Cisco ASA [Chapter 13.1] Config Virtual Firewall Cisco ASA

root · 12/06/2014

I. Tạo Virtual Firewall Cisco ASA
1. Bước 1: Enable mode Multiple
- Lúc này ASA sẽ đưa ra các cảnh báo

Nó sẽ yêu cầu reboot lại
Các cấu hình cũ sẽ được lưu ở flash
Các cấu hình của admin context được lưu trong flash

- Điều này giúp cho bạn chuyển ngược lại từ Multiple mode sang single mode mà vẫn giữ nguyên cấu hình cũ của Single mode trước kia

Mã:

ASA(config)#mode multiple

ciscoasa(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash

Converting the configuration - this may take several minutes for a large configuration

The admin context configuration will be written to flash

The new running configuration file was written to flash
Security context mode: multiple

- Để kiểm tra bạn dùng lệnh “show mode”

ciscoasa# show mode
Security context mode: multiple

- Để chuyển về mode single bạn copy cấu hình cũ và gõ lênh “mode single”

ciscoasa(config)# copy disk0:/old_running.cfg startup-config

Source filename [old_running.cfg]?

Copy in progress...C
2121 bytes copied in 0.10 secs

ciscoasa(config)# mode single
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]

2. Tạo context trên Firewall Cisco ASA
- Vào mode config và gõ “context name” name là tên context mà bạn muốn đặt

ciscoasa(config)# context LAN1
Creating context 'LAN1'... Done. (2)
ciscoasa(config-ctx)# description Context for VLAN 1

- Để chuyển vào ASA ảo system để quản lý các context khác bạn dùng lệnh

ciscoasa(config)# changeto system

3. Chỉ ra interface nào thuộc context nào

Mã:

ciscoasa(config)# context VLAN1
ciscoasa(config-ctx)# allocate-interface GigabitEthernet1 VLAN1_outside
ciscoasa(config-ctx)# allocate-interface GigabitEthernet1 VLAN1_intside

4. Chỉ đường dẫn lưu file cấu hình của các context

Mã:

ciscoasa(config-ctx)# config-url disk0:/VLAN1.cfg

5. Thay đổi context admin

Mã:

ciscoasa(config)# admin-context VLAN1

- Show để biết admin context tên gì

ciscoasa(config)# show running-config | include admin-context
admin-context VLAN1

ciscoasa(config)# show admin-context
Admin: VLAN1 disk0:/LAN1.cfg

ciscoasa(config)# show context
Context Name Class Interfaces URL
admin default disk0:/admin.cfg
VLAN2 default (not entered)
VLAN3 default (not entered)
*VLAN1 default GigabitEthernet0, disk0:/LAN1.cfg
GigabitEthernet1

Total active Security Contexts: 4

6. Config context
- Chuyển vào context để thực hiện các cấu hình như: NAT, Routing, ACL ...

Mã:

ciscoasa(config)# changeto context VLAN1

- Để xóa context bạn dùng lệnh

ciscoasa(config)# no context LAN1
WARNING: Removing context 'LAN1'
Proceed with removing the context? [confirm]
Removing context 'LAN1' (2)... Done

- Để xóa file cấu hình context bạn dùng lệnh sau. Nó sẽ xóa toàn bộ các file cấu hình của các context

ciscoasa(config)# clear configure context
WARNING: Removing all contexts in the system
Proceed with removing the contexts? [confirm]
Removing context 'admin' (1)... Done
Removing context 'VLAN2' (3)... Done
Removing context 'VLAN1' (4)... Done

II. Resource management and Monitoring
1. Resource management
- Các tài nguyên mà bạn có thể thay đổi cho các context

Để cấu hình các bạn làm như sau
- Bước 1: Tạo ra class để quản lý resource.

Ví Dụ:
- giới hạn 2000 phiên NAT,
- 5 user kêt nối ASDM ,
- số kết nối là 5000…

Mã:

ciscoasa(config)# class Silver
ciscoasa(config-class)# limit-resource xlates 2000
ciscoasa(config-class)# limit-resource ASDM 5
ciscoasa(config-class)# limit-resource conns 5000

- Bước 2: Đưa context đó vào class

Mã:

ciscoasa(config)# context VLAN1
ciscoasa(config-ctx)# member Silver

2. Monitoring
- Show mode

ciscoasa(config)# show mode
Security context mode: multiple

- Show context

ciscoasa(config)# show context
Context Name Class Interfaces URL
*admin default disk0:/admin.cfg
VLAN1 Silver disk0:/VLAN1.cfg

Total active Security Contexts: 2

- Xem nơi lưu file config

ciscoasa(config)# show admin-context
Admin: admin disk0:/admin.cfg

- Xem CPU đang sử dụng cho từng context

ciscoasa(config)# show cpu usage context all
5 sec 1 min 5 min Context Name
1.4% 0.4% 0.3% system
0.0% 0.0% 0.0% admin
0.0% 0.0% 0.0% VLAN1

Cisco ASA [Chapter 13.1] Config Virtual Firewall Cisco ASA

root

Moderator