在 Cisco ASA 上配置管理介面以允許從現有管理 LAN 進行訪問

（重新定義問題以匹配實際的 LAN 拓撲……）

我有一個新的 Cisco ASA-5512-X 防火牆，它將進入現有的網路堆棧，以將一些特定的客戶端伺服器與我們的 LAN 的其餘部分分開（即不是作為邊緣設備）。

現有的 LAN 基礎設施已經有一個數據 VLAN（正常網路節點所在的位置）、一個管理 VLAN（系統管理員桌面和備份設備所在的位置）和一個設備 VLAN（所有網路設備的所有“遠端管理”介面和伺服器直播）。VLAN 都由核心防火牆設置防火牆，並帶有security-level允許系統管理員/備份伺服器訪問數據和設備 VLAN 的語句，同時阻止數據和設備 VLAN 相互通信。

下面是一個試圖解釋目前設置的圖表。

                                  213.48.xx.xx    ( MGT_VLAN  Gi0/1.10  sec 100 )
                                        |     ____( DVCS_VLAN Gi0/1.12  sec 80  )
                                        |    /    ( DATA_VLAN Gi0/1.100 sec 80  )
                                        |   / 
          +------------------------[Core F/W]------------------------+
          |                             |                            |
    172.31.0.10                   172.31.255.10                172.31.100.10
          |                             |                            |
-------------------------------------------------------------------------------------
MgtVLAN#10:172.31.0.0/24 | DvcsVLAN#12:172.31.255.0/24 | DataVLAN#100:172.31.100.0/23  
-------------------------------------------------------------------------------------
        | | |                           |                |              \ \ \
     [SysAdmins]                 172.31.255.136    172.31.100.252    [LAN Clients]
                                        |                |
                                        +------------[New ASA]
                                                         |
                                                   172.31.250.10
                                                         |
                                      -----------------------------------------
                                      SecretLAN:172.31.250.0/24  [L2 Switching]
                                      -----------------------------------------
                                                       | | |
                                                  [Secret Servers]  

為了與目前 LAN 保持一致，我想指定Management0/0新 ASA 上的介面位於設備 VLAN 內，因此只能通過 Telnet/SSH/ADSM 通過該 VLAN 子網中的地址訪問它。 Ma0/0已management-only強制執行，防止通過交通。它無法從新的 5512-X 型號中刪除，我也無法使用其他介面之一，因為新 ASA 的 IPS 組件（我們必須這樣做的原因）只能通過Ma0/0.

如果我將系統管理員桌面插入設備 VLAN 的訪問埠，我可以訪問新 ASA 的管理界面。但是，VLAN10 中其正常家庭中的系統管理員桌面不能，即使security-level核心防火牆上應該允許這樣做。

我相信我已經把它縮小到一個基本的路由問題：新的 ASA 配置了route OUTSIDE 0.0.0.0 0.0.0.0 172.31.100.10（即預設網關是核心防火牆的數據 VLAN 子介面的地址），並且Ma0/0配置了ip address 172.31.255.136 255.255.255.0（牢固地在設備 VLAN 子網中）。新 ASA 將接受來自管理 VLAN (172.31.0.0/24) 的管理連接，但無法發送回复，因為它嘗試通過 OUTSIDE 介面路由返回。

但是，我不能添加route MANAGEMENT 172.31.0.0 255.255.255.0 172.31.255.10，因為這肯定會導致備份伺服器的流量（也在 172.31.0.0/24 地址上）通過 MANAGEMENT 介面（100Mbps NIC）而不是 OUTSIDE（1Gbps NIC）錯誤路由。

我可以讓Ma0/0界面以這種方式工作嗎？或者我是否必須在設備 VLAN 上放置一個終端並將其用作我的管理 VLAN 的雙跳（例如通過 SSH 遠端埠轉發；或 telnet 到一個，然後 telnet 到另一個）？

有兩種方法可以做到這一點。

1. 在 SysAdmins VLAN 中使用專用跳轉框，並且僅通過管理介面路由此 IP。
2. 通過MA0/0介面路由 SysAdmins VLAN，並且僅路由需要通過外部介面（例如備份伺服器）訪問秘密伺服器的單個 IP 地址。

首選方法取決於 SysAdmin VLAN 中有多少機器需要直接訪問防火牆後面的伺服器。最簡單的解決方案是從外部介面管理防火牆並禁用 MA0/0 介面（如果您的本地策略允許）。

引用自：https://serverfault.com/questions/416323