web-dev-qa-db-ja.com

Cisco ASAの管理インターフェイスを設定して、既存の管理LANからのアクセスを許可する

(質問を再定義して実際のLANトポロジに一致させる...)

新しいCisco ASA-5512-Xファイアウォールを使用しています。既存のネットワークスタックを使用して、特定のクライアントサーバーを他のLANから分離します(つまり、エッジデバイスとしてではありません)。

既存のLANインフラストラクチャには、データVLAN(通常のネットワークノードが存在する場所)、管理VLAN(sysadminsデスクトップおよびバックアップデバイスが存在する場所))およびaデバイスVLAN(すべてのネットワークデバイスとサーバーのすべての「リモート管理」インターフェイスが存在する場所)。VLANはすべて、コアファイアウォールによってファイアウォールで保護されており、security-levelステートメントでsysadmins/backupサーバーは、データVLANとデバイスVLANの両方にアクセスしながら、データVLANとデバイスVLANが相互に通信することを防ぎます。

以下は、現在の設定を説明するために試みた図です。

                                   213.48.xx.xx    ( MGT_VLAN  Gi0/1.10  sec 100 )
                                         |     ____( DVCS_VLAN Gi0/1.12  sec 80  )
                                         |    /    ( DATA_VLAN Gi0/1.100 sec 80  )
                                         |   / 
           +------------------------[Core F/W]------------------------+
           |                             |                            |
     172.31.0.10                   172.31.255.10                172.31.100.10
           |                             |                            |
-------------------------------------------------------------------------------------
MgtVLAN#10:172.31.0.0/24 | DvcsVLAN#12:172.31.255.0/24 | DataVLAN#100:172.31.100.0/23  
-------------------------------------------------------------------------------------
         | | |                           |                |              \ \ \
      [SysAdmins]                 172.31.255.136    172.31.100.252    [LAN Clients]
                                         |                |
                                         +------------[New ASA]
                                                          |
                                                    172.31.250.10
                                                          |
                                       -----------------------------------------
                                       SecretLAN:172.31.250.0/24  [L2 Switching]
                                       -----------------------------------------
                                                        | | |
                                                   [Secret Servers]

現在のLANに合わせて、新しいASAのManagement0/0インターフェイスをデバイスVLAN内に存在するように指定し、そのVLANのサブネットのアドレスを介してTelnet/SSH/ADSMからのみアクセスできるようにします。 Ma0/0にはmanagement-onlyが適用されており、通過トラフィックを防止しています。新しいASAのIPSコンポーネント)であるため、新しい5512-Xモデルから削除できず、他のインターフェイスの1つを使用できません(まさに、 this)はMa0/0を介してのみアクセスできます。

SysadminデスクトップをデバイスVLANのアクセスポートに接続すると、新しいASAの管理インターフェイスにアクセスできます。ただし、コアファイアウォールのsecurity-levelで許可されていても、VLAN10の通常のホームにあるsysadminデスクトップではできません。

私はそれを基本的なルーティングの問題に絞り込んだと思います:新しいASAはroute OUTSIDE 0.0.0.0 0.0.0.0 172.31.100.10で構成されます(つまり、デフォルトゲートウェイはコアファイアウォールのデータのアドレスVLANサブインターフェイス)、およびMa0/0ip address 172.31.255.136 255.255.255.0で構成されます(確かにデバイスVLANサブネット内)。新しいASAは、管理からの管理接続を受け入れますVLAN(172.31.0.0/24)しかし、OUTSIDEインターフェースを介してルーティングしようとするため、応答を送信できません。

ただし、route MANAGEMENT 172.31.0.0 255.255.255.0 172.31.255.10を追加することはできません。バックアップサーバーのトラフィック(これも172.31.0.0/24アドレス上にある)が、OUTSIDE(a 1Gbps NIC)。

Ma0/0インターフェースをこのように機能させることはできますか?または、端末に端末を設置する必要がありますVLANそしてそれを私の管理からのダブルホップとして使用するVLAN(例えば、SSHリモートポート転送によって;または、一方にtelnet、次にもう一方にtelnet)?

cisco-asa
4
jimbobmcgee

これを行うには、2つの方法があります。

  1. SysAdmins VLAN=の専用ジャンプボックスを使用して、このIPを管理インターフェース全体にルーティングするだけです。
  2. SysAdmins VLAN MA0/インターフェース全体にルーティングし、アクセスする必要がある個々のIPアドレスのみをルーティングしますSecret ServersOutsideインターフェース(バックアップサーバーなど)経由。

推奨される方法は、SysAdminのマシンの数によって異なりますVLANファイアウォールの背後にあるサーバーに直接アクセスする必要があります。最も簡単な解決策は、外部インターフェースからファイアウォールを管理し、MA0/0インターフェースを無効にすることです。ローカルポリシーで許可されている場合。

1
resmon6