PIX/ASA 7.x 以降：マルチコンテキストの設定例 - Cisco

PIX/ASA 7.x 以降：マルチコンテキストの設定例
目次
概要
前提条件
要件
使用するコンポーネント
関連製品
表記法
背景説明
コンテキストコンフィギュレーションファイル
セキュリティコンテキストへの管理アクセス
設定
ネットワークダイアグラム
マルチコンテキストモードのイネーブルまたはディセーブル
セキュリティコンテキストの設定
ASA 8.x：システム実行スペースのコンフィギュレーション
コンテキストとシステム実行スペースの変更
ASA：context1 コンフィギュレーション
ASA：context2 コンフィギュレーション
マルチコンテキストモードでコンフィギュレーション変更を保存する
確認
トラブルシューティング
シングルコンテキストモードの復元
マルチコンテキストモードで同一の IP アドレスを共有インターフェイスに割り当てる
コンテキストの名前を変更する
コンテキストを削除する
関連情報
概要
このドキュメントでは、セキュリティアプライアンスでマルチコンテキストを設定する場合に使用する手順について説明しま
す。
1 つのセキュリティアプライアンスは複数の仮想デバイスに分割できます。これをセキュリティコンテキストと呼びます。それ
ぞれのコンテキストは独立したデバイスであり、それぞれに独自のセキュリティポリシー、インターフェイスがあり、管理者が
います。マルチコンテキストは、複数のスタンドアロンデバイスに似ています。多くの機能がマルチコンテキストモードでサ
ポートされており、これには、ルーティングテーブル、ファイアウォール機能、IPS、管理が含まれています。VPN、ダイナミッ
クルーティングプロトコルなどのいくつかの機能はサポートされていません。
次のような状況で、マルチセキュリティコンテキストを使用できます。
サービスプロバイダーとして、多くの顧客にセキュリティサービスを販売しようとしている場合。マルチセキュリティ
コンテキストをセキュリティアプライアンスでイネーブルにすると、すべての顧客のトラフィックを独立させて安全を保ち
つつ設定を簡略化できる、コスト効率に優れた設置面積の小さなソリューションを実装できます。
大企業または大学のキャンパスで、それぞれの部門を完全に独立させようとしている場合。
企業で部門ごとに異なるセキュリティポリシーを適用しようとしている場合。
1 つ以上のセキュリティアプライアンスを必要とするネットワークがある場合。
注：マルチコンテキストモードで PIX/ASA ソフトウェアのアップグレードまたはダウングレードができるのは、System EXEC
モードだけであり、他のコンテキストモードではできません。
Firewall Service Module（FWSM; ファイアウォールサービスモジュール）でマルチコンテキストを設定するために使用する手
順の詳細は、『FWSM：マルチコンテキストの設定例』を参照してください。
Return to Top
前提条件
要件
このドキュメントに関する特別な要件はありません。
Return to Top
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
ソフトウェアバージョン 7.x 以降が稼動する Cisco 5500 シリーズ適応型セキュリティアプライアンス
注：マルチコンテキスト機能は、ASA 5505 シリーズ適応型セキュリティアプライアンスではサポートされていません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべて
のデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼動中である場合には、どのよう
な作業についても、その潜在的な影響について確実に理解しておく必要があります。
Return to Top
関連製品
この設定は、Cisco PIX 500 シリーズセキュリティアプライアンスバージョン 7 以降にも適用できます。
Return to Top
表記法
ドキュメント表記の詳細は、『シスコテクニカルティップスの表記法』を参照してください。
Return to Top
背景説明
コンテキストコンフィギュレーションファイル
コンテキストコンフィギュレーション
セキュリティアプライアンスにはそれぞれのコンテキスト用のコンフィギュレーションがあり、それによって、セキュリティポ
リシー、インターフェイス、およびスタンドアロンデバイスに設定できるほぼすべてのオプションが識別されます。コンテキス
トコンフィギュレーションは、内部のフラッシュメモリまたは外部のフラッシュメモリカードに格納することも、TFTP、
FTP、または HTTP（S）サーバからダウンロードすることもできます。
