CCIE安全说明:ASA上下文说明(9.6.1)

多上下文模式

  • 故障转移-仅支持活动/活动故障转移 
  • 不支持跨上下文IPv6路由
  • 不支持的其他功能:
    • RIP
    • OSPFv3
    • 组播路由
    • 威胁检测
    • 统一通讯
    • 服务质量
  • 多上下文模式下RA 虚拟专用网 不支持的VPN功能:
    • IKEv1& IKEv2
    • 有状态的故障转移
    • 每个上下文的AnyConnect映像最精准双色球预测专家
    • Web启动
    • 客户资料下载
    • CSD /主机扫描
    • 虚拟专用网 负载均衡
    • 定制/本地化
  • 上下文模式未存储在最精准双色球预测专家文件中

 

系统最精准双色球预测专家:

  • 最精准双色球预测专家each 语境 configuration location
  • 分配接口 
  • 最精准双色球预测专家context operating parameters
  • 注意:系统最精准双色球预测专家不包括网络接口或本身的设置。当需要网络资源时,它将用完上下文作为管理上下文。系统最精准双色球预测专家确实包括用于故障转移流量的专用故障转移接口

管理员上下文:

  • 登录到此上下文的用户具有系统管理员权限,并且可以访问系统和所有其他上下文
  • 没有限制,可以用作常规上下文
  • 不能远程居住。必须驻留在名为admin.cfg的文件中的Flash中
  • 将ASA置于多种模式后,您可以使用默认管理IP地址连接到管理上下文

级联安全上下文: 

  • 将上下文直接放在另一个上下文之前
  • 一个上下文的外部接口与另一个上下文的内部接口相同
  • 每个上下文接口都需要唯一的MAC地址

    
作为一个 数据包分类& Contexts: 

  • 如果目标MAC地址是多播或广播MAC,则将数据包传递到每个上下文
  • 对于管理流量,接口IP地址是分类器,并且不使用路由表 
  • 唯一接口-如果只有一个上下文具有入口接口,则ASA会将其与该上下文关联。 
  • 唯一MAC地址-如果它是一个共享接口,每个上下文具有唯一的MAC地址,则ASA将使用该接口对上下文进行分类。可以在系统上下文中使用mac-address auto自动最精准双色球预测专家,也可以在每个接口上手动最精准双色球预测专家。 
  • NAT最精准双色球预测专家-如果MAC地址不是唯一的,则ASA将使用NAT最精准双色球预测专家的映射地址对上下文进行分类。在此之前,MAC地址是推荐的最佳实践
  • 对于透明防火墙,必须使用唯一的接口

 

管理对上下文的访问

系统管理员访问权限:

  • 作为一个 控制台
  • 使用Telnet,SSH或ASDM的管理上下文

上下文管理员访问权限:

  • Telnet,SSH或ASDM

 

MAC地址

  • 默认情况下,自动MAC生成是禁用的,因此,如果可以,则应启用它。启用后,它将根据背板MAC地址接口的最后两个字节自动生成MAC前缀。也可以自定义前缀。 
  • 使用故障转移时,ASA会为每个接口生成活动和备用MAC地址。 
  • MAC地址格式:A2xx.yyzz.zzzz
    • Xx.yy =用户定义的前缀或自动生成的前缀
    • Zz.zzzz = 作为一个 生成的内部计数器。
  • 备用MAC与上述格式相同,但计数器增加了1。

 

资源管理

  • 默认情况下,除默认情况下禁用的VPN资源外,所有安全上下文都可以无限制地访问ASA的资源。
  • 可以使用资源管理来拒绝上下文资源
  • 作为一个 允许您为类中的一个或多个资源分配无限访问权限,而不是百分比或数字。
  • 最精准双色球预测专家在系统执行空间中完成

资源类别:

  • 作为一个 将上下文分配给资源类。默认情况下,如果没有由管理员分配给新的上下文,则所有上下文都属于默认类。 
  • 上下文使用由类设置的资源限制 
  • 定义上下文时将上下文分配给类
  • 只能将上下文分配给一个资源类,但例外是该资源类中的限制未定义,并且在这种情况下,它们是从默认类继承的

