網路虛擬化的實現-ASA Multiple Context Mode的運用

薛義弘 

前言
防火牆觀念已經在企業網路相當普及，DataCenter提供企業主機代管業務或是ISP提供企業VPN需求時，常需考量網路安全，需要幫客戶建置防火牆服務，DataCenter提供為數眾多的客戶主機代管服務，亦需要為客戶建置安全網路環境。DataCenter在眾多客戶的網路環境或是大型企業各個子公司需要不同防火牆策略時，即可考慮使用思科ASA系列防火牆的Multiple context 功能來建置一個靈活可擴充性高的防火牆環境。

ASA Multiple context 是將一個實體防火牆分割成多個虛擬防火牆。每一虛擬防火牆可以有獨立虛擬線路、路由表、NAT表、獨立防火牆策略及個別管理者。使用限制上，ASA Multuple context啟動後，ASA只支援靜態路由，不支援動態路由、Multicast路由以及VPN與Threat Detection功能。

一、ASA Multiple context 規格:
目前CISCO ASA5500 支援0~50個multiple context .

表一、ASA 5500防火牆支援Security contexts 數量

CISCO ASA 防火牆具有強大處理能力最高可達四百萬最小封包每秒，最大連線數兩百萬個(ASA5580)，ASA防火牆型號有ASA5505 ，ASA5510，ASA5520，ASA5540，ASA5550，ASA5580-20，ASA5580-40，適用於家庭、中小企業到大型Service provider，客戶可依網路環境需求作調度配置，且具備備援機制，提供可靠的網路安全。也具備方便靈活的圖形化管理介面(ASDM)，讓管理者輕易上手。   

二、Multiple context 架構規劃
ISP 能夠利用ASA Multiple context 是將一個實體防火牆分割成多個虛擬防火牆，再搭配SWITCH(CISCO 7600) 的IEEE 802.1Q功能，將多個客戶都接到SWITCH上，就可以節省線路成本、電力成本、設備成本。配合SWITCH(CISCO 7600) MPLS 功能可以規劃客戶設備IP都使用相同網段，將網段規則一致化，可以簡化網管，由ISP統一管理所有虛擬防火牆的policy，如下列兩個比較圖。

圖一 : 建置個別客戶防火牆



圖二 : DataCenter 以ASA5580 multi-context 為客戶建置防火牆 

 優化後，只需要兩台ASA5580做實體設備備援的架構，相較於舊架構三組防火牆共六部實體防火牆來的省錢，而且收容客戶數越多，ASA5580就更加節省整體建置成本。
三、ASA 5580 Multi-context 建置

1.          啟動Multi-context
將兩台備援使用的ASA5580 啟動multi-context，指令為 mode multiple。
example : ASA(config)# mode multiple

系統在指令下完以後，會自動重開機。系統開機後會自動建立一個admin context . admin context 是一個獨立context ，他的設定檔儲存路徑為 flash:/admin.cfg，預設沒有任何介面配置於admin，但可手動加入網路介面。若防火牆管理是由DataCenter集中管理時，建議將admin context 當做管理性質的平台。

2.          建立新的context

(1)   命名  指令: pixfirewall(config)# context cisco 區別每一個context

(2)   設定檔位置 指令: pixfirewall(config)# config-url flash:/cisco
指定設定檔路徑，待登入 cisco 這個context做存檔動作時，會寫入到此路徑檔案。系統搬遷時，也會用到。例如客戶A從實體防火牆搬到另外一個實體防火牆時，只要搬動此設定檔到對應的ASA防火牆，客戶A設定即可回復。

(3)   配置網路介面 新增網路介面，並設定好vlan ID，因為實體介面與其他context 共用，所以用不同vlan ID區隔開。
例: pixfirewall(config-subif)# interface gigabitethernet 0.101
pixfirewall(config-subif)# vlan 101

(4)   將網路介面指定給context
例: pixfirewall(config)# context cisco
   pixfirewall(config-ctx)# allocate-interface GigabitEthernet0/0.101
此時，進入context cisco ,可以看到多出網路介面GigabitEthernet0/0.101可以設定ip及使用。
在system模式底下以指令show context 可以檢視系統目前所有context 及其配置的網路介面。

3.          配置系統資源
ASA5580 需要配置各項資源到每一個虛擬防火牆單位(context)，包括ASDM 連線數、connection 數量、telnet連線數、ssh 連線數、使用者數量及NAT 數量。
指令:
pixfirewall(config)#class test
pixfirewall(config-class)# limit-resource ASDM 5
pixfirewall(config-class)#limit-resource Conns 1000
pixfirewall(config-class)#limit-resource Hosts 10
pixfirewall(config-class)#limit-resource SSH 5
pixfirewall(config-class)#limit-resource Telnet 5
pixfirewall(config-class)#limit-resource Xlates 50

ASA# show running-config

: Saved:

ASA Version 8.0(4) <system>

! system 密碼，個別context 的密碼設定需要到context底下去設定

enable password

!

interface GigabitEthernet0/0.101

 description Customer1 inside

 vlan 101

!

interface GigabitEthernet0/0.102

 description Customer2 inside

 vlan 102

!

