1. VRF和Multi Context多模式的区别
VRF说白了就是创建多个彼此隔离的路由表。
但是Multicontext是将一个设备虚拟成多个, 每个虚拟设备可以单独分配给不同的客户使用, 客户只能看到他被分配的那部分虚拟设备对应的资源。
ASA正常来讲是没有VRF配置的, 只能配置Multi Context
2. Cisco ASA Multi Context的创建及切换
下面我们将ASA从单模式single mode切换到多模式multi mode
//创建一个名字叫做edge的context
conf t
mode multiple (两次回车后会自动重启设备)
context admin
no allocate-int e0 //将e0口从默认的admin context中移除
context edge (创建edge context)
description Edge Firewall
allocate-interface eth0 contextint0 visible //将e0口划分进context edge
//如果想划分port channnel或其子接口到context中也是一样的命令:allocate-interface portchannel1.100 int100 visible)
show context //可以看到context “edge”已经创建成功
config-url disk0:/edge.cfg //给新创建的context在本地创建一个配置文件
show context //可以看到配置文件已经创建成功
changeto context edge //切换并真正进入edge context下,这里就等于是进入另一台虚拟设备了。它的所有配置都是独立的,不受到其他context 配置影响的
show interface //此时就只能看到已经划分进这个context的接口contextint0了
change-to system //切换回系统模式下
admin-context edge //将 context edge设置为admin context, 切换后show context命令下带星号的context会从admin变为context
show context detail //查看context的详细信息
3. 在多模式下开启ssh允许外部访问
changeto context edge
ASA1/edge(config)# ssh 192.168.0.0 255.255.0.0 outside //只允许来自192.168.0.0/16网段的ssh
ASA1/edge(config)# username test password test priv 15
ASA1/edge(config)# aaa authentication ssh console LOCAL
ASA1/edge(config)# domain-name ASA2-edge
ASA1/edge(config)# crypto key generate rsa modulus 1024
//最后别忘了配置context模式下的enable密码:
ASA1/edge(config)# enable password test