システムコンフィギュレーション
システム管理者は、各コンテキストコンフィギュレーションの場所、割り当てられたインターフェイス、およびシングルモード
コンフィギュレーションのようなスタートアップコンフィギュレーションであるシステムコンフィギュレーション内の他のコン
テキスト動作パラメータのコンフィギュレーションによって、コンテキストの追加と管理を行います。システムコンフィギュレ
ーションは、セキュリティアプライアンスの基本設定を識別します。システムコンフィギュレーションには、ネットワークイ
ンターフェイスやそれ自体のネットワーク設定は含まれません。それよりも、システムがネットワークリソースにアクセスする
ことが必要な場合（サーバからのコンテキストダウンロードなど）、管理コンテキストとして指定されるコンテキストの 1 つを
使用します。システムコンフィギュレーションには、フェールオーバートラフィックだけに特化されたフェールオーバーイン
ターフェイスが含まれています。
管理コンテキストコンフィギュレーション
管理コンテキストは他のコンテキストとまったく同じですが、唯一異なるのは、ユーザが管理コンテキストにログインすると、ユ
ーザはシステム管理者権限を持ち、システムと他のすべてのコンテキストにアクセスできるようになることです。管理コンテキス
トはまったく制限を受けず、通常のコンテキストと同様に使用できますが、管理コンテキストにログインするとすべてのコンテキ
ストに対する管理者特権が付与されるので、管理コンテキストへのアクセスは適切なユーザに制限する必要があります。管理コン
テキストは、フラッシュメモリ上に存在する必要があり、リモートに存在することはできません。
システムがすでにマルチコンテキストモードになっている場合、またはシングルモードから変換する場合、管理コンテキスト
が admin.cfg という内部フラッシュメモリ内のファイルとして自動的に作成されます。このコンテキストが「admin.（管理）」
という名前になります。管理コンテキストとして admin.cfg を使用したくない場合は、管理コンテキストを変更できます。
注：管理コンテキストはコンテキストライセンスにはカウントされません。たとえば、2 つのコンテキスト用のライセンスを取
得している場合、管理コンテキストと他の 2 つのコンテキストを持つことが許可されます。
Return to Top
セキュリティコンテキストへの管理アクセス
セキュリティアプライアンスは、個別のコンテキスト管理者向けのアクセスに加えて、マルチコンテキストモードでシステム
管理者アクセスを提供します。以降のセクションでは、システム管理者として、またはコンテキスト管理者としてログインするこ
とについて説明します。
システム管理者のアクセス
セキュリティアプライアンスには、次の 2 つの方法でシステム管理者としてアクセスできます。
セキュリティアプライアンスコンソールにアクセスする。
コンソールから、システム実行スペースにアクセスします。
Telnet、SSH、または ASDM で管理コンテキストにアクセスする。
Telnet、SSH、および ASDM アクセスをイネーブルにする方法の詳細は、「システムアクセスの管理」を参照してくださ
い。
システム管理者は、すべてのコンテキストにアクセスできます。
管理またはシステムコンテキストから特定のコンテキストに変更すると、ユーザ名がデフォルトの「enable_15」ユーザ名に変更
されます。そのコンテキストでコマンド認可を設定した場合、「enable_15」ユーザ向けに認可特権を設定する必要があり、ま
た、そのコンテキスト用のコマンド認可コンフィギュレーションに十分な特権を持つ別のユーザ名でログインすることもできま
す。あるユーザ名でログインするには、ログインコマンドを入力します。たとえば、ユーザ名「admin」で管理コンテキストにロ
グインします。管理コンテキストにはコマンド認可コンフィギュレーションはありませんが、他のすべてのコンテキストにはコマ
ンド認可が含まれています。便宜上、それぞれのコンテキストコンフィギュレーションには、最大の特権を持つ「admin」ユーザ
が含まれています。管理コンテキストをコンテキスト A に変更すると、ユーザ名が変更されるので、ログインコマンドでもう一
度「admin」としてログインする必要があります。コンテキスト B に変更したときにも、ログインコマンドを入力して「admin」
としてログインする必要があります。
システム実行スペースは AAA コマンドをサポートしませんが、個別のログインを提供するためのローカルデータベースのユーザ
名と同様、それ自体のイネーブルパスワードを設定できます。
コンテキスト管理者アクセス