!

interface GigabitEthernet0/1.501

 description Customer1 outside

 vlan 501

!

interface GigabitEthernet0/1.502

 description Customer2 outside

 vlan 502

!指定failover介面

interface GigabitEthernet0/2

 description LAN Failover Interface

!指定stateful failover介面

interface GigabitEthernet0/3

 description STATE Failover Interface

!

!系統資源分配

class cisco

  limit-resource All 0

  limit-resource ASDM 5

  limit-resource SSH 5

  limit-resource Telnet 5

!            

boot system disk0:/asa804-k8.bin

ftp mode passive

clock timezone TPE 8

pager lines 24

!以下是active active failover的設定

failover

failover lan unit primary

failover lan interface failover GigabitEthernet0/2

failover polltime unit 1 holdtime 3

failover polltime interface 3 holdtime 15

failover replication http

failover link stateful GigabitEthernet0/3

failover interface ip failover 10.44.1.1 255.255.255.252 standby 10.44.1.2

failover interface ip stateful 10.44.1.5 255.255.255.252 standby 10.44.1.6

failover group 1  

  preempt 10

  replication http

failover group 2

  secondary

  preempt 10

  replication http

!以下是圖形管理介面檔案位置

asdm image disk0:/asdm-615.bin

!虛擬防火牆admin

admin-context admin

context admin

  config-url disk0:/admin.cfg

!虛擬防火牆Customer1，設定為Failover group1

context Customer1

  description Customer1

  allocate-interface GigabitEthernet0/0.101 visible

  allocate-interface GigabitEthernet0/1.501 visible

  config-url disk0:/Customer1

  join-failover-group 1

! 虛擬防火牆Customer2，設定為Failover group2

context Customer2

  description Customer2

  allocate-interface GigabitEthernet0/0.102 visible

  allocate-interface GigabitEthernet0/1.502 visible

  config-url disk0:/Customer2

  join-failover-group 2

!

!

username cisco password password

prompt hostname context

Cryptochecksum:3f8df13b36f2850f49d8b29b66ccabe2

4.          個別context 設定與Active/Active failover
個別context 設定與single mode 沒有差異，步驟是設定interface nameif 、security level 、介面 ip 位址、遠端管理、密碼、路由資訊、NAT、防火牆策略等等。
以上failover設定，將PRIMARY ASA設定為failover group 1,SECONDARY ASA 設定為failover group 2,而Customer1 預設為failover group 1 群組，Customer2 預設為failover group 2 群組，並啟動stateful failover。
兩個客戶封包路徑如下圖:
 
當ASA primary 故障時，流量集中到良好設備線路上，此時session不會中斷，服務保持正常，達到failover預期效果。

檢視ASA failover 資訊，指令:show failover
 

　

5.          管理ASA5580 multi-context 。
登入ASA後有三個模式，system , admin和context 模式。
system : 整體系統資訊，在此模式可以看到每一個context 的介面配置，class配置，及實體介面設定。
admin 模式: 由system登入admin，使用指令 changeto context admin
範例 pixfirewall# changeto context admin
          pixfirewall/admin#  
登入後命令提示字元表示方式多了/admin。跳回system 需使用指令 change system。此模式為系統預設產生，可供指定管理介面，成為管理使用的context, 也可以是一般context .
context 模式:自行新增的context 都屬於這種模式，分配給個別客戶使用，切換到此模式的方式與admin相同。
如果context 由客戶自行管理時，客戶可以直接以ssh 登入所屬的context,如範例中的Customer1或Customer2，此時，無法再切換到admin 或system .此為安全考量。

結語
ASA 5500系列防火牆超高的效能以及靈活的配置運用，搭配multi-context，是企業或DatsCenter 最佳的防火牆設備，不但節能省設備成本，更有簡潔的指令介面，和善的圖形管理介面，新版軟體更有先進的管理除錯功能packet tracer.每項優點都是網路管理者所需，必備的工具。 

參考文件：
1. CISCO官方網站 防火牆ASA5580 資料介紹
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.html
2. CISCO防火牆軟體操作手冊8.0版本
http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/conf_gd.html
3.CISCO防火牆軟體操作手冊8.1版本
http://www.cisco.com/en/US/docs/security/asa/asa81/config/guide/config.html