多廠商系列之五：ASASecurityContext【虛擬防火對于ISPIDC機(jī)房或者一些大學(xué)、企業(yè)部分做不同的策略控制比較有用。adminconfig：它是當(dāng)轉(zhuǎn)換成multipleContext它用于在systemContext果某一個(gè)虛擬中的主機(jī)發(fā)送出去，返回的流量system到低交給哪個(gè)這是個(gè)問題，所以在這種情況下有幾種區(qū)分的辦法?？梢愿鶕?jù)源目IP|VLAN|MAC|我們可以是不同IP的相同VLAN，或者不同VLANIP。當(dāng)然也可以通過MAC地址來區(qū)分。multile來改變模式，這個(gè)過程是需要重啟的。前說這個(gè)是防firewall學(xué)習(xí)的難點(diǎn)之一，因?yàn)閷τ谶@個(gè)你思維要很清晰，知道怎么就構(gòu)建這個(gè)拓?fù)?，和區(qū)分。firewallGNS3總共虛擬了三個(gè)，一個(gè)為admin|Vir|FW，在firewall中，它們都共個(gè)接口，而我們又需要多個(gè)接口來加入VLANE0換機(jī)的f1/0f1/0起trunkfirewalle0trunk，然后把交換機(jī)其余的接口劃分進(jìn)不同的VLAN，這個(gè)看邏輯拓?fù)涞膭澐?，比如Cisco-InsideVLAN4，它的流量出來會(huì)打上vlan4tag，經(jīng)過交換機(jī)后交給ContextVLAN4Contexte1VLAN3outsideFWfirewallinternetoutside，連接內(nèi)Cisco-SWVLANVLAN23456，Cisco-SW(config-vlan)#vlan3Cisco-SW(config-vlan)#vlan4Cisco-SW(config-vlan)#vlan5Cisco-SW(config-vlan)#vlan6interfaceFastEthernet1/0 switchportmodetrunk!switchportaccessvlan!switchportaccessvlan!switchportaccessvlan!switchportaccessvlan!switchportaccessvlan!switchportaccessvlanCisco-DMZ(config)#intCisco-DMZ(config-if)#ipadd192.168.4.1255.255.255.0Cisco-DMZ(config-if)#noshutCisco-DMZ(config)#iproute0.0.0.00.0.0.0Cisco-DMZ(config)#linevty0 OUTR3(config-if)#ipadd218.18.100.254OUTR3(config-if)#noshutOUTR3(config)#linevty04Cisco-Internet(config)#intCisco-Internet(config-if)#ipadd202.100.2.1255.255.255.0Cisco-Internet(config-if)#noshutCisco-Internet(config-if)#iproute0.0.0.00.0.0.0Cisco-Internet(config)#linevty0Cisco-Inside(config-if)#intCisco-Inside(config-if)#ipadd192.168.5.1255.255.255.0Cisco-Inside(config-if)#noshutCisco-Inside(config-if)#iproute0.0.0.00.0.0.0Cisco-Vir.Inside(config-if)#ipadd192.168.6.1255.255.255.0Cisco-Vir.Inside(config-if)#noshutCisco-Vir.Inside(config-if)#iproute0.0.0.00.0.0.0adminconetext。如果沒有的情況下，必須通過admin-contextadmin來創(chuàng)建，名字是noshut!noshutvlan2!vlan4!vlan5!vlan6ASA(config)#contextadminASA(config-ctx)#config-urlflash:/admin.cfgadminContextg1g0.4(admin.dmz)g0.5(admin.insideContext，并定義一個(gè)Context保存配置的名字。創(chuàng)建Vir的ContextASA(config)#contextVirCreatingcontextVirDone(2)ASA(config-ctx)#allocate-interfaceg0.6 ASA(config-ctx)#allocate-interfaceg1ASA(config-ctx)#config-urlINFO:Convertingflash:/Vir.cfgto創(chuàng)建FW的ContextASA(config)#contextFWCreatingcontext'FW'.Done(3)ASA(config-ctx)#allocate-interfaceg0.2 ASA(config-ctx)#allocate-interfaceg1SA(config-ctx)#config-urlINFO:Convertingflash:/FW.cfgtoASA(config)#changetocontextadmin admin的ContextContextASA/admin(config)#intg1ASA/admin(config-if)#nameiINFO:Securitylevelfor"outside"setto0bydefault.ASA/admin(config-if)#ipadd218.18.100.1255.255.255.0ASA/admin(config-if)#noshutASA/admin(config-if)#intg0.4ASA/admin(config-if)#nameifDMZINFO:Securitylevelfor"DMZ"setto0bydefault.ASA/admin(config-if)#security-level50ASA/admin(config-if)#ipadd192.168.4.254255.255.255.0ASA/admin(config-if)#noshutg0.5InsideASA/admin(config-if)#intg0.5INFO:Securitylevelfor"inside"setto100bydefault.ASA/admin(config-if)#ipadd192.168.5.254255.255.255.0ASA/admin(config-if)#noshutASA/admin(config-if)#changetocontextVirASA/Vir(config)#intg1ASA/Vir(config-if)#nameifINFO:Securitylevelfor"otuside"setto0bydefault.ASA/Vir(config-if)#ipadd218.18.100.2255.255.255.0ASA/Vir(config-if)#intg0.6ASA/Vir(config-if)#nameifINFO:Securitylevelfor"inside"setto100bydefault.ASA/Vir(config-if)#ipaddress192.168.6.254255.255.255.0ASA/Vir(config)#changetocontextASA/FW(config)#intg1INFO:Securitylevelfor"inside"setto100byASA/FW(config-if)#ipadd218.18.100.3ASA/FW(config-if)#intg0.2INFO:Securitylevelfor"outside"setto0byASA/FW(config-if)#ipadd202.100.2.254systemchangetosystemwritememoryall主要是劃分VLAN跟接口比較難點(diǎn)。實(shí)驗(yàn)?zāi)康木褪莂dmin里面的DMZ對外提 ASA/admin(config)#nat(inside,outside)1192.168.5.0global(outside）1static(dmz,outside)tcpinterface23192.168.4.1access-list100permittcpanyhost218.18.100.1eq23access-group100ininterfaceoutside net不成功據(jù)包IP:s192.168.6.1D：218.18.100.254的net的包，收到以后發(fā)現(xiàn)是直連所以直接發(fā)往OUTR3,這時(shí)候當(dāng)OUTR3s：218.18.100.254d：192.168.6.1system該交給哪個(gè)Context，因?yàn)?/p>