PIX/ASA 7.x 以降:マルチ コンテキストの設定例 - Cisco

PIX/ASA 7.x 以降:マルチ コンテキストの設定例
目次
概要
前提条件
要件
使用するコンポーネント
関連製品
表記法
背景説明
コンテキスト コンフィギュレーション ファイル
セキュリティ コンテキストへの管理アクセス
設定
ネットワーク ダイアグラム
マルチ コンテキスト モードのイネーブルまたはディセーブル
セキュリティ コンテキストの設定
ASA 8.x:システム実行スペースのコンフィギュレーション
コンテキストとシステム実行スペースの変更
ASA:context1 コンフィギュレーション
ASA:context2 コンフィギュレーション
マルチ コンテキスト モードでコンフィギュレーション変更を保存する
確認
トラブルシューティング
シングル コンテキスト モードの復元
マルチ コンテキスト モードで同一の IP アドレスを共有インターフェイスに割り当てる
コンテキストの名前を変更する
コンテキストを削除する
関連情報
概要
このドキュメントでは、セキュリティ アプライアンスでマルチ コンテキストを設定する場合に使用する手順について説明しま
す。
1 つのセキュリティ アプライアンスは複数の仮想デバイスに分割できます。これをセキュリティ コンテキストと呼びます。それ
ぞれのコンテキストは独立したデバイスであり、それぞれに独自のセキュリティ ポリシー、インターフェイスがあり、管理者が
います。マルチ コンテキストは、複数のスタンドアロン デバイスに似ています。多くの機能がマルチ コンテキスト モードでサ
ポートされており、これには、ルーティング テーブル、ファイアウォール機能、IPS、管理が含まれています。VPN、ダイナミッ
ク ルーティング プロトコルなどのいくつかの機能はサポートされていません。
次のような状況で、マルチ セキュリティ コンテキストを使用できます。
サービス プロバイダーとして、多くの顧客にセキュリティ サービスを販売しようとしている場合。マルチ セキュリティ
コンテキストをセキュリティ アプライアンスでイネーブルにすると、すべての顧客のトラフィックを独立させて安全を保ち
つつ設定を簡略化できる、コスト効率に優れた設置面積の小さなソリューションを実装できます。
大企業または大学のキャンパスで、それぞれの部門を完全に独立させようとしている場合。
企業で部門ごとに異なるセキュリティ ポリシーを適用しようとしている場合。
1 つ以上のセキュリティ アプライアンスを必要とするネットワークがある場合。
注:マルチ コンテキスト モードで PIX/ASA ソフトウェアのアップグレードまたはダウングレードができるのは、System EXEC
モードだけであり、他のコンテキスト モードではできません。
Firewall Service Module(FWSM; ファイアウォール サービス モジュール)でマルチ コンテキストを設定するために使用する手
順の詳細は、『FWSM:マルチ コンテキストの設定例』を参照してください。
Return to Top
前提条件
要件
このドキュメントに関する特別な要件はありません。
Return to Top
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
ソフトウェア バージョン 7.x 以降が稼動する Cisco 5500 シリーズ適応型セキュリティ アプライアンス
注:マルチ コンテキスト機能は、ASA 5505 シリーズ適応型セキュリティ アプライアンスではサポートされていません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべて
のデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼動中である場合には、どのよう
な作業についても、その潜在的な影響について確実に理解しておく必要があります。
Return to Top
関連製品
この設定は、Cisco PIX 500 シリーズ セキュリティ アプライアンス バージョン 7 以降にも適用できます。
Return to Top
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
Return to Top
背景説明
コンテキスト コンフィギュレーション ファイル
コンテキスト コンフィギュレーション
セキュリティ アプライアンスにはそれぞれのコンテキスト用のコンフィギュレーションがあり、それによって、セキュリティ ポ
リシー、インターフェイス、およびスタンドアロン デバイスに設定できるほぼすべてのオプションが識別されます。コンテキス
ト コンフィギュレーションは、内部のフラッシュ メモリまたは外部のフラッシュ メモリ カードに格納することも、TFTP、
