de software y hardware:
Cisco 5500 Series Adaptive Security Appliance que ejecuta la versin 7.x del Software o superiores.
La informacin de este documento se cre a partir de los dispositivos en un entorno especfico de laboratorio. Todos los dispositivos que se
utilizan en este documento se iniciaron con una configuracin vaca (predeterminada). Si su red est en funcionamiento, asegrese de comprender
el posible efecto de los comandos.
Productos Relacionados
Esta configuracin tambin se puede utilizar con Cisco PIX 500 Series Security Appliance Version 7.x y superiores.
Convenciones
Consulte las Cisco Technical Tips Conventions para obtener ms informacin sobre las convenciones del documento.
Antecedentes
Archivos de Configuracin de Contexto
Configuraciones de Contexto
El firewall incluye una configuracin para cada contexto que identifica la poltica de seguridad, las interfaces y casi todas las opciones que puede
configurar en un dispositivo independiente. Puede almacenar las configuraciones de contexto en la memoria Flash interna o en la tarjeta de
memoria Flash outside, o puede descargarlas desde un servidor TFTP, FTP o HTTP(S).
Configuracin del Sistema
El administrador del sistema agrega y administra contextos al configurar cada ubicacin de configuracin de contexto, sus interfaces asignadas y
otros parmetros operativos de contexto en la configuracin del sistema que, al igual que una configuracin de modo nico, es la configuracin
de inicio. La configuracin del sistema identifica las configuraciones bsicas para el dispositivo de seguridad. La configuracin del sistema no
incluye interfaces de red ni configuraciones de la red por s misma. En lugar de eso, cuando el sistema necesita acceder a los recursos de la red
(tales como descargas de contexto desde el servidor), utiliza uno de los contextos que est designado como contexto de administracin. La
configuracin del sistema incluye una interfaz de failover especializada solamente para trfico de failover.
Configuracin del Contexto de Administracin
El contexto de administracin es exactamente igual que cualquier otro contexto, con la excepcin de que cuando un usuario inicia sesin en el
contexto de administracin, tiene derechos de administrador del sistema y puede acceder al sistema y a todos los otros contextos. El contexto de
administracin no posee ninguna restriccin y se puede utilizar como un contexto comn, pero debido a que al iniciar sesin en el contexto de
administracin se obtienen privilegios de administrador sobre todos los contextos, es necesario restringir el acceso al contexto de administracin
para los usuarios adecuados. El contexto de administracin debe residir en la memoria Flash y no a distancia.
Si el sistema ya se encuentra en el modo de contexto mltiple, o si realiza una conversin desde el modo nico, el contexto de administracin se
crea de manera automtica como un archivo llamado admin.cfg en la memoria Flash interna. El nombre de este contexto es "admin". Si no desea
utilizar admin.cfg como contexto de administracin, puede cambiarlo.
Al cambiar a otro contexto desde el de administracin o desde el sistema, su nombre de usuario cambia por el nombre de usuario predeterminado
"enable_15". Si configur la autorizacin de comandos (aaa authorization) en ese contexto, debe configurar los privilegios de autorizacin para el
usuario "enable_15", o puede iniciar sesin con un nombre diferente para el cual proporcione suficientes privilegios en la configuracin de
autorizacin de comandos para ese contexto. Para iniciar sesin con un nombre de usuario, ingrese el comando login. Por ejemplo, inicia sesin
en el contexto de administracin con el nombre de usuario "admin". El contexto de administracin no tiene ninguna configuracin de
autorizacin de comandos, pero todos los otros contextos incluyen autorizacin de comandos. Para su comodidad, todas las configuraciones de
contexto incluyen un usuario "admin" con privilegios mximos. Cuando cambia del contexto de administracin al contexto A, se modifica su
nombre de usuario, por lo que debe iniciar sesin nuevamente como "admin" con el comando login. Cuando cambia al contexto B, debe ingresar
el comando login nuevamente para iniciar sesin como "admin".
El espacio de ejecucin del sistema no permite utilizar ningn comando AAA, pero usted puede configurar su propia enable password
(contrasea de activacin) y un nombre de usuario en la base de datos local para proporcionar conexiones individuales.
Acceso como Administrador de un Contexto
Puede acceder a un contexto con Telnet, SSH o ASDM. Si inicia sesin en un contexto que no sea el de administracin, slo puede acceder a la
configuracin de ese contexto. Puede proporcionar inicio de sesin individual para el contexto.
Configuracin
En esta seccin, encontrar la informacin para configurar las funciones descritas en este documento.
Nota: Utilice la herramienta Command Lookup (slo para clientes registrados) para obtener ms informacin sobre los comandos utilizados en esta
seccin.
Diagrama de Red
En este documento, se utiliza la siguiente configuracin de red:
Cuando realiza la conversin de modo nico a modo mltiple, el ASA convierte la configuracin que se est ejecutando en dos archivos. La
configuracin original de inicio no se guarda; por lo tanto, si es diferente de la configuracin que se est ejecutando, debe hacer un backup antes
de continuar.
