本節書摘來自異步社群《ccnp安全防火牆642-618認證考試指南》一書中的第2章,第2.7節asa檔案系統,作者【美】david hucaby , dave garneau , anthony sequeira,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視
2.7 asa檔案系統
ccnp安全防火牆642-618認證考試指南
asa裝置擁有一個内置的flash(非易失)存儲檔案系統,用于存儲包括作業系統鏡像、asdm管理程式鏡像及防火牆配置等檔案。
asa裝置啟動時會解壓可執行的作業系統鏡像,并将其從flash内複制到ram中運作。是以,即便裝置正在運作,也可以将其他的系統鏡像複制或寫入flash存儲中。事實上,flash存儲器中的鏡像檔案之是以能夠被随意覆寫而不發生故障,是因為裝置的作業系統是在ram中運作的,而新的鏡像檔案卻是在asa裝置下次重新開機時才運作。
asdm為asa裝置管理提供了圖形化使用者接口并按需啟動,并且asdm管理程式也不是在flash檔案系統中運作的。為保證asdm的正常運作,作業系統鏡像必須和asdm鏡像互相相容。
可以使用下面的方法将鏡像檔案傳輸到asa裝置的flash存儲上。
在asa裝置啟動過程中進入監控模式,并使用tftp傳輸。
在管理會話(asa console控制台、telnet或ssh)上使用tftp傳輸。
在asdm中通過http或https進行傳輸;
asa裝置還能夠輪詢自動更新伺服器(aus),進而定期檢查是否存在可用的新鏡像。如果存在,那麼該鏡像将使用https被自動下載下傳。
一旦asdm鏡像被下載下傳到flash存儲内,便能夠立即被使用。當作業系統鏡像下載下傳完成後,asa裝置必須手動重新開機并加載該新鏡像。
2.7.1 操作asa裝置flash檔案系統
asa裝置的flash檔案系統和傳統cisco ios的檔案系統的組織方式類似:在使用前都必須進行格式化、都采用樹形目錄結構、檔案都存放于目錄中。asa裝置支援各種不同類型的存儲器,并且這些存儲器可以分别擁有自己的檔案系統。例如,每台asa裝置都支援使用存儲器disk0:和flash:,但它們均指代相同的内部flash存儲檔案系統。連接配接到asa裝置的會話的初始位置是disk0:根目錄,該目錄下包含其他檔案或子目錄,同時這些子目錄内也可包含檔案和下一級子目錄,依此類推。另外,asa裝置還支援disk1:,該存儲器代表可移動的flash驅動器(即cf閃存卡)。
使用dir device:指令可檢視flash目錄中的内容,其中device和path皆為可選項。如果省略存儲器名稱,則預設為disk0:。如果省略路徑名,則預設為目前目錄路徑。為了比對特定檔案名中的字元,允許在路徑名中使用正規表達式或通配符進行過濾篩選。例2-12顯示了disk0:/内的flash檔案系統的内容。
例2-12 顯示asa flash檔案系統内容
使用/all關鍵字将顯示目錄内所有檔案。使用/recursive關鍵字能夠遞歸地檢視嵌套目錄結構,并列出目錄結構中所有檔案。
使用cd device:指令可更改目前目錄路徑,例如:使用cd disk0:/log指令可以将cli會話移動到log子目錄下。由于使用者能夠在flash檔案系統内随意移動目錄路徑,是以如果忘記了目前的目錄路徑所在,可使用pwd指令檢視目前cli會話所在的目錄位置。
如需建立新的目錄來存放檔案,可使用mkdir /noconfirmpath指令。而删除目錄則使用rmdir /noconfirmpath指令。目錄在删除之前必須為空。
預設情況下,條目被建立或删除時,asa裝置将進行确認詢問。使用/noconfirm選項将直接執行而不進行确認詢問。
2.7.2 操作asa檔案系統内的檔案
可以對存儲在asa裝置檔案系統内的檔案進行一些常見的操作。例如,對檔案内容進行檢視,可使用如下指令:
其中,檔案的源和目的字段使用device:path格式指定,表2-3中列出了可用選項。若對運作配置檔案或啟動配置檔案操作時,可以使用關鍵字running-config和startup-config來指定源或目的。
若檔案源或目的隻指定了device名稱,而不包括具體路徑或檔案名,那麼asa裝置将在檔案複制前詢問未給出的資訊。
例2-14中示範了copy指令的三種不同用法。第一個例子中,asa鏡像檔案asa823-k8.bin從一台tftp伺服器上複制到asa裝置disk0:檔案系統内,管理者直接在指令行内給出了檔案複制的所有參數。注意,asa裝置對于每個參數依然進行了詢問,但在指令行中輸入的參數會在詢問時成為預設值。第二個例子,asdm鏡像檔案從tftp伺服器複制到flash中,此時管理者省略了指令行中的輸入參數,是以asa裝置将逐一對參數進行詢問。最後一個例子中,是把運作配置檔案從asa裝置複制到tftp伺服器上。
例2-14 複制檔案到asa檔案系統
注意:
如果在檔案複制過程中,ftp伺服器需要對使用者進行認證或必須指定具體端口,則應使用包含額外資訊的url格式:
ftp://[username[:password]@]server[:port]/[path/]filename
對flash檔案系統内已存在檔案進行重命名,可使用下面的指令:
在某些特殊情況下,可能需要對整個flash檔案系統進行擦除,這種操作(即格式化)将删除flash存儲上的所有内容(包括可通路的和隐藏的flash檔案系統)。這通常是由于asa裝置的所有權發生了改變,為保證flash内容的機密性,應在轉交前删除全部内容。使用指令erase device:或format device:可以對disk0:、disk1:或flash:進行完全擦除。
為了擦除flash存儲中的每個檔案,包括鏡像檔案、配置檔案和許可檔案,系統将使用0xff資料字元對所有檔案執行覆寫,進而達到格式化的效果。之後,初始化的空flash檔案系統将被重建。由于flash中的鏡像檔案和運作配置檔案已經在ram中加載了,是以即使flash檔案系統被擦除,asa裝置依然能夠正常運作。但是一旦asa裝置重新開機,它便無法正常運作。