コンテキストには Telnet、SSH、ASDM のいずれかでアクセスできます。管理コンテキスト以外にログインした場合、アクセスで
きるのはそのコンテキスト用のコンフィギュレーションだけです。コンテキストには個別のログインを提供できます。
Return to Top
設定
このセクションでは、このドキュメントで説明する機能の設定に必要な情報を提供します。
注：このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool（登録ユーザ専用）を使用してください。
Return to Top
ネットワークダイアグラム
このドキュメントでは、次のネットワーク構成を使用しています。
注：ASA インターフェイスがサブインターフェイスに分割されると複数の VLAN トラフィックが ASA を通過する必要があるの
で、ASA に接続されているスイッチ上のポートはトランクモードになっている必要があります。
Return to Top
マルチコンテキストモードのイネーブルまたはディセーブル
使用しているセキュリティアプライアンスは、シスコに注文した方法に従って複数のセキュリティコンテキスト用にすでに設定
されていると考えられますが、アップグレードした場合に、シングルモードからマルチモードへの変換が必要になることがあり
ます。このセクションでは、アップグレードの手順を説明します。ASDM はモードの変更をサポートしていないので、CLI でモー
ドを変更する必要があります。
シングルモードからマルチモードに変換すると、セキュリティアプライアンスで実行コンフィギュレーションが 2 つのファイ
ルに変換されます。オリジナルのスタートアップコンフィギュレーションは保存されないので、それが実行コンフィギュレーシ
ョンとは異なる場合には、先に進む前にバックアップを取る必要があります。
マルチコンテキストモードのイネーブル
コンテキストモード（シングルまたはマルチ）は、リブート後に持続するとしても、コンフィギュレーションファイルには格納
されません。コンフィギュレーションを別のデバイスにコピーする必要がある場合、新しいデバイスでモードを設定して、モード
コマンドに一致させるようにします。
シングルモードからマルチモードに変換すると、セキュリティアプライアンスは実行コンフィギュレーションを次の 2 つのフ
ァイルに変換します。1 つはシステムコンフィギュレーションを構成する新しいスタートアップコンフィギュレーションであ
り、もう 1 つは管理コンテキストを（内部フラッシュメモリのルートディレクトリに）構成する admin.cfg です。オリジナル
の実行コンフィギュレーションは old_running.cfg という名前で（内部フラッシュメモリのルートディレクトリに）保存され
ます。オリジナルのスタートアップコンフィギュレーションは保存されません。セキュリティアプライアンスは、システムコ
ンフィギュレーションに管理コンテキスト用のエントリを「admin」とうい名前で自動的に追加します。
マルチモードをイネーブルにするには、次のコマンドを入力します。
hostname(config)# mode multiple
システムアプライアンスをリブートするようにプロンプトが表示されます。
CiscoASA(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash
The admin context configuration will be written to flash
The new running configuration file was written to flash
Security context mode: multiple
***
*** --- SHUTDOWN NOW --***
*** Message to all terminals:
***
*** change mode
Rebooting....
Booting system, please wait...
*
*
!--- 出力を省略
*
*
INFO: Admin context is required to get the interfaces
*** Output from config line 20, "arp timeout 14400"
Creating context 'admin'... Done. (1)
*** Output from config line 23, "admin-context admin"
Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a
*** Output from config line 25, "
config-url flash:/admi..."
Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061c
Type help or '?' for a list of available commands.
CiscoASA>
リブート後は、次が ASA のデフォルトコンフィギュレーションになります。
ASA 8.x デフォルトコンフィギュレーション
CiscoASA# show running-config
: Saved
:
ASA Version 8.0(2) <system>
!
hostname CiscoASA
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0/0
shutdown
!
interface Ethernet0/1
shutdown
!
interface Ethernet0/2
shutdown
!
interface Ethernet0/3
shutdown
!
interface Management0/0
shutdown
!
class default
limit-resource All 0
limit-resource ASDM 5
limit-resource SSH 5
limit-resource Telnet 5
!
ftp mode passive
pager lines 24
no failover
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
console timeout 0
admin-context admin
context admin
config-url disk0:/admin.cfg
!
!--- マルチモードをイネーブル
!--- にすると、デフォルトで
!--- 管理コンテキストが作成されます
prompt hostname context
Cryptochecksum:410be16e875b7302990a831a5d91aefd
: end
Return to Top
セキュリティコンテキストの設定
システムコンフィギュレーション内のセキュリティコンテキスト定義は、コンテキスト名、コンフィギュレーションファイル
URL、およびコンテキストが使用できるインターフェイスを識別します。
注：管理コンテキストがない場合（コンフィギュレーションをクリアした場合など）、次のコマンドを入力するときに、最初に管
理コンテキスト名を指定する必要があります。
hostname(config)# admin-context <name>
注：このコンテキスト名はコンフィギュレーション内にはまだ存在していませんが、その後にコンテキスト名コマンドを入力し
て、指定名を一致させることで、管理コンテキストのコンフィギュレーションを継続できます。
システムコンフィギュレーションでコンテキストを追加または変更するには、次の手順を実行します。
1. コンテキストの追加または変更を行うには、システム実行スペースで次のコマンドを入力します。
hostname(config)# context <name>
名前は 32 文字以内の文字列です。この名前は大文字と小文字を区別するので、たとえば、「customerA」と「CustomerA」
という名前の 2 つのコンテキストが共存できます。文字、数字、ハイフンを使用できますが、ハイフンは名前の先頭または
最後には使用できません。
「System」と「Null」（大文字と小文字の両方）は予約名なので使用できません。
2. （オプション）このコンテキストに説明を追加するには、次のコマンドを入力します。
hostname(config-ctx)# description text
3. コンテキスト内で使用できるインターフェイスを指定するには、物理インターフェイスまたは 1 つ以上のサブインターフェ
イスに適切なコマンドを入力します。
物理インターフェイスを割り当てるには、次のコマンドを入力します。
hostname(config-ctx)# allocate-interface
<physical_interface> [mapped_name]
[visible | invisible]
1 つ以上のサブインターフェイスを割り当てるには、次のコマンドを入力します。
hostname(config-ctx)# allocate-interface
<physical_interface.subinterface[-physical_interface.subinterface]>
[mapped_name[-mapped_name]] [visible | invisible]
これらのコマンドを複数回入力してさまざまな範囲を指定できます。このコマンドの no 形式を使用して割り当てを削
除した場合、このインターフェイスを含むコンテキストコマンドが実行コンフィギュレーションから削除されます。
4. システムがコンテキストコンフィギュレーションをダウンロードする URL を識別するには、次のコマンドを入力します。
hostname(config-ctx)# config-url url
注：allocate-interface コマンドを入力してから config-url コマンドを入力してください。セキュリティアプライアン
スは、コンテキストコンフィギュレーションをロードする前にコンテキストにインターフェイスを割り当てる必要がありま
す。コンテキストコンフィギュレーションには、インターフェイスを参照するコマンド（interface、nat、global...）を
含めることができます。先に config-url コマンドを入力する場合、セキュリティアプライアンスは即座にコンテキスト
コンフィギュレーションをロードします。そのコンテキストがインターフェイスを参照するコマンドを含んでいる場合、そ
れらのコマンドは失敗します。
このシナリオでは、テーブル内にある手順に従ってマルチコンテキストを設定します。
2 件の顧客、顧客 A と顧客 B があるとします。3 つのマルチコンテキスト（実質的には 3 つの ASA）を、顧客 A 用の
Context1、顧客 B 用の Context2、および ASA コンテキストを管理するための管理コンテキストというように、単一の ASA ボッ
クスに作成します。