FTP、または HTTP(S)サーバからダウンロードすることもできます。
システム コンフィギュレーション
システム管理者は、各コンテキスト コンフィギュレーションの場所、割り当てられたインターフェイス、およびシングル モード
コンフィギュレーションのようなスタートアップ コンフィギュレーションであるシステム コンフィギュレーション内の他のコン
テキスト動作パラメータのコンフィギュレーションによって、コンテキストの追加と管理を行います。システム コンフィギュレ
ーションは、セキュリティ アプライアンスの基本設定を識別します。システム コンフィギュレーションには、ネットワーク イ
ンターフェイスやそれ自体のネットワーク設定は含まれません。それよりも、システムがネットワーク リソースにアクセスする
ことが必要な場合(サーバからのコンテキスト ダウンロードなど)、管理コンテキストとして指定されるコンテキストの 1 つを
使用します。システム コンフィギュレーションには、フェールオーバー トラフィックだけに特化されたフェールオーバー イン
ターフェイスが含まれています。
管理コンテキスト コンフィギュレーション
管理コンテキストは他のコンテキストとまったく同じですが、唯一異なるのは、ユーザが管理コンテキストにログインすると、ユ
ーザはシステム管理者権限を持ち、システムと他のすべてのコンテキストにアクセスできるようになることです。管理コンテキス
トはまったく制限を受けず、通常のコンテキストと同様に使用できますが、管理コンテキストにログインするとすべてのコンテキ
ストに対する管理者特権が付与されるので、管理コンテキストへのアクセスは適切なユーザに制限する必要があります。管理コン
テキストは、フラッシュ メモリ上に存在する必要があり、リモートに存在することはできません。
システムがすでにマルチ コンテキスト モードになっている場合、またはシングル モードから変換する場合、管理コンテキスト
が admin.cfg という内部フラッシュ メモリ内のファイルとして自動的に作成されます。このコンテキストが「admin.(管理)」
という名前になります。管理コンテキストとして admin.cfg を使用したくない場合は、管理コンテキストを変更できます。
注:管理コンテキストはコンテキスト ライセンスにはカウントされません。たとえば、2 つのコンテキスト用のライセンスを取
得している場合、管理コンテキストと他の 2 つのコンテキストを持つことが許可されます。
Return to Top
セキュリティ コンテキストへの管理アクセス
セキュリティ アプライアンスは、個別のコンテキスト管理者向けのアクセスに加えて、マルチ コンテキスト モードでシステム
管理者アクセスを提供します。以降のセクションでは、システム管理者として、またはコンテキスト管理者としてログインするこ
とについて説明します。
システム管理者のアクセス
セキュリティ アプライアンスには、次の 2 つの方法でシステム管理者としてアクセスできます。
セキュリティ アプライアンス コンソールにアクセスする。
コンソールから、システム実行スペースにアクセスします。
Telnet、SSH、または ASDM で管理コンテキストにアクセスする。
Telnet、SSH、および ASDM アクセスをイネーブルにする方法の詳細は、「システム アクセスの管理」を参照してくださ
い。
システム管理者は、すべてのコンテキストにアクセスできます。
管理またはシステム コンテキストから特定のコンテキストに変更すると、ユーザ名がデフォルトの「enable_15」ユーザ名に変更
されます。そのコンテキストでコマンド認可を設定した場合、「enable_15」ユーザ向けに認可特権を設定する必要があり、ま
た、そのコンテキスト用のコマンド認可コンフィギュレーションに十分な特権を持つ別のユーザ名でログインすることもできま
す。あるユーザ名でログインするには、ログイン コマンドを入力します。たとえば、ユーザ名「admin」で管理コンテキストにロ
グインします。管理コンテキストにはコマンド認可コンフィギュレーションはありませんが、他のすべてのコンテキストにはコマ
ンド認可が含まれています。便宜上、それぞれのコンテキスト コンフィギュレーションには、最大の特権を持つ「admin」ユーザ
が含まれています。管理コンテキストをコンテキスト A に変更すると、ユーザ名が変更されるので、ログイン コマンドでもう一
度「admin」としてログインする必要があります。コンテキスト B に変更したときにも、ログイン コマンドを入力して「admin」
としてログインする必要があります。
システム実行スペースは AAA コマンドをサポートしませんが、個別のログインを提供するためのローカル データベースのユーザ
名と同様、それ自体のイネーブル パスワードを設定できます。
コンテキスト管理者アクセス
