Technologia: Firewalling
Obszar: High Availability
Vendor: Cisco
Software: Cisco Adaptive Security Appliance (ASA)
Platforma: Cisco ASA 5505, 5500, 5525
Kontekst zabezpieczeń to wirtualna instancja zapory sieciowej, która jest domyślnie oddzielona od siebie. Fizyczne urządzenie ASA jest podzielone na konteksty tworzące wiele wirtualnych zapór sieciowych. W typowych wdrożeniach konteksty są mapowane na sieci VLAN lub VRF na resztę sieci. W trybie kontekstowym możesz używać klas do przydzielania zasobów dla określonych kontekstów. Na przykład alokacja może ustawić domyślny limit klasy dla maksymalnych połączeń na 10 procent zamiast nieograniczonego i zezwolić na 5 tuneli VPN typu lokacja-lokacja, z czego 2 tunele będą dozwolone w przypadku serii VPN. Aby obsługiwać tryb wielokontekstowy, ASA musi być skonfigurowany jako wiele trybów.
Aby zapewnić kontekst i klasę zapór sieciowych, wykorzystaj poniższe komendy
hostname(config)#mode mutliple
copy disk0:old_running.cfg startup-config
Przykład limitu klasy default dla połączeń do 10 procent i zezwolenia na 5 VPN typu site-to-site
hostname(config)# class default
hostname(config-class)# limit-resource conns 10%
hostname(config-class)# limit-resource vpn other 5
hostname(config-class)# limit-resource vpn burst other 2
Przykład limitu klasy gold dla połączeń do 15 procent i zezwolenia na 10 VPN typu site-to-site
hostname(config)# class gold
hostname(config-class)# limit-resource mac-addresses 10000
hostname(config-class)# limit-resource conns 15%
hostname(config-class)# limit-resource rate conns 1000
hostname(config-class)# limit-resource rate inspects 500
hostname(config-class)# limit-resource hosts 9000
hostname(config-class)# limit-resource asdm 5
hostname(config-class)# limit-resource ssh 5
hostname(config-class)# limit-resource rate syslogs 5000
hostname(config-class)# limit-resource telnet 5
hostname(config-class)# limit-resource xlates 36000
hostname(config-class)# limit-resource routes 5000
hostname(config-class)# limit-resource vpn other 10
hostname(config-class)# limit-resource vpn burst other 5
Aby stworzyć kontekst i przełączać się między kontekstami
hostname(config)# admin-context administrator
hostname(config)# context administrator
hostname(config-ctx)# allocate-interface gigabitethernet0/0.1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.1
hostname(config-ctx)# config-url disk0:/admin.cfg
hostname(config-ctx)# context customer1
hostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/customer1.cfg
hostname(config-ctx)# member gold
hostname(config-ctx)# context customer2
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.212 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235 int3-int8
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/customer2.cfg
hostname(config-ctx)# member silver
Zmiana kontekstów
changeto context name
changeto system
Przegląd Firewalli Nastepnej Generacji
Cisco ASA Active Standby Failover Design