在 Cisco ASA 上配置管理介面以允許從現有管理 LAN 進行訪問
(重新定義問題以匹配實際的 LAN 拓撲……)
我有一個新的 Cisco ASA-5512-X 防火牆,它將進入現有的網路堆棧,以將一些特定的客戶端伺服器與我們的 LAN 的其餘部分分開(即不是作為邊緣設備)。
現有的 LAN 基礎設施已經有一個數據 VLAN(正常網路節點所在的位置)、一個管理 VLAN(系統管理員桌面和備份設備所在的位置)和一個設備 VLAN(所有網路設備的所有“遠端管理”介面和伺服器直播)。VLAN 都由核心防火牆設置防火牆,並帶有
security-level
允許系統管理員/備份伺服器訪問數據和設備 VLAN 的語句,同時阻止數據和設備 VLAN 相互通信。下面是一個試圖解釋目前設置的圖表。
213.48.xx.xx ( MGT_VLAN Gi0/1.10 sec 100 ) | ____( DVCS_VLAN Gi0/1.12 sec 80 ) | / ( DATA_VLAN Gi0/1.100 sec 80 ) | / +------------------------[Core F/W]------------------------+ | | | 172.31.0.10 172.31.255.10 172.31.100.10 | | | ------------------------------------------------------------------------------------- MgtVLAN#10:172.31.0.0/24 | DvcsVLAN#12:172.31.255.0/24 | DataVLAN#100:172.31.100.0/23 ------------------------------------------------------------------------------------- | | | | | \ \ \ [SysAdmins] 172.31.255.136 172.31.100.252 [LAN Clients] | | +------------[New ASA] | 172.31.250.10 | ----------------------------------------- SecretLAN:172.31.250.0/24 [L2 Switching] ----------------------------------------- | | | [Secret Servers]
為了與目前 LAN 保持一致,我想指定
Management0/0
新 ASA 上的介面位於設備 VLAN 內,因此只能通過 Telnet/SSH/ADSM 通過該 VLAN 子網中的地址訪問它。Ma0/0
已management-only
強制執行,防止通過交通。它無法從新的 5512-X 型號中刪除,我也無法使用其他介面之一,因為新 ASA 的 IPS 組件(我們必須這樣做的原因)只能通過Ma0/0
.如果我將系統管理員桌面插入設備 VLAN 的訪問埠,我可以訪問新 ASA 的管理界面。但是,VLAN10 中其正常家庭中的系統管理員桌面不能,即使
security-level
核心防火牆上應該允許這樣做。我相信我已經把它縮小到一個基本的路由問題:新的 ASA 配置了
route OUTSIDE 0.0.0.0 0.0.0.0 172.31.100.10
(即預設網關是核心防火牆的數據 VLAN 子介面的地址),並且Ma0/0
配置了ip address 172.31.255.136 255.255.255.0
(牢固地在設備 VLAN 子網中)。新 ASA 將接受來自管理 VLAN (172.31.0.0/24) 的管理連接,但無法發送回复,因為它嘗試通過 OUTSIDE 介面路由返回。但是,我不能添加
route MANAGEMENT 172.31.0.0 255.255.255.0 172.31.255.10
,因為這肯定會導致備份伺服器的流量(也在 172.31.0.0/24 地址上)通過 MANAGEMENT 介面(100Mbps NIC)而不是 OUTSIDE(1Gbps NIC)錯誤路由。我可以讓
Ma0/0
界面以這種方式工作嗎?或者我是否必須在設備 VLAN 上放置一個終端並將其用作我的管理 VLAN 的雙跳(例如通過 SSH 遠端埠轉發;或 telnet 到一個,然後 telnet 到另一個)?
有兩種方法可以做到這一點。
- 在 SysAdmins VLAN 中使用專用跳轉框,並且僅通過管理介面路由此 IP。
- 通過MA0/0介面路由 SysAdmins VLAN,並且僅路由需要通過外部介面(例如備份伺服器)訪問秘密伺服器的單個 IP 地址。
首選方法取決於 SysAdmin VLAN 中有多少機器需要直接訪問防火牆後面的伺服器。最簡單的解決方案是從外部介面管理防火牆並禁用 MA0/0 介面(如果您的本地策略允許)。