コンテキストには Telnet、SSH、ASDM のいずれかでアクセスできます。管理コンテキスト以外にログインした場合、アクセスで
きるのはそのコンテキスト用のコンフィギュレーションだけです。コンテキストには個別のログインを提供できます。
Return to Top
設定
このセクションでは、このドキュメントで説明する機能の設定に必要な情報を提供します。
注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してください。
Return to Top
ネットワーク ダイアグラム
このドキュメントでは、次のネットワーク構成を使用しています。
注:ASA インターフェイスがサブインターフェイスに分割されると複数の VLAN トラフィックが ASA を通過する必要があるの
で、ASA に接続されているスイッチ上のポートはトランク モードになっている必要があります。
Return to Top
マルチ コンテキスト モードのイネーブルまたはディセーブル
使用しているセキュリティ アプライアンスは、シスコに注文した方法に従って複数のセキュリティ コンテキスト用にすでに設定
されていると考えられますが、アップグレードした場合に、シングル モードからマルチ モードへの変換が必要になることがあり
ます。このセクションでは、アップグレードの手順を説明します。ASDM はモードの変更をサポートしていないので、CLI でモー
ドを変更する必要があります。
シングル モードからマルチ モードに変換すると、セキュリティ アプライアンスで実行コンフィギュレーションが 2 つのファイ
ルに変換されます。オリジナルのスタートアップ コンフィギュレーションは保存されないので、それが実行コンフィギュレーシ
ョンとは異なる場合には、先に進む前にバックアップを取る必要があります。
マルチ コンテキスト モードのイネーブル
コンテキスト モード(シングルまたはマルチ)は、リブート後に持続するとしても、コンフィギュレーション ファイルには格納
されません。コンフィギュレーションを別のデバイスにコピーする必要がある場合、新しいデバイスでモードを設定して、モード
コマンドに一致させるようにします。
シングル モードからマルチ モードに変換すると、セキュリティ アプライアンスは実行コンフィギュレーションを次の 2 つのフ
ァイルに変換します。1 つはシステム コンフィギュレーションを構成する新しいスタートアップ コンフィギュレーションであ
り、もう 1 つは管理コンテキストを(内部フラッシュ メモリのルート ディレクトリに)構成する admin.cfg です。オリジナル
の実行コンフィギュレーションは old_running.cfg という名前で(内部フラッシュ メモリのルート ディレクトリに)保存され
ます。オリジナルのスタートアップ コンフィギュレーションは保存されません。セキュリティ アプライアンスは、システム コ
ンフィギュレーションに管理コンテキスト用のエントリを「admin」とうい名前で自動的に追加します。
マルチ モードをイネーブルにするには、次のコマンドを入力します。
hostname(config)# mode multiple
システム アプライアンスをリブートするようにプロンプトが表示されます。
CiscoASA(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash
The admin context configuration will be written to flash
The new running configuration file was written to flash
Security context mode: multiple
***
*** --- SHUTDOWN NOW --***
*** Message to all terminals:
***
*** change mode
Rebooting....
Booting system, please wait...
*
*
!--- 出力を省略
*
*
INFO: Admin context is required to get the interfaces
*** Output from config line 20, "arp timeout 14400"
Creating context 'admin'... Done. (1)
*** Output from config line 23, "admin-context admin"
Cryptochecksum (changed): a219baf3 037b31b4 09289829 1ab9790a
*** Output from config line 25, "
config-url flash:/admi..."