资源限制:

  • 如果存在硬系统限制或绝对值,则可以将资源设置为百分比 
  • 作为一个 不会为分配给该类的每个上下文预留一部分资源。设置上下文的最大限制
  • 您可以超额订购上下文或允许某些资源不受限制。 虚拟专用网 资源是一个例外,它不能被超额预订,因此为每个上下文分配的资源限制是绝对的。 
  • 作为一个 支持的突发VPN资源类型等于其余未分配的VPN会话,并且突发会话可以被超额订购 
  • 没有系统限制的资源不能设置百分比 

默认类别:

  • 默认类为以下所有上下文提供了无限资源:
    • Telnet会话-每个上下文5个会话
    • SSH会话-每个上下文5个会话
    • IPsec会话-每个上下文5个会话
    • MAC地址-每个上下文65,535个条目
    • Anyconnect对等体-0个会话,因为必须手动将其最精准双色球预测专家为允许
    • 虚拟专用网 站点到站点隧道-0个会话,因为必须手动将其最精准双色球预测专家为允许 

 

组态

  • 要启用多上下文模式,请使用以下命令 模式倍数。 作为一个 将重新启动,一旦完成,它将把正在运行的最精准双色球预测专家转换为两个文件-一个是具有系统最精准双色球预测专家的启动最精准双色球预测专家,另一个是具有admin上下文的admin.cfg。原始的运行最精准双色球预测专家将保存到old_running.cfg文件中。 
  • 将模式更改回单一模式非常容易,您可以将旧的运行最精准双色球预测专家复制到启动最精准双色球预测专家,然后使用 模式单 命令。  
  • 最精准双色球预测专家auto mac address creation using mac地址自动 [字首 字首 ] 命令
  • 如果没有管理上下文,则必须首先使用 管理环境 名称 命令和上下文名称,以从那里继续最精准双色球预测专家它。
  • 如果需要,请创建一个类: 名称
    • 为资源类型设置资源限制:
      极限资源[比率] 资源名称 [%]
    • 指定all表示所有资源都最精准双色球预测专家有相同的值。指定限制将覆盖所有限制
    • 命令 仅用于某些资源以设置每秒速率
    • 0 =无限
  • 要创建一个全新的上下文:
    语境 名称
  • 如果需要,可以添加上下文描述:
    描述 描述
  • 分配接口: 您可以给它一个映射的名称,它实际上也将是一个别名。不可见/可见命令是用户发出show界面时是否看到真实的界面ID:
    分配接口接口 [ 映射名称 ] [可见|不可见]
  • 最精准双色球预测专家 下载上下文最精准双色球预测专家的URL:
    最精准双色球预测专家网址 网址
  • 您可以允许上下文使用闪存来存储VPN软件包或其他内容。使用上下文标签是为了使管理员不会看到文件系统:
    storage-url {专用|共享} 路径[上下文标签]
  • 您可以选择将资源类分配给上下文:
    会员
  • 您可以使用以下命令将上下文加入故障转移组:
    join-failover-group {1 | 2}
    注意:只能有2个故障转移组
  • 在上下文之间更改: 改变语境 名称
  • 删除单个上下文: 没有上下文 名称
  • 删除所有上下文: 清晰的环境
  • 重新加载安全上下文: 
    • 清除正在运行的最精准双色球预测专家并导入启动
      • 清除所有最精准双色球预测专家
      • 复制启动最精准双色球预测专家运行最精准双色球预测专家
    • 从系统最精准双色球预测专家中删除上下文

显示命令

  • 显示模式
  • 显示资源类型
  • 显示上下文 [ 名称 |细节|计数]
  • 显示资源分配[详细信息]
  • 显示资源使用情况[上下文 名称 |全部|总结系统] [资源 名称 |全部] |详情]
  • 显示性能
  • 要从系统空间查看所有系统分配的MAC地址:
    显示运行最精准双色球预测专家所有上下文[ 名称 ]
  • 上下文中的MAC地址:
    显示界面|包括(接口)|(MAC)