2.7 ASA文件系统
CCNP安全防火墙642-618认证考试指南
ASA设备拥有一个内置的flash(非易失)存储文件系统,用于存储包括操作系统镜像、ASDM管理程序镜像及防火墙配置等文件。
ASA设备启动时会解压可执行的操作系统镜像,并将其从flash内复制到RAM中运行。因此,即便设备正在运行,也可以将其他的系统镜像复制或写入flash存储中。事实上,flash存储器中的镜像文件之所以能够被随意覆盖而不发生故障,是因为设备的操作系统是在RAM中运行的,而新的镜像文件却是在ASA设备下次重启时才运行。
ASDM为ASA设备管理提供了图形化用户接口并按需启动,并且ASDM管理程序也不是在flash文件系统中运行的。为保证ASDM的正常运行,操作系统镜像必须和ASDM镜像相互兼容。
可以使用下面的方法将镜像文件传输到ASA设备的flash存储上。
在ASA设备启动过程中进入监控模式,并使用TFTP传输。
在管理会话(ASA Console控制台、Telnet或SSH)上使用TFTP传输。
在ASDM中通过HTTP或HTTPS进行传输;
ASA设备还能够轮询自动更新服务器(AUS),从而定期检查是否存在可用的新镜像。如果存在,那么该镜像将使用HTTPS被自动下载。
一旦ASDM镜像被下载到flash存储内,便能够立即被使用。当操作系统镜像下载完成后,ASA设备必须手动重启并加载该新镜像。
2.7.1 操作ASA设备flash文件系统
ASA设备的flash文件系统和传统Cisco IOS的文件系统的组织方式类似:在使用前都必须进行格式化、都采用树形目录结构、文件都存放于目录中。ASA设备支持各种不同类型的存储器,并且这些存储器可以分别拥有自己的文件系统。例如,每台ASA设备都支持使用存储器disk0:和flash:,但它们均指代相同的内部flash存储文件系统。连接到ASA设备的会话的初始位置是disk0:根目录,该目录下包含其他文件或子目录,同时这些子目录内也可包含文件和下一级子目录,依此类推。另外,ASA设备还支持disk1:,该存储器代表可移动的flash驱动器(即CF闪存卡)。
使用dir device:命令可查看flash目录中的内容,其中device和path皆为可选项。如果省略存储器名称,则默认为disk0:。如果省略路径名,则默认为当前目录路径。为了匹配特定文件名中的字符,允许在路径名中使用正则表达式或通配符进行过滤筛选。例2-12显示了disk0:/内的flash文件系统的内容。
例2-12 显示ASA flash文件系统内容
使用/all关键字将显示目录内所有文件。使用/recursive关键字能够递归地查看嵌套目录结构,并列出目录结构中所有文件。
使用cd device:命令可更改当前目录路径,例如:使用cd disk0:/log命令可以将CLI会话移动到log子目录下。由于用户能够在flash文件系统内随意移动目录路径,因此如果忘记了当前的目录路径所在,可使用pwd命令查看当前CLI会话所在的目录位置。
如需创建新的目录来存放文件,可使用mkdir /noconfirmpath命令。而删除目录则使用rmdir /noconfirmpath命令。目录在删除之前必须为空。
默认情况下,条目被创建或删除时,ASA设备将进行确认询问。使用/noconfirm选项将直接执行而不进行确认询问。
2.7.2 操作ASA文件系统内的文件
可以对存储在ASA设备文件系统内的文件进行一些常见的操作。例如,对文件内容进行查看,可使用如下命令:
其中,文件的源和目的字段使用device:path格式指定,表2-3中列出了可用选项。若对运行配置文件或启动配置文件操作时,可以使用关键字running-config和startup-config来指定源或目的。
若文件源或目的只指定了device名称,而不包括具体路径或文件名,那么ASA设备将在文件复制前询问未给出的信息。
例2-14中演示了copy命令的三种不同用法。第一个例子中,ASA镜像文件asa823-k8.bin从一台TFTP服务器上复制到ASA设备disk0:文件系统内,管理员直接在命令行内给出了文件复制的所有参数。注意,ASA设备对于每个参数依然进行了询问,但在命令行中输入的参数会在询问时成为默认值。第二个例子,ASDM镜像文件从TFTP服务器复制到flash中,此时管理员省略了命令行中的输入参数,因此ASA设备将逐一对参数进行询问。最后一个例子中,是把运行配置文件从ASA设备复制到TFTP服务器上。
例2-14 复制文件到ASA文件系统
注意:
如果在文件复制过程中,FTP服务器需要对用户进行认证或必须指定具体端口,则应使用包含额外信息的URL格式:
ftp://[username[:password]@]server[:port]/[path/]filename
对flash文件系统内已存在文件进行重命名,可使用下面的命令:
在某些特殊情况下,可能需要对整个flash文件系统进行擦除,这种操作(即格式化)将删除flash存储上的所有内容(包括可访问的和隐藏的flash文件系统)。这通常是由于ASA设备的所有权发生了改变,为保证flash内容的机密性,应在转交前删除全部内容。使用命令erase device:或format device:可以对disk0:、disk1:或flash:进行完全擦除。
为了擦除flash存储中的每个文件,包括镜像文件、配置文件和许可文件,系统将使用0XFF数据字符对所有文件执行覆盖,从而达到格式化的效果。之后,初始化的空flash文件系统将被重建。由于flash中的镜像文件和运行配置文件已经在RAM中加载了,因此即使flash文件系统被擦除,ASA设备依然能够正常运行。但是一旦ASA设备重启,它便无法正常运行。