本節書摘來自異步社群《ccnp安全防火牆642-618認證考試指南》一書中的第2章,第2.6節配置檔案,作者【美】david hucaby , dave garneau , anthony sequeira,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視
2.6 配置檔案
ccnp安全防火牆642-618認證考試指南
關鍵asa裝置可以在其flash存儲内儲存一份“啟動(startup)”配置檔案,當裝置重新開機或斷電時,啟動配置檔案内的配置指令不會發生丢失。一旦asa裝置開始啟動,它将把啟動配置檔案内的指令複制到ram(易失性)記憶體中作為“運作(running)”配置檔案。完成啟動後,被輸入或複制到運作配置檔案的指令将立即執行并生效。
輸入指令show startup-config可以檢視啟動配置檔案的内容,如例2-9所示。第一行訓示啟動配置檔案在asa裝置運作時間内已經至少被儲存過一次;第二行記錄了最近一次運作配置檔案被儲存為啟動配置檔案的時間戳,并且本次儲存操作是由使用者enable_15(特權exec或enable模式)所執行的。
例2-9 顯示啟動配置檔案内容
url指定啟動配置檔案的位置,該位置可以是flash:path、disk0:path或disk1:path。其中path指定啟動配置檔案的路徑。例如,如果一份新的啟動配置檔案newconfig存儲在flash檔案系統disk0:的根目錄下,則指定該檔案為啟動配置檔案的指令為boot config disk0:/newconfig。
boot config url指令隻是對運作配置檔案内所使用的環境變量參數進行了更改,是以,請確定更改後的運作配置檔案通過copy running-config startup-config指令進行了儲存。在執行了儲存操作後,asa裝置将使用新的url,并且後續儲存的啟動配置檔案也将存儲在該路徑所指定的檔案内,不再存儲于預設隐藏分區。如果指定的檔案不存在,那麼asa将建立該檔案;如果檔案存在,asa則會把運作配置檔案和檔案内容進行合并。由于環境變量參數也會被更新,是以依照環境變量訓示,在下一次啟動時裝置将自動選擇新的啟動配置檔案。
使用show bootvar指令可以檢視目前啟動配置檔案中的環境變量參數。例2-10中,current config file變量為空,代表asa裝置目前使用預設的啟動配置檔案位置。使用boot config指令更改後,該參數将被更新成新檔案的位置。
但是,如果此時運作配置檔案未能及時儲存為新的啟動配置檔案,那麼在flash存儲中将不會生成新的啟動配置檔案。當在下一次啟動時,裝置将依然使用預設參數(config file變量一欄訓示為空)。是以,隻有當運作配置檔案被儲存後防火牆才能在下次啟動時使用新的配置檔案。
例2-10 使用新啟動配置檔案
注意,即使啟動配置檔案使用了新的位置和新的檔案名,在儲存運作配置時也無需指定新參數。防火牆可以繼續使用startup-config關鍵字來代表位于新url的實際檔案。換句話說,copy running-config startup-config指令将自動把運作配置檔案儲存為flash存儲中新的啟動配置檔案。
2.6.1 清除asa裝置配置
關鍵如果不再需要啟用某些功能特性,那麼管理者可能需要對asa裝置的運作配置檔案的部分内容進行清除。有時甚至需要清除目前全部的運作配置檔案,以便asa裝置能夠在新的情景内使用。在全局配置模式中,可以使用下面的clear configure指令文法對運作配置檔案進行全部或部厘清除。
clear configure all:清除全部的運作配置檔案。
clear configure primary:清除和連通性相關的所有指令,這包括ip address、mtu、monitor-interface、boot、route、failover、tftp-server及shun指令。
clear configure secondary:清除和asa裝置連通性無關的指令。
clear configure command:清除所有使用command關鍵字的指令。
通常情況下,可以在特定指令的開頭加上關鍵字no來删除運作配置檔案内相應的内容。例如,如果接口使用配置指令ip address 192.168.1.1 255.255.255.0指定了ip位址,那麼可以使用no ip address 192.168.1.1 255.255.255.0來清除ip位址資訊。但是某些指令不允許使用關鍵字no,隻能利用clear configure command進行清除。
例2-11中,asa裝置的運作配置檔案内擁有一條通路控制清單的配置。直接在運作配置檔案内顯示的通路控制清單條目前加上關鍵字no,可以清除具體的通路控制清單條目。但是無法通過no access-list test指令來直接清除整個通路控制清單,而必須使用全局配置指令clear configure access-list test對其進行清除。
如果想要使得asa裝置暫停服務或配置清空,那麼需要清除其運作和啟動配置檔案的全部内容。首先使用clear configure all指令清空運作配置檔案,然後将清空的運作配置檔案通過copy running-config startup-config指令對啟動配置檔案進行覆寫,進而達到清除的目的。
另一種簡單的清空配置的方法是使用write erase指令,該指令可直接擦除啟動配置檔案的所有内容,且該指令不會影響目前的運作配置檔案。在啟動配置檔案擦除後便可重新開機asa裝置以清除所有配置。本章“重新開機asa裝置”一節将介紹裝置重新開機的詳細資訊。