Cryptochecksum (changed): d4f0451b 405720e1 bbccf404 86be061c
Type help or '?' for a list of available commands.
CiscoASA>
リブート後は、次が ASA のデフォルト コンフィギュレーションになります。
ASA 8.x デフォルト コンフィギュレーション
CiscoASA# show running-config
: Saved
:
ASA Version 8.0(2) <system>
!
hostname CiscoASA
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0/0
shutdown
!
interface Ethernet0/1
shutdown
!
interface Ethernet0/2
shutdown
!
interface Ethernet0/3
shutdown
!
interface Management0/0
shutdown
!
class default
limit-resource All 0
limit-resource ASDM 5
limit-resource SSH 5
limit-resource Telnet 5
!
ftp mode passive
pager lines 24
no failover
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
console timeout 0
admin-context admin
context admin
config-url disk0:/admin.cfg
!
!--- マルチ モードをイネーブル
!--- にすると、デフォルトで
!--- 管理コンテキストが作成されます
prompt hostname context
Cryptochecksum:410be16e875b7302990a831a5d91aefd
: end
Return to Top
セキュリティ コンテキストの設定
システム コンフィギュレーション内のセキュリティ コンテキスト定義は、コンテキスト名、コンフィギュレーション ファイル
URL、およびコンテキストが使用できるインターフェイスを識別します。
注:管理コンテキストがない場合(コンフィギュレーションをクリアした場合など)、次のコマンドを入力するときに、最初に管
理コンテキスト名を指定する必要があります。
hostname(config)# admin-context <name>
注:このコンテキスト名はコンフィギュレーション内にはまだ存在していませんが、その後にコンテキスト名コマンドを入力し
て、指定名を一致させることで、管理コンテキストのコンフィギュレーションを継続できます。
システム コンフィギュレーションでコンテキストを追加または変更するには、次の手順を実行します。
1. コンテキストの追加または変更を行うには、システム実行スペースで次のコマンドを入力します。
hostname(config)# context <name>
名前は 32 文字以内の文字列です。この名前は大文字と小文字を区別するので、たとえば、「customerA」と「CustomerA」
という名前の 2 つのコンテキストが共存できます。文字、数字、ハイフンを使用できますが、ハイフンは名前の先頭または
最後には使用できません。
「System」と「Null」(大文字と小文字の両方)は予約名なので使用できません。
2. (オプション)このコンテキストに説明を追加するには、次のコマンドを入力します。
hostname(config-ctx)# description text
3. コンテキスト内で使用できるインターフェイスを指定するには、物理インターフェイスまたは 1 つ以上のサブインターフェ
イスに適切なコマンドを入力します。
物理インターフェイスを割り当てるには、次のコマンドを入力します。
hostname(config-ctx)# allocate-interface
<physical_interface> [mapped_name]
[visible | invisible]
1 つ以上のサブインターフェイスを割り当てるには、次のコマンドを入力します。
hostname(config-ctx)# allocate-interface
<physical_interface.subinterface[-physical_interface.subinterface]>
[mapped_name[-mapped_name]] [visible | invisible]
これらのコマンドを複数回入力してさまざまな範囲を指定できます。このコマンドの no 形式を使用して割り当てを削
除した場合、このインターフェイスを含むコンテキスト コマンドが実行コンフィギュレーションから削除されます。
4. システムがコンテキスト コンフィギュレーションをダウンロードする URL を識別するには、次のコマンドを入力します。
hostname(config-ctx)# config-url url
注:allocate-interface コマンドを入力してから config-url コマンドを入力してください。セキュリティ アプライアン
スは、コンテキスト コンフィギュレーションをロードする前にコンテキストにインターフェイスを割り当てる必要がありま
す。コンテキスト コンフィギュレーションには、インターフェイスを参照するコマンド(interface、nat、global...)を
含めることができます。先に config-url コマンドを入力する場合、セキュリティ アプライアンスは即座にコンテキスト
コンフィギュレーションをロードします。そのコンテキストがインターフェイスを参照するコマンドを含んでいる場合、そ
れらのコマンドは失敗します。
このシナリオでは、テーブル内にある手順に従ってマルチ コンテキストを設定します。
2 件の顧客、顧客 A と顧客 B があるとします。3 つのマルチ コンテキスト(実質的には 3 つの ASA)を、顧客 A 用の
Context1、顧客 B 用の Context2、および ASA コンテキストを管理するための管理コンテキストというように、単一の ASA ボッ
クスに作成します。