Inside 接続および Outside 接続の各コンテキスト用に、2 つのサブインターフェイスを作成します。各サブインターフェイス用
に異なる VLAN を割り当てます
イーサネット 0/0 に 2 つのサブインターフェイス（ethernet 0/0.1 および ethernet 0/0.2）を、それぞれ context1 および
context2 の Outside 接続用として作成します。同様に、ethernet 0/1 に 2 つのサブインターフェイスである ethernet 0/1.1
および ethernet 0/1.2 を、context1 および context2 の Inside 接続用としてそれぞれ作成します。
ethernet 0/0.1 用に vlan 2、ethernet 0/1.1 用に vlan3、ethernet 0/0.2 用に vlan 4、ethernet 0/1.2 用に vlan5 という
ように、各サブインターフェイス用に vlan を割り当てます。
ASA マルチコンテキストコンフィギュレーションの手順
:
!--- context1 および context2 用の Outside インターフェイス。
!--- context1 および context2 用の
!--- Outside インターフェイスにサブインターフェイスを作成します。
ciscoasa(config)# interface Ethernet0/0
ciscoasa(config-if)# no shutdown
!--- context1 および context2 用の Inside インターフェイス。
!--- context1 および context2 用の
!--- Inside インターフェイスにサブインターフェイスを作成します。
ciscoasa(config)# interface Ethernet0/1
ciscoasa(config-if)# no shutdown
!--- telnet または SSH を使用して
!--- Outside ネットワークから ASA をアクセスするための
!--- 管理コンテキスト用の Outside インターフェイス。
ciscoasa(config-if)# interface Ethernet0/2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 6
!--- telnet または SSH を使用して
!--- Inside ネットワークから ASA にアクセスするための
!--- 管理コンテキスト用の Inside インターフェイス。
ciscoasa(config-if)# interface Ethernet0/3
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 7
!--- Context1 Outside サブインターフェイス
ciscoasa(config-subif)# interface Ethernet0/0.1
ciscoasa(config-subif)# vlan 2
!--- !--- Context1 Inside サブインターフェイス
ciscoasa(config-subif)# interface ethernet 0/1.1
ciscoasa(config-subif)# vlan 3
!--- !--- Context2 Outside サブインターフェイス
ciscoasa(config-subif)# interface ethernet 0/0.2
ciscoasa(config-subif)# vlan 4
!--- !--- Context2 Inside サブインターフェイス
ciscoasa(config-subif)# interface ethernet 0/1.2
ciscoasa(config-subif)# vlan 5
!--- Context1 としての顧客 A コンテキスト
ciscoasa(config)# context context1
Creating context 'context1'... Done. (3)
ciscoasa(config-ctx)# allocate-interface
Ethernet0/0.1 outside-context1
ciscoasa(config-ctx)# allocate-interface
Ethernet0/1.1 inside-context1
!--- context1 用に使用される
!--- インターフェイスを指定するには
ciscoasa(config-ctx)# config-url disk0:/context1.cfg
!--- システムがコンテキストコンフィギュレーションを
!--- ダウンロードする URL を指定するには
ciscoasa(config-ctx)# exit
!--- Context2 としての顧客 B コンテキスト
ciscoasa(config)# context context2
Creating context 'context2'... Done. (3)
ciscoasa(config-ctx)# allocate-interface
Ethernet0/0.2 outside-context2
ciscoasa(config-ctx)# allocate-interface
Ethernet0/1.2 inside-context2
ciscoasa(config-ctx)# config-url
disk0:/context2.cfg
ciscoasa(config)# context admin
ciscoasa(config-ctx)# allocate-interface Ethernet0/2 outside
ciscoasa(config-ctx)# allocate-interface Ethernet0/3 inside
Return to Top
ASA 8.x：システム実行スペースのコンフィギュレーション
ASA 8.x：システム実行スペースのコンフィギュレーション
ciscoasa# sh run
ASA Version 8.0(2) <system>
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/0.1
vlan 2
!
