Cisco-Asa

Cisco ASA 命令“管理訪問”有什麼作用?

  • November 21, 2013

我正在使用 Cisco ASA 5510。我將管理界面更改為不同的界面。我使用命令“管理訪問”來使新界面工作,但舊界面繼續工作。所以我不確定這個命令是做什麼的。我認為它會成功,因此只有選定的介面可用於 Web 界面和 SSH,但事實並非如此。那麼它有什麼作用呢?

management-access命令有點用詞不當——它沒有規定哪個介面可以接收管理流量。

管理流量(它監聽哪些介面,以及允許哪些地址)由httpandssh命令控制(telnet也是,但不要管它!):

http server enable
http 10.0.0.0 255.0.0.0 inside
ssh version 2
ssh 10.0.0.0 255.0.0.0 inside

請注意,此配置不包含命令management-access,但工作正常。此外,只management-access允許存在一個介面,但可以在您的httpssh命令中輕鬆指定多個介面,以允許流量進入任意數量的所需介面。


那麼,該management-access命令的真正作用是什麼?

好吧,思科表示,它僅適用於您需要從 VPN 隧道的另一端管理設備時:

此命令允許您在使用完整隧道 IPSec VPN 或 SSL VPN 客戶端(AnyConnect 2.x 客戶端、SVC 1.x)或跨站點到站點 IPSec 時連接到您進入 ASA 的介面以外的介面隧道。例如,如果您從外部介面進入 ASA,此命令允許您使用 Telnet 連接到內部介面,或者您可以在從外部介面進入時 ping 內部介面。

但是,這並不是故事的全部。當防火牆也是需要跨介面(例如,通過 VPN 隧道封裝)的流量的發起者時,此命令也很重要。


假設我有一個 198.51.100.1 的內部介面和一個 203.0.113.1 的外部介面。它有一個本地網路 198.51.100.0/24 和遠端網路 192.0.2.0/24 的 VPN 隧道。

我在隧道的另一端有一個系統日誌伺服器,我希望 ASA 將其日誌發送到該伺服器。我這樣配置它:

logging enable
logging host outside 192.0.2.15
logging trap debugging

而且,那是火車殘骸。我的 syslog 數據包使用外部介面地址的來源發送,試圖使用我在 203.0.113.0/24 網路上的下一跳將其轉移到隧道另一側的私有 IP 空間。但是它們不在隧道中,它們以明文形式試圖通過公共網際網路進行路由,並立即被第一個發現我的遠端私有範圍 192.0.2.0/24 不是網際網路上的有效路由的路由器丟棄.

問題是當系統日誌數據包上的源介面被分配為外部時,該介面的地址用於發送數據包。數據包的目的地仍然是 192.0.2.15(位於 VPN 隧道的遠端網路內),但它們來自 203.0.113.1 - 這與 VPN 隧道的加密 ACL 不匹配;它不在 IPSec 本地網路中。

但是,當這樣配置時:

logging enable
logging host inside 192.0.2.15
logging trap debugging
management-access inside

management-access命令允許發送到該介面的流量以及該介面發送的流量立即穿過不同的介面,而不是直接從內部介面進入/離開。源地址設置正確,加密 ACL 匹配,流量按預期通過 VPN 隧道。

引用自:https://serverfault.com/questions/346557