Inside 接続および Outside 接続の各コンテキスト用に、2 つのサブインターフェイスを作成します。各サブインターフェイス用
に異なる VLAN を割り当てます
イーサネット 0/0 に 2 つのサブインターフェイス(ethernet 0/0.1 および ethernet 0/0.2)を、それぞれ context1 および
context2 の Outside 接続用として作成します。同様に、ethernet 0/1 に 2 つのサブインターフェイスである ethernet 0/1.1
および ethernet 0/1.2 を、context1 および context2 の Inside 接続用としてそれぞれ作成します。
ethernet 0/0.1 用に vlan 2、ethernet 0/1.1 用に vlan3、ethernet 0/0.2 用に vlan 4、ethernet 0/1.2 用に vlan5 という
ように、各サブインターフェイス用に vlan を割り当てます。
ASA マルチ コンテキスト コンフィギュレーションの手順
:
!--- context1 および context2 用の Outside インターフェイス。
!--- context1 および context2 用の
!--- Outside インターフェイスにサブインターフェイスを作成します。
ciscoasa(config)# interface Ethernet0/0
ciscoasa(config-if)# no shutdown
!--- context1 および context2 用の Inside インターフェイス。
!--- context1 および context2 用の
!--- Inside インターフェイスにサブインターフェイスを作成します。
ciscoasa(config)# interface Ethernet0/1
ciscoasa(config-if)# no shutdown
!--- telnet または SSH を使用して
!--- Outside ネットワークから ASA をアクセスするための
!--- 管理コンテキスト用の Outside インターフェイス。
ciscoasa(config-if)# interface Ethernet0/2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 6
!--- telnet または SSH を使用して
!--- Inside ネットワークから ASA にアクセスするための
!--- 管理コンテキスト用の Inside インターフェイス。
ciscoasa(config-if)# interface Ethernet0/3
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# vlan 7
!--- Context1 Outside サブインターフェイス
ciscoasa(config-subif)# interface Ethernet0/0.1
ciscoasa(config-subif)# vlan 2
!--- !--- Context1 Inside サブインターフェイス
ciscoasa(config-subif)# interface ethernet 0/1.1
ciscoasa(config-subif)# vlan 3
!--- !--- Context2 Outside サブインターフェイス
ciscoasa(config-subif)# interface ethernet 0/0.2
ciscoasa(config-subif)# vlan 4
!--- !--- Context2 Inside サブインターフェイス
ciscoasa(config-subif)# interface ethernet 0/1.2
ciscoasa(config-subif)# vlan 5
!--- Context1 としての顧客 A コンテキスト
ciscoasa(config)# context context1
Creating context 'context1'... Done. (3)
ciscoasa(config-ctx)# allocate-interface
Ethernet0/0.1 outside-context1
ciscoasa(config-ctx)# allocate-interface
Ethernet0/1.1 inside-context1
!--- context1 用に使用される
!--- インターフェイスを指定するには
ciscoasa(config-ctx)# config-url disk0:/context1.cfg
!--- システムがコンテキスト コンフィギュレーションを
!--- ダウンロードする URL を指定するには
ciscoasa(config-ctx)# exit
!--- Context2 としての顧客 B コンテキスト
ciscoasa(config)# context context2
Creating context 'context2'... Done. (3)
ciscoasa(config-ctx)# allocate-interface
Ethernet0/0.2 outside-context2
ciscoasa(config-ctx)# allocate-interface
Ethernet0/1.2 inside-context2
ciscoasa(config-ctx)# config-url
disk0:/context2.cfg
ciscoasa(config)# context admin
ciscoasa(config-ctx)# allocate-interface Ethernet0/2 outside
ciscoasa(config-ctx)# allocate-interface Ethernet0/3 inside
Return to Top
ASA 8.x:システム実行スペースのコンフィギュレーション
ASA 8.x:システム実行スペースのコンフィギュレーション
ciscoasa# sh run
ASA Version 8.0(2) <system>
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/0.1
vlan 2
!