Habilitacin del Modo de Contexto Mltiple
El modo de contexto (nico o mltiple) no se almacena en el archivo de configuracin, aunque perdura en caso de reinicios. Si necesita copiar su
configuracin a otro dispositivo, configure el modo en el dispositivo nuevo para que coincida con el comando mode.
Cuando realiza la conversin del modo nico al modo mltiple, el dispositivo de seguridad convierte la configuracin que se est ejecutando en
dos archivos: una nueva configuracin de inicio que incluye la configuracin del sistema, y admin.cfg, que incluye el contexto de administracin
(en el directorio raz de la memoria Flash interna). La configuracin original que se est ejecutando se almacena como old_running.cfg (en el
directorio raz de la memoria Flash interna). La configuracin de inicio original no se guarda. El dispositivo de seguridad agrega
automticamente una entrada para el contexto de administracin a la configuracin del sistema con el nombre "admin".
Ingrese este comando para habilitar el modo mltiple:
config-url flash:/admi..."
!
hostname CiscoASA
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0/0
shutdown
!
interface Ethernet0/1
shutdown
!
interface Ethernet0/2
shutdown
!
interface Ethernet0/3
shutdown
!
interface Management0/0
shutdown
!
class default
limit-resource All 0
limit-resource ASDM 5
limit-resource SSH 5
limit-resource Telnet 5
!
ftp mode passive
pager lines 24
no failover
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
console timeout 0
admin-context admin
context admin
config-url disk0:/admin.cfg
!
!--- el contexto de administracin se crea
!--- de forma predeterminada al habilitar
!--- el modo mltiple
prompt hostname context
Cryptochecksum:410be16e875b7302990a831a5d91aefd
: end
Nota: Aunque este nombre de contexto an no exista en su configuracin, posteriormente puede ingresar el comando context name para
encontrar la correspondencia con el nombre especificado y continuar as con la configuracin del contexto de administracin.
Para agregar o cambiar un contexto en la configuracin del sistema, realice los siguientes pasos:
1. Para agregar o modificar un contexto, ingrese este comando en el espacio de ejecucin del sistema:
El nombre es una cadena que puede contener hasta 32 caracteres de longitud. Este nombre distingue entre maysculas y minsculas, por lo
tanto puede tener dos contextos denominados "customerA" y "CustomerA", por ejemplo. Puede utilizar letras, dgitos o guiones, pero el
nombre no puede comenzar ni terminar con un guin.
"System" o "Null" (en letras maysculas o minsculas) son nombres reservados y no se los puede utilizar.
2. (Opcional) Para agregar una descripcin de este contexto, ingrese el siguiente comando:
3. Para especificar las interfaces que puede utilizar en el contexto, ingrese el comando correspondiente a una interfaz fsica o a una o ms
subinterfaces.
Para asignar una interfaz fsica, ingrese el siguiente comando:
hostname(config-ctx)# allocate-interface
<physical_interface> [mapped_name]
[visible | invisible]
hostname(config-ctx)# allocate-interface
<physical_interface.subinterface[-physical_interface.subinterface]>
[mapped_name[-mapped_name]] [visible | invisible]
Puede ingresar estos comandos varias veces para especificar diferentes rangos: Si quita una asignacin con la forma no de este
comando, los comandos de contexto que incluyan esta interfaz se quitan de la configuracin que se est ejecutando.
4. Para identificar la URL desde la cual el sistema descarga la configuracin del contexto, ingrese el siguiente comando:
Nota: Ingrese el/los comando(s) allocate-interface antes de ingresar el comando config-url. El ASA debe asignar interfaces al contexto
antes de cargar la configuracin del contexto. La configuracin del contexto puede incluir comandos que hagan referencia a las interfaces
(interface, nat, global...). Si ingresa el comando config-url primero, el dispositivo de seguridad carga la configuracin del contexto de
inmediato. Si el contexto contiene comandos que hagan referencia a interfaces, esos comandos fallan.
En este escenario, siga los pasos que aparecen en la tabla para configurar el contexto mltiple.
Hay dos clientes, Customer A y Customer B. Cree tres contextos mltiples (virtualmente, tres ASA) en un nico ASA, como por ejemplo
Context1 para Customer A, Context2 para Customer B y Admin Context para administrar los contextos ASA.
Cree dos subinterfaces para cada contexto para la conexin interna y externa. Asigne las diferentes VLANs para cada subinterfaz.
Cree las dos subinterfaces en ethernet 0/0 como ethernet 0/0.1 y ethernet 0/0.2 para la conexin externa de context1 y context2, respectivamente.
De la misma manera, cree dos subinterfaces en ethernet 0/1 como ethernet 0/1.1 y ethernet 0/1.2 para la conexin interna de context1 y context2,
respectivamente.
