Cisco Firewall HA – KONTEKST ZABEZPIECZEŃ

Technologia: Firewalling

Obszar: High Availability

Vendor: Cisco

Software: Cisco Adaptive Security Appliance (ASA)

Platforma: Cisco ASA 5505, 5500, 5525

Opis

Kontekst zabezpieczeń to wirtualna instancja zapory sieciowej, która jest domyślnie oddzielona od siebie. Fizyczne urządzenie ASA jest podzielone na konteksty tworzące wiele wirtualnych zapór sieciowych. W typowych wdrożeniach konteksty są mapowane na sieci VLAN lub VRF na resztę sieci. W trybie kontekstowym możesz używać klas do przydzielania zasobów dla określonych kontekstów. Na przykład alokacja może ustawić domyślny limit klasy dla maksymalnych połączeń na 10 procent zamiast nieograniczonego i zezwolić na 5 tuneli VPN typu lokacja-lokacja, z czego 2 tunele będą dozwolone w przypadku serii VPN. Aby obsługiwać tryb wielokontekstowy, ASA musi być skonfigurowany jako wiele trybów.

Kod 

Aby zapewnić kontekst i klasę zapór sieciowych, wykorzystaj poniższe komendy

hostname(config)#mode mutliple
copy disk0:old_running.cfg startup-config

Przykład limitu klasy default dla połączeń do 10 procent i zezwolenia na 5 VPN typu site-to-site
hostname(config)# class default
hostname(config-class)# limit-resource conns 10%
hostname(config-class)# limit-resource vpn other 5
hostname(config-class)# limit-resource vpn burst other 2

Przykład limitu klasy gold dla połączeń do 15 procent i zezwolenia na 10 VPN typu site-to-site
hostname(config)# class gold
hostname(config-class)# limit-resource mac-addresses 10000
hostname(config-class)# limit-resource conns 15%
hostname(config-class)# limit-resource rate conns 1000
hostname(config-class)# limit-resource rate inspects 500
hostname(config-class)# limit-resource hosts 9000
hostname(config-class)# limit-resource asdm 5
hostname(config-class)# limit-resource ssh 5
hostname(config-class)# limit-resource rate syslogs 5000
hostname(config-class)# limit-resource telnet 5
hostname(config-class)# limit-resource xlates 36000
hostname(config-class)# limit-resource routes 5000
hostname(config-class)# limit-resource vpn other 10
hostname(config-class)# limit-resource vpn burst other 5

Aby stworzyć kontekst i przełączać się między kontekstami

hostname(config)# admin-context administrator
hostname(config)# context administrator
hostname(config-ctx)# allocate-interface gigabitethernet0/0.1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.1
hostname(config-ctx)# config-url disk0:/admin.cfg
hostname(config-ctx)# context customer1
hostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/customer1.cfg
hostname(config-ctx)# member gold
hostname(config-ctx)# context customer2
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.212 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235 int3-int8
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/customer2.cfg
hostname(config-ctx)# member silver

Zmiana kontekstów 
changeto context name
changeto system

Dodatkowe materiały:

Przegląd Firewalli Nastepnej Generacji

Cisco ASA Active Standby Failover Design