interface Ethernet0/0.2
vlan 4
!
interface Ethernet0/1
!
interface Ethernet0/1.1
vlan 3
!
interface Ethernet0/1.2
vlan 5
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Management0/0
shutdown
!
class default
limit-resource All 0
limit-resource ASDM 5
limit-resource SSH 5
limit-resource Telnet 5
!
ftp mode passive
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0
admin-context admin
context admin
allocate-interface Ethernet0/2 outside
allocate-interface Ethernet0/3 inside
config-url disk0:/admin.cfg
!
context context1
allocate-interface Ethernet0/0.1 outside-context1
allocate-interface Ethernet0/1.1 inside-context1
config-url disk0:/context1.cfg
!
context context2
allocate-interface Ethernet0/0.2 outside-context2
allocate-interface Ethernet0/1.2 inside-context2
config-url disk0:/context2.cfg
!
prompt hostname context
Cryptochecksum:9e8bc648b240917631fa5716a007458f
: end
Return to Top
コンテキストとシステム実行スペースの変更
システム実行スペース（または、Telnet または SSH での管理コンテキスト）にログインする場合、各コンテキスト内でコンフィ
ギュレーションの実行とタスクの監視を行うのと同様、コンテキストを変更できます。コンフィギュレーションモードで編集す
る、またはコピーや書き込みのコマンドで使用される実行コンフィギュレーションは、ロケーションに依存します。システム実行
スペース内にいるとき、実行コンフィギュレーションは、システムコンフィギュレーションだけで構成されます。コンテキスト
内にいるとき、実行コンフィギュレーションは、そのコンテキストだけで構成されます。たとえば、show running-config コマン
ドを入力するときには、すべての実行コンフィギュレーション（システムとすべてのコンテキスト）を表示できません。現在のコ
ンフィギュレーションだけが表示されます。
システム実行スペースとコンテキストの間で変更する、または、コンテキストの間を変更するには、次のコマンドを確認してくだ
さい。
特定のコンテキストに変更するには、次のコマンドを入力します。
hostname# changeto context <context name>
プロンプトは次のように変わります。
hostname/name#
システム実行スペースに変えるには、次のコマンドを入力します。
hostname/admin# changeto system
プロンプトは次のように変わります。
hostname#
Return to Top
ASA：context1 コンフィギュレーション
context1 を設定するには、context1 に変更して、次の手順に従います。
!--!--!--!---
システム実行スペースから、
次のコマンドを入力します。
「changeto context context1
to configure the context1 configuration」
ciscoasa(config)# changeto context context1
ciscoasa/context1(config)#
ASA 8.x：Context1 デフォルトコンフィギュレーション
ciscoasa/context1(config)# show run
!--- context1 のデフォルトコンフィギュレーション
ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-contex1
no nameif
no security-level
no ip address
!