Asigne la vlan para cada subinterfaz como vlan 2 para ethernet 0/0.1, vlan 3 para ethernet 0/1.1, vlan 4 para ethernet 0/0.2, vlan 5 para ethernet
0/1.2
Pasos para la Configuracin de Contexto Mltiple de ASA
:
!--- Interfaz outside para context1 y context2.
!--- Creacin de la subinterfaz en
!--- la interfaz outside para context1 y context2.
ciscoasa(config)# interface Ethernet0/0
ciscoasa(config-if)# no shutdown
!--- Interfaz interna para context1 y context2.
!--- Creacin de la subinterfaz en
!--- la interfaz inside para context1 y context2.
ciscoasa# sh run
ASA Version 8.0(2) <system>
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/0.1
vlan 2
!
interface Ethernet0/0.2
vlan 4
!
interface Ethernet0/1
!
interface Ethernet0/1.1
vlan 3
!
interface Ethernet0/1.2
vlan 5
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Management0/0
shutdown
!
class default
limit-resource All 0
limit-resource ASDM 5
limit-resource SSH 5
limit-resource Telnet 5
!
ftp mode passive
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0
admin-context admin
context admin
allocate-interface Ethernet0/2 outside
allocate-interface Ethernet0/3 inside
config-url disk0:/admin.cfg
!
context context1
allocate-interface Ethernet0/0.1 outside-context1
allocate-interface Ethernet0/1.1 inside-context1
config-url disk0:/context1.cfg
!
context context2
allocate-interface Ethernet0/0.2 outside-context2
allocate-interface Ethernet0/1.2 inside-context2
config-url disk0:/context2.cfg
!
prompt hostname context
Cryptochecksum:9e8bc648b240917631fa5716a007458f
: end
realizar tareas de configuracin y supervisin dentro de cada contexto. La configuracin que se est ejecutando y que usted modifica en un modo
de configuracin, o que se utiliza en los comandos copy o write depende de su ubicacin. Cuando usted est en el espacio de ejecucin del
sistema, la configuracin que se est ejecutando slo consta de la configuracin del sistema. Cuando usted est en un contexto, la configuracin
que se est ejecutando slo consta de ese contexto. Por ejemplo, no puede ver todas las configuraciones que se estn ejecutando (sistema ms
todos los contextos) cuando ingresa el comando show running-config. Slo se muestra la configuracin actual.
Para cambiar entre el espacio de ejecucin del sistema y un contexto, o entre contextos, consulte estos comandos:
Para cambiar a un contexto, ingrese el siguiente comando:
El prompt cambia a:
hostname/name#
El prompt cambia a:
hostname#
!--!--!--!---
!
passwd 2KFQnbNIdI.2KYOU encrypted
pager lines 24
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed
0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225
1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite
0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
De manera similar, configure el contexto de administracin para administrar el ASA y sus contextos desde la interfaz inside y outside.
Verificacin
Utilice esta seccin para confirmar que la configuracin funciona correctamente.
La herramienta Output Interpreter (slo para clientes registrados) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un anlisis de los
resultados de los comandos show.
show flash: Verificar que el archivo de configuracin del contexto est almacenado en la memoria Flash.
show mode: Verificar que el ASA est configurado como modo nico o como modo mltiple.
ciscoasa# sh flash
--#-- --length-- -----date/time-----71 14524416
Jul 23 2007 23:11:22
75 6889764
Jul 23 2007 23:32:16
2 4096
Jul 23 2007 23:51:36
6 4096
Jul 23 2007 23:51:48
76 2635734
Aug 12 2007 22:44:50
77 1841
Sep 20 2007 04:21:38
78 1220
Sep 20 2007 04:21:38
path
asa802-k8.bin
asdm-602.bin
log
crypto_archive
anyconnect-win-2.0.0343-k9.pkg
old_running.cfg
admin.cfg
ciscoasa/context2# sh mode
Security context mode: multiple
Troubleshooting
Restauracin del Modo de Contexto nico
Si realiza una conversin de modo mltiple a modo nico, es posible copiar primero una configuracin de inicio completa (si est disponible) en
el ASA; la configuracin del sistema heredada del modo mltiple no es una aplicacin completamente funcional para un dispositivo de modo
nico. Debido a que la configuracin del sistema no posee ninguna interfaz de red como parte de su configuracin, debe acceder al dispositivo de
seguridad desde la consola para realizar una copia.
Para copiar la configuracin anterior que se estaba ejecutando a la configuracin de inicio, y para cambiar el modo a modo nico, realice los
siguientes pasos en el espacio de configuracin del sistema:
1. Para copiar la versin de la copia de seguridad de la configuracin original que se estaba ejecutando a la configuracin de inicio actual,
ingrese el siguiente comando en el espacio de ejecucin del sistema:
2. Para configurar el modo a modo nico, ingrese este comando en el espacio de ejecucin del sistema:
El firewall se reinicia.