interface Ethernet0/0.2
vlan 4
!
interface Ethernet0/1
!
interface Ethernet0/1.1
vlan 3
!
interface Ethernet0/1.2
vlan 5
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Management0/0
shutdown
!
class default
limit-resource All 0
limit-resource ASDM 5
limit-resource SSH 5
limit-resource Telnet 5
!
ftp mode passive
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0
admin-context admin
context admin
allocate-interface Ethernet0/2 outside
allocate-interface Ethernet0/3 inside
config-url disk0:/admin.cfg
!
context context1
allocate-interface Ethernet0/0.1 outside-context1
allocate-interface Ethernet0/1.1 inside-context1
config-url disk0:/context1.cfg
!
context context2
allocate-interface Ethernet0/0.2 outside-context2
allocate-interface Ethernet0/1.2 inside-context2
config-url disk0:/context2.cfg
!
prompt hostname context
Cryptochecksum:9e8bc648b240917631fa5716a007458f
: end
Return to Top
コンテキストとシステム実行スペースの変更
システム実行スペース(または、Telnet または SSH での管理コンテキスト)にログインする場合、各コンテキスト内でコンフィ
ギュレーションの実行とタスクの監視を行うのと同様、コンテキストを変更できます。コンフィギュレーション モードで編集す
る、またはコピーや書き込みのコマンドで使用される実行コンフィギュレーションは、ロケーションに依存します。システム実行
スペース内にいるとき、実行コンフィギュレーションは、システム コンフィギュレーションだけで構成されます。コンテキスト
内にいるとき、実行コンフィギュレーションは、そのコンテキストだけで構成されます。たとえば、show running-config コマン
ドを入力するときには、すべての実行コンフィギュレーション(システムとすべてのコンテキスト)を表示できません。現在のコ
ンフィギュレーションだけが表示されます。
システム実行スペースとコンテキストの間で変更する、または、コンテキストの間を変更するには、次のコマンドを確認してくだ
さい。
特定のコンテキストに変更するには、次のコマンドを入力します。
hostname# changeto context <context name>
プロンプトは次のように変わります。
hostname/name#
システム実行スペースに変えるには、次のコマンドを入力します。
hostname/admin# changeto system
プロンプトは次のように変わります。
hostname#
Return to Top
ASA:context1 コンフィギュレーション
context1 を設定するには、context1 に変更して、次の手順に従います。
!--!--!--!---
システム実行スペースから、
次のコマンドを入力します。
「changeto context context1
to configure the context1 configuration」
ciscoasa(config)# changeto context context1
ciscoasa/context1(config)#
ASA 8.x:Context1 デフォルト コンフィギュレーション
ciscoasa/context1(config)# show run
!--- context1 のデフォルト コンフィギュレーション
ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-contex1
no nameif
no security-level
no ip address
!