interface inside-contex1
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
pager lines 24
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed
0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225
1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite
0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect
inspect
inspect
inspect
inspect
inspect
esmtp
sqlnet
sunrpc
tftp
sip
xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
インターネット接続用の顧客 A コンフィギュレーション
ASA 8.x：Context1 のコンフィギュレーション
!--- 顧客 A 用に Context1 を設定する
ciscoasa/context1# conf t
ciscoasa/context1(config)# int outside-context1
ciscoasa/context1(config-if)# ip add 10.1.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa/context1(config-if)# int inside-context1
ciscoasa/context1(config-if)# ip add 172.16.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa/context1(config-if)# exit
ciscoasa/context1(config)# access-list outbound permit ip any any
ciscoasa/context1(config)# nat (inside-context1) 1 access-list outbound
ciscoasa/context1(config)# global (outside-context1) 1 interface
INFO: outside interface address added to PAT pool
ciscoasa/context1(config)# route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2
ciscoasa/context1(config)# exit
ASA 8.x：Context1 コンフィギュレーション
ciscoasa/context1(config)# show run
ciscoasa/context1# sh run
: Saved
:
ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-context1
nameif outside
security-level 0
ip address 10.1.1.1 255.255.255.0
!
interface inside-context1
nameif inside
security-level 100
ip address 172.16.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside-context1) 1 interface
nat (inside-context1) 1 access-list outbound
route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2 1
!--- 出力を省略
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
ciscoasa/context1#
Return to Top
ASA：context2 コンフィギュレーション
インターネット接続用の顧客 B コンフィギュレーション
context2 を設定するために、context1 から context2 に変更します。
!--- システム実行スペースから、次のコマンドを入力します。
!--- 「changeto context context2
!--- to configure the context2 configuration」
ciscoasa/context1(config)# changeto context context2
ciscoasa/context2(config)#
ASA 8.x：Context2 コンフィギュレーション
ciscoasa/context2(config)# show run
ASA Version 8.0(2) <context>
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside-context2
nameif inside
security-level 100
ip address 172.17.1.1 255.255.255.0
!
interface outside-context2
nameif outside
security-level 0
ip address 10.2.2.1 255.255.255.0
!
!--- 出力を省略
!
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside-context2) 1 interface
nat (inside-context2) 1 access-list outbound
route outside-context2 0.0.0.0 0.0.0.0 10.2.2.2 1
!--- 出力を省略
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
同様に、ASA とそのコンテキストを Inside および Outside インターフェイスから管理するために管理コンテキストを設定しま
す。
Return to Top
マルチコンテキストモードでコンフィギュレーション変更を保存する
それぞれのコンテキスト（およびシステム）コンフィギュレーションは別々に保存することも、すべてのコンテキストコンフィ
ギュレーションを同時に保存することもできます。このセクションでは、次の項目について説明します。
各コンテキストとシステムを別々に保存する
システムまたはコンテキストのコンフィギュレーションを保存するには、システムまたはコンテキスト内で次のコマンドを入力し
ます。
hostname# write memory
