本节书摘来自异步社区《ccnp安全防火墙642-618认证考试指南》一书中的第2章,第2.7节asa文件系统,作者【美】david hucaby , dave garneau , anthony sequeira,更多章节内容可以访问云栖社区“异步社区”公众号查看
2.7 asa文件系统
ccnp安全防火墙642-618认证考试指南
asa设备拥有一个内置的flash(非易失)存储文件系统,用于存储包括操作系统镜像、asdm管理程序镜像及防火墙配置等文件。
asa设备启动时会解压可执行的操作系统镜像,并将其从flash内复制到ram中运行。因此,即便设备正在运行,也可以将其他的系统镜像复制或写入flash存储中。事实上,flash存储器中的镜像文件之所以能够被随意覆盖而不发生故障,是因为设备的操作系统是在ram中运行的,而新的镜像文件却是在asa设备下次重启时才运行。
asdm为asa设备管理提供了图形化用户接口并按需启动,并且asdm管理程序也不是在flash文件系统中运行的。为保证asdm的正常运行,操作系统镜像必须和asdm镜像相互兼容。
可以使用下面的方法将镜像文件传输到asa设备的flash存储上。
在asa设备启动过程中进入监控模式,并使用tftp传输。
在管理会话(asa console控制台、telnet或ssh)上使用tftp传输。
在asdm中通过http或https进行传输;
asa设备还能够轮询自动更新服务器(aus),从而定期检查是否存在可用的新镜像。如果存在,那么该镜像将使用https被自动下载。
一旦asdm镜像被下载到flash存储内,便能够立即被使用。当操作系统镜像下载完成后,asa设备必须手动重启并加载该新镜像。
2.7.1 操作asa设备flash文件系统
asa设备的flash文件系统和传统cisco ios的文件系统的组织方式类似:在使用前都必须进行格式化、都采用树形目录结构、文件都存放于目录中。asa设备支持各种不同类型的存储器,并且这些存储器可以分别拥有自己的文件系统。例如,每台asa设备都支持使用存储器disk0:和flash:,但它们均指代相同的内部flash存储文件系统。连接到asa设备的会话的初始位置是disk0:根目录,该目录下包含其他文件或子目录,同时这些子目录内也可包含文件和下一级子目录,依此类推。另外,asa设备还支持disk1:,该存储器代表可移动的flash驱动器(即cf闪存卡)。
使用dir device:命令可查看flash目录中的内容,其中device和path皆为可选项。如果省略存储器名称,则默认为disk0:。如果省略路径名,则默认为当前目录路径。为了匹配特定文件名中的字符,允许在路径名中使用正则表达式或通配符进行过滤筛选。例2-12显示了disk0:/内的flash文件系统的内容。
例2-12 显示asa flash文件系统内容
使用/all关键字将显示目录内所有文件。使用/recursive关键字能够递归地查看嵌套目录结构,并列出目录结构中所有文件。
使用cd device:命令可更改当前目录路径,例如:使用cd disk0:/log命令可以将cli会话移动到log子目录下。由于用户能够在flash文件系统内随意移动目录路径,因此如果忘记了当前的目录路径所在,可使用pwd命令查看当前cli会话所在的目录位置。
如需创建新的目录来存放文件,可使用mkdir /noconfirmpath命令。而删除目录则使用rmdir /noconfirmpath命令。目录在删除之前必须为空。
默认情况下,条目被创建或删除时,asa设备将进行确认询问。使用/noconfirm选项将直接执行而不进行确认询问。
2.7.2 操作asa文件系统内的文件
可以对存储在asa设备文件系统内的文件进行一些常见的操作。例如,对文件内容进行查看,可使用如下命令:
其中,文件的源和目的字段使用device:path格式指定,表2-3中列出了可用选项。若对运行配置文件或启动配置文件操作时,可以使用关键字running-config和startup-config来指定源或目的。
若文件源或目的只指定了device名称,而不包括具体路径或文件名,那么asa设备将在文件复制前询问未给出的信息。
例2-14中演示了copy命令的三种不同用法。第一个例子中,asa镜像文件asa823-k8.bin从一台tftp服务器上复制到asa设备disk0:文件系统内,管理员直接在命令行内给出了文件复制的所有参数。注意,asa设备对于每个参数依然进行了询问,但在命令行中输入的参数会在询问时成为默认值。第二个例子,asdm镜像文件从tftp服务器复制到flash中,此时管理员省略了命令行中的输入参数,因此asa设备将逐一对参数进行询问。最后一个例子中,是把运行配置文件从asa设备复制到tftp服务器上。
例2-14 复制文件到asa文件系统
注意:
如果在文件复制过程中,ftp服务器需要对用户进行认证或必须指定具体端口,则应使用包含额外信息的url格式:
ftp://[username[:password]@]server[:port]/[path/]filename
对flash文件系统内已存在文件进行重命名,可使用下面的命令:
在某些特殊情况下,可能需要对整个flash文件系统进行擦除,这种操作(即格式化)将删除flash存储上的所有内容(包括可访问的和隐藏的flash文件系统)。这通常是由于asa设备的所有权发生了改变,为保证flash内容的机密性,应在转交前删除全部内容。使用命令erase device:或format device:可以对disk0:、disk1:或flash:进行完全擦除。
为了擦除flash存储中的每个文件,包括镜像文件、配置文件和许可文件,系统将使用0xff数据字符对所有文件执行覆盖,从而达到格式化的效果。之后,初始化的空flash文件系统将被重建。由于flash中的镜像文件和运行配置文件已经在ram中加载了,因此即使flash文件系统被擦除,asa设备依然能够正常运行。但是一旦asa设备重启,它便无法正常运行。