interface inside-contex1
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
pager lines 24
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed
0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225
1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite
0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect
inspect
inspect
inspect
inspect
inspect
esmtp
sqlnet
sunrpc
tftp
sip
xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
インターネット接続用の顧客 A コンフィギュレーション
ASA 8.x:Context1 のコンフィギュレーション
!--- 顧客 A 用に Context1 を設定する
ciscoasa/context1# conf t
ciscoasa/context1(config)# int outside-context1
ciscoasa/context1(config-if)# ip add 10.1.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa/context1(config-if)# int inside-context1
ciscoasa/context1(config-if)# ip add 172.16.1.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa/context1(config-if)# exit
ciscoasa/context1(config)# access-list outbound permit ip any any
ciscoasa/context1(config)# nat (inside-context1) 1 access-list outbound
ciscoasa/context1(config)# global (outside-context1) 1 interface
INFO: outside interface address added to PAT pool
ciscoasa/context1(config)# route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2
ciscoasa/context1(config)# exit
ASA 8.x:Context1 コンフィギュレーション
ciscoasa/context1(config)# show run
ciscoasa/context1# sh run
: Saved
:
ASA Version 8.0(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface outside-context1
nameif outside
security-level 0
ip address 10.1.1.1 255.255.255.0
!
interface inside-context1
nameif inside
security-level 100
ip address 172.16.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside-context1) 1 interface
nat (inside-context1) 1 access-list outbound
route outside-context1 0.0.0.0 0.0.0.0 10.1.1.2 1
!--- 出力を省略
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
ciscoasa/context1#
Return to Top
ASA:context2 コンフィギュレーション
インターネット接続用の顧客 B コンフィギュレーション
context2 を設定するために、context1 から context2 に変更します。
!--- システム実行スペースから、次のコマンドを入力します。
!--- 「changeto context context2
!--- to configure the context2 configuration」
ciscoasa/context1(config)# changeto context context2
ciscoasa/context2(config)#
ASA 8.x:Context2 コンフィギュレーション
ciscoasa/context2(config)# show run
ASA Version 8.0(2) <context>
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside-context2
nameif inside
security-level 100
ip address 172.17.1.1 255.255.255.0
!
interface outside-context2
nameif outside
security-level 0
ip address 10.2.2.1 255.255.255.0
!
!--- 出力を省略
!
access-list outbound extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside-context2) 1 interface
nat (inside-context2) 1 access-list outbound
route outside-context2 0.0.0.0 0.0.0.0 10.2.2.2 1
!--- 出力を省略
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end
同様に、ASA とそのコンテキストを Inside および Outside インターフェイスから管理するために管理コンテキストを設定しま
す。
Return to Top
マルチ コンテキスト モードでコンフィギュレーション変更を保存する
それぞれのコンテキスト(およびシステム)コンフィギュレーションは別々に保存することも、すべてのコンテキスト コンフィ
ギュレーションを同時に保存することもできます。このセクションでは、次の項目について説明します。
各コンテキストとシステムを別々に保存する
システムまたはコンテキストのコンフィギュレーションを保存するには、システムまたはコンテキスト内で次のコマンドを入力し
ます。
hostname# write memory