注：copy running-config startup-config コマンドは write memory コマンドと同じです。
マルチコンテキストモードの場合、コンテキストスタートアップコンフィギュレーションを外部サーバ上に存在させることが
できます。この場合、セキュリティアプライアンスはコンテキスト URL で識別したサーバに戻ってコンフィギュレーションを保
存します。このとき、サーバにコンフィギュレーションの保存を許可しない HTTP または HTTPS URL は除きます。
すべてのコンテキストコンフィギュレーションを同時に保存する
システムコンフィギュレーションと同様、すべてのコンテキストコンフィギュレーションを同時に保存するには、システム実行
スペースで次のコマンドを入力します。
hostname# write memory all [/noconfirm]
/noconfirm キーワードを入力しない場合、次のコマンドが表示されます。
Are you sure [Y/N]:
Return to Top
確認
このセクションでは、設定が正常に動作していることを確認します。
特定の show コマンドが、アウトプットインタープリタ（登録ユーザ専用）（OIT）でサポートされています。OIT を使用して、show
コマンド出力の解析を表示できます。
show flash：コンテキストコンフィギュレーションファイルがフラッシュに格納されることを確認します。
show mode：ASA がシングルモードまたはマルチモードで設定されていることを確認します。
ciscoasa# sh flash
--#-- --length-- -----date/time-----71 14524416
Jul 23 2007 23:11:22
75 6889764
Jul 23 2007 23:32:16
2 4096
Jul 23 2007 23:51:36
6 4096
Jul 23 2007 23:51:48
76 2635734
Aug 12 2007 22:44:50
77 1841
Sep 20 2007 04:21:38
78 1220
Sep 20 2007 04:21:38
path
asa802-k8.bin
asdm-602.bin
log
crypto_archive
anyconnect-win-2.0.0343-k9.pkg
old_running.cfg
admin.cfg
ciscoasa/context2# sh mode
Security context mode: multiple
Return to Top
トラブルシューティング
シングルコンテキストモードの復元
マルチモードからシングルモードに変換する場合、最初にスタートアップコンフィギュレーションをすべて（可能な場合）セ
キュリティアプライアンスにコピーすることが可能です。マルチモードから継承したシステムコンフィギュレーションは、シ
ングルモードデバイスの場合は完全に機能するコンフィギュレーションではありません。システムコンフィギュレーションは
そのコンフィギュレーションの一部としてネットワークインターフェイスを持たないので、コピーを実行するにはコンソールか
らセキュリティアプライアンスにアクセスする必要があります。
以前の実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーして、モードをシングルモードに変更す
るには、システム実行スペースで次の手順を実行します。
1. オリジナルの実行コンフィギュレーションのバックアップバージョンを現在のスタートアップコンフィギュレーションに
コピーするには、システム実行スペースで次のコマンドを入力します。
hostname(config)# copy flash:old_running.cfg startup-config
2. モードをシングルモードに設定するには、システム実行スペースで次のコマンドを入力します。
hostname(config)# mode single
セキュリティアプライアンスがリブートします。
Return to Top
マルチコンテキストモードで同一の IP アドレスを共有インターフェイスに割り当てる
同一の IP アドレスを別のコンテキスト内の共有インターフェイスに割り当てることができます。これは可能ではありますが、示
されているように、トラフィックをコンテキスト内に分類するには、独立した MAC アドレスをこのインターフェイス用に割り当
てる必要があります。
注：管理者が手動の方法では MAC アドレスを割り当てたくないと思っている場合は、mac-address auto コマンドを使用できま
す。このコマンドは、サブインターフェイスを含めたすべてのインターフェイスに MAC アドレスを自動的に割り当てます。
<system context configuration>
interface Ethernet0
!
interface Ethernet0.1
vlan 2
!
interface Ethernet0.2
vlan 3
!
<context1 configuration>
!
interface Ethernet0.1
mac-address 0000.0707.0000
!--- MAC アドレスは一意である必要があります
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
<context2 configuration>
!
interface Ethernet0.2
mac-address 0000.0808.0000
!--- MAC アドレスは一意である必要があります
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
Return to Top
コンテキストの名前を変更する
マルチコンテキストモードでは、コンフィギュレーションを変更せずにコンテキストの名前を変更することはサポートされてい
ません。
ファイアウォールコンフィギュレーションとしてコンフィギュレーションを保存することはできますが、新しいコンテキスト名
にコンフィギュレーション全体をコピーして、古いコンテキストコンフィギュレーションを削除する必要があります。
Return to Top
コンテキストを削除する
システムスペースから、このコマンドを発行してコンテキストを削除します。
no context contA
また、コンテキスト向けの対応するコンフィギュレーションファイルを必ず削除します。
dir disk:
delete disk:/contA.cfg
Return to Top
関連情報
Cisco ASA 5500 シリーズセキュリティアプライアンス（英語）
Cisco PIX 500 シリーズセキュリティアプライアンス（英語）
PIX/ASA：セキュリティコンテキストの追加と管理（英語）
PIX/ASA：セキュリティコンテキストにおけるパケットの分類（英語）
テクニカルサポートとドキュメント：シスコシステムズ

Download Report