使用Security Context建立虚拟防火墙

特性介绍：从PIX7.0和FWSM 2.2(1)开始，可以把物理的一个防火墙配置出多个虚拟的防火墙，每个防火墙称为context，这样一个防火墙就支持两种工作模式：single-context和multiple-context，处于后者工作模式的防火墙被分为三个功能模块：system execution space(虽然没有context的功能，但是是所有的基础)，administrative context(被用来管理物理的防火墙) 和 user contexts(虚拟出来的防火墙，所有配置防火墙的命令都适用)
.J2P~1awF0配置：首先使用show activation-key来验证是否有multiple-context的许可，然后通过mode multiple和mode single命令在这两个模式之间进行切换，当然也可以用show mode来验证现在工作在什么模式下。在不同context下进行切换使用：
ZY/o xO^9v0Firewall# changeto {system | context name}
(UWbo!|S`(V0由于所有的context的定义都必须在system execution space下，所以要首先使用changeto system转入该模式：ITPUB个人空间Jd0~OrR"p I2s$^4Q%A
Firewall(config)#context nameITPUB个人空间OQJ#dh!VEN
接着要把物理接口映射到context中 只要这样才能在相应的context下显示出物理接口，从而配置其属性：ITPUB个人空间s7d#HHH:qU7I;B!~m
Firewall(config-ctx)# allocate-interface physical-interface [map-name]
*~t
c7}N/K.[0最后定义context 的startup-config的存放位置：
5t9tgCr,P]0Firewall(config-ctx)# config-url url
B)oAuY/LrwG)}-Y0通过show context验证
AHj;|sN1z0注：当防火墙工作在multiple-context模式下，admin context就自动生成。(show context来验证)由于所有的context都共享设备的资源，所以要限制各个context的资源分配首先定义class：
#]tN r
\;r0Firewall(config)# class name

然后
1h8T ^NJU%W'l8`:iP0Firewall(config-class)# limit-resource all number%
b~3v
?%ne0}u8`0Firewall(config-class)#limit-resource [rate] resource_name number[%]ITPUB个人空间B/~|,vMmS?
最后在相应的context配置下
7y3^M'd$g;Y
S1a0Firewall(config-ctx)# member classITPUB个人空间g5qni?mWy4Hm
通过以下命令验证 show class， show resource allocation, show resource usage等ITPUB个人空间c;xA_%uKr9p
注：缺省telnet，ssh，IPsec 5 sessions，MAC address 65535条目