本节书摘来自异步社区《CCNP安全防火墙642-618认证考试指南》一书中的第2章,第2.6节配置文件,作者【美】David Hucaby , Dave Garneau , Anthony Sequeira,更多章节内容可以访问云栖社区“异步社区”公众号查看
2.6 配置文件
CCNP安全防火墙642-618认证考试指南
关键ASA设备可以在其flash存储内保存一份“启动(startup)”配置文件,当设备重启或断电时,启动配置文件内的配置命令不会发生丢失。一旦ASA设备开始启动,它将把启动配置文件内的命令复制到RAM(易失性)内存中作为“运行(running)”配置文件。完成启动后,被输入或复制到运行配置文件的命令将立即执行并生效。
输入命令show startup-config可以查看启动配置文件的内容,如例2-9所示。第一行指示启动配置文件在ASA设备运行时间内已经至少被保存过一次;第二行记录了最近一次运行配置文件被保存为启动配置文件的时间戳,并且本次保存操作是由用户enable_15(特权EXEC或enable模式)所执行的。
例2-9 显示启动配置文件内容
url指定启动配置文件的位置,该位置可以是flash:path、disk0:path或disk1:path。其中path指定启动配置文件的路径。例如,如果一份新的启动配置文件newconfig存储在flash文件系统disk0:的根目录下,则指定该文件为启动配置文件的命令为boot config disk0:/newconfig。
boot config url命令只是对运行配置文件内所使用的环境变量参数进行了更改,因此,请确保更改后的运行配置文件通过copy running-config startup-config命令进行了保存。在执行了保存操作后,ASA设备将使用新的url,并且后续保存的启动配置文件也将存储在该路径所指定的文件内,不再存储于默认隐藏分区。如果指定的文件不存在,那么ASA将创建该文件;如果文件存在,ASA则会把运行配置文件和文件内容进行合并。由于环境变量参数也会被更新,因此依照环境变量指示,在下一次启动时设备将自动选择新的启动配置文件。
使用show bootvar命令可以查看当前启动配置文件中的环境变量参数。例2-10中,Current CONFIG FILE变量为空,代表ASA设备当前使用默认的启动配置文件位置。使用boot config命令更改后,该参数将被更新成新文件的位置。
但是,如果此时运行配置文件未能及时保存为新的启动配置文件,那么在flash存储中将不会生成新的启动配置文件。当在下一次启动时,设备将依然使用默认参数(CONFIG FILE变量一栏指示为空)。因此,只有当运行配置文件被保存后防火墙才能在下次启动时使用新的配置文件。
例2-10 使用新启动配置文件
注意,即使启动配置文件使用了新的位置和新的文件名,在保存运行配置时也无需指定新参数。防火墙可以继续使用startup-config关键字来代表位于新URL的实际文件。换句话说,copy running-config startup-config命令将自动把运行配置文件保存为flash存储中新的启动配置文件。
2.6.1 清除ASA设备配置
关键如果不再需要启用某些功能特性,那么管理员可能需要对ASA设备的运行配置文件的部分内容进行清除。有时甚至需要清除当前全部的运行配置文件,以便ASA设备能够在新的情景内使用。在全局配置模式中,可以使用下面的clear configure命令语法对运行配置文件进行全部或部分清除。
clear configure all:清除全部的运行配置文件。
clear configure primary:清除和连通性相关的所有命令,这包括ip address、mtu、monitor-interface、boot、route、failover、tftp-server及shun命令。
clear configure secondary:清除和ASA设备连通性无关的命令。
clear configure command:清除所有使用command关键字的命令。
通常情况下,可以在特定命令的开头加上关键字no来删除运行配置文件内相应的内容。例如,如果接口使用配置命令ip address 192.168.1.1 255.255.255.0指定了IP地址,那么可以使用no ip address 192.168.1.1 255.255.255.0来清除IP地址信息。但是某些命令不允许使用关键字no,只能利用clear configure command进行清除。
例2-11中,ASA设备的运行配置文件内拥有一条访问控制列表的配置。直接在运行配置文件内显示的访问控制列表条目前加上关键字no,可以清除具体的访问控制列表条目。但是无法通过no access-list test命令来直接清除整个访问控制列表,而必须使用全局配置命令clear configure access-list test对其进行清除。
如果想要使得ASA设备暂停服务或配置清空,那么需要清除其运行和启动配置文件的全部内容。首先使用clear configure all命令清空运行配置文件,然后将清空的运行配置文件通过copy running-config startup-config命令对启动配置文件进行覆盖,从而达到清除的目的。
另一种简单的清空配置的方法是使用write erase命令,该命令可直接擦除启动配置文件的所有内容,且该命令不会影响当前的运行配置文件。在启动配置文件擦除后便可重启ASA设备以清除所有配置。本章“重启ASA设备”一节将介绍设备重启的详细信息。