注:copy running-config startup-config コマンドは write memory コマンドと同じです。
マルチ コンテキスト モードの場合、コンテキスト スタートアップ コンフィギュレーションを外部サーバ上に存在させることが
できます。この場合、セキュリティ アプライアンスはコンテキスト URL で識別したサーバに戻ってコンフィギュレーションを保
存します。このとき、サーバにコンフィギュレーションの保存を許可しない HTTP または HTTPS URL は除きます。
すべてのコンテキスト コンフィギュレーションを同時に保存する
システム コンフィギュレーションと同様、すべてのコンテキスト コンフィギュレーションを同時に保存するには、システム実行
スペースで次のコマンドを入力します。
hostname# write memory all [/noconfirm]
/noconfirm キーワードを入力しない場合、次のコマンドが表示されます。
Are you sure [Y/N]:
Return to Top
確認
このセクションでは、設定が正常に動作していることを確認します。
特定の show コマンドが、アウトプットインタープリタ(登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show
コマンド出力の解析を表示できます。
show flash:コンテキスト コンフィギュレーション ファイルがフラッシュに格納されることを確認します。
show mode:ASA がシングル モードまたはマルチ モードで設定されていることを確認します。
ciscoasa# sh flash
--#-- --length-- -----date/time-----71 14524416
Jul 23 2007 23:11:22
75 6889764
Jul 23 2007 23:32:16
2 4096
Jul 23 2007 23:51:36
6 4096
Jul 23 2007 23:51:48
76 2635734
Aug 12 2007 22:44:50
77 1841
Sep 20 2007 04:21:38
78 1220
Sep 20 2007 04:21:38
path
asa802-k8.bin
asdm-602.bin
log
crypto_archive
anyconnect-win-2.0.0343-k9.pkg
old_running.cfg
admin.cfg
ciscoasa/context2# sh mode
Security context mode: multiple
Return to Top
トラブルシューティング
シングル コンテキスト モードの復元
マルチ モードからシングル モードに変換する場合、最初にスタートアップ コンフィギュレーションをすべて(可能な場合)セ
キュリティ アプライアンスにコピーすることが可能です。マルチ モードから継承したシステム コンフィギュレーションは、シ
ングル モード デバイスの場合は完全に機能するコンフィギュレーションではありません。システム コンフィギュレーションは
そのコンフィギュレーションの一部としてネットワーク インターフェイスを持たないので、コピーを実行するにはコンソールか
らセキュリティ アプライアンスにアクセスする必要があります。
以前の実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、モードをシングル モードに変更す
るには、システム実行スペースで次の手順を実行します。
1. オリジナルの実行コンフィギュレーションのバックアップ バージョンを現在のスタートアップ コンフィギュレーションに
コピーするには、システム実行スペースで次のコマンドを入力します。
hostname(config)# copy flash:old_running.cfg startup-config
2. モードをシングル モードに設定するには、システム実行スペースで次のコマンドを入力します。
hostname(config)# mode single
セキュリティ アプライアンスがリブートします。
Return to Top
マルチ コンテキスト モードで同一の IP アドレスを共有インターフェイスに割り当てる
同一の IP アドレスを別のコンテキスト内の共有インターフェイスに割り当てることができます。これは可能ではありますが、示
されているように、トラフィックをコンテキスト内に分類するには、独立した MAC アドレスをこのインターフェイス用に割り当
てる必要があります。
注: 管理者が手動の方法では MAC アドレスを割り当てたくないと思っている場合は、mac-address auto コマンドを使用できま
す。このコマンドは、サブインターフェイスを含めたすべてのインターフェイスに MAC アドレスを自動的に割り当てます。
<system context configuration>
interface Ethernet0
!
interface Ethernet0.1
vlan 2
!
interface Ethernet0.2
vlan 3
!
<context1 configuration>
!
interface Ethernet0.1
mac-address 0000.0707.0000
!--- MAC アドレスは一意である必要があります
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
<context2 configuration>
!
interface Ethernet0.2
mac-address 0000.0808.0000
!--- MAC アドレスは一意である必要があります
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
Return to Top
コンテキストの名前を変更する
マルチ コンテキスト モードでは、コンフィギュレーションを変更せずにコンテキストの名前を変更することはサポートされてい
ません。
ファイアウォール コンフィギュレーションとしてコンフィギュレーションを保存することはできますが、新しいコンテキスト名
にコンフィギュレーション全体をコピーして、古いコンテキスト コンフィギュレーションを削除する必要があります。
Return to Top
コンテキストを削除する
システム スペースから、このコマンドを発行してコンテキストを削除します。
no context contA
また、コンテキスト向けの対応するコンフィギュレーション ファイルを必ず削除します。
dir disk:
delete disk:/contA.cfg
Return to Top
関連情報
Cisco ASA 5500 シリーズ セキュリティ アプライアンス(英語)
Cisco PIX 500 シリーズ セキュリティ アプライアンス(英語)
PIX/ASA:セキュリティ コンテキストの追加と管理(英語)
PIX/ASA:セキュリティ コンテキストにおけるパケットの分類(英語)
テクニカルサポートとドキュメント:シスコシステムズ