我正在使用Cisco ASA 5510.我将pipe理界面更改为不同的界面。 我使用命令“pipe理访问”来获得新的接口工作,但旧的界面继续工作。 所以我不确定这个命令是干什么的。 我认为这样做只有选定的接口可以用于Web界面和SSH,但事实并非如此。 那么它是做什么的?
management-access命令有点用词不当 – 它并不指定哪个接口可以接收pipe理stream量。
pipe理stream量(它监听的接口和允许的地址)由http和ssh命令控制(也是telnet ,但不要closures!):
http server enable http 10.0.0.0 255.0.0.0 inside ssh version 2 ssh 10.0.0.0 255.0.0.0 inside
请注意,此configuration不包括management-access命令,但工作得很好。 另外,只允许有一个management-access接口存在,但是在http和ssh命令中可以很容易地指定多个接口,以允许stream量进入任意数量的所需接口。
那么, management-access命令真的是什么呢?
那么, 思科说 ,这只是当你需要从VPN隧道的远端pipe理设备时:
此命令允许您连接到使用完全隧道IPSec VPN或SSL VPN客户端(AnyConnect 2.x客户端,SVC 1.x)或跨站点到站点IPSec隧道。 例如,如果从外部接口inputASA,则使用此命令可以使用Telnet连接到内部接口,也可以在从外部接口input时ping通内部接口。
但是,那不是全部的事情。 当防火墙是需要跨越接口的stream量的发起者(也就是说,通过VPN隧道进行封装)时,该命令也很重要。
假设我有一个198.51.100.1的内部接口和一个203.0.113.1的外部接口。 它有一个本地networking198.51.100.0/24和192.0.2.0/24的远程networking的VPN隧道。
我在隧道的另一端有一个系统日志服务器,我希望ASA发送它的日志。 我这样configuration:
logging enable logging host outside 192.0.2.15 logging trap debugging
而且,这是一个火车残骸。 我的系统日志数据包正在发送一个外部接口地址的来源,试图在203.0.113.0/24networking上使用我的下一跳,将其转到隧道另一侧的私有IP空间。 但他们不在隧道中,他们在明文尝试通过公共互联网路由,并迅速由第一个路由器,看到我的远程私人范围192.0.2.0/24是不是在互联网上的有效路线。
问题是,当syslog数据包的源接口被指定为外部时,该接口的地址被用来发送数据包。 数据包的目的地仍然是192.0.2.15(位于VPN隧道的远程networking内),但是它们来自203.0.113.1–它不符合VPN隧道的encryptionACL; 它不在IPSec本地networking中。
但是,如果这样configuration:
logging enable logging host inside 192.0.2.15 logging trap debugging management-access inside
management-access命令允许发送到该接口的stream量以及从该接口发送的stream量立即穿越不同的接口,而不是直接从内部接口进入/离开。 源地址设置正确,encryptionACL匹配,并按照预期stream量通过VPN隧道。
pipe理访问授权访问通过特定的界面pipe理您的设备。 您需要添加一个“无pipe理访问”行来停止从旧界面的访问。
我相信pipe理访问命令只对一个接口有效,所以将其应用于“inside”将其从“outside”或“inside2”中删除。 而且,它仅用于通过VPN隧道进行pipe理。