(重新定义了与实际LAN拓扑相匹配的问题…)
我有一个新的思科ASA-5512-X防火墙,它将进入现有的networking堆栈,将一些特定的客户端服务器与我们其余的LAN(即不是边缘设备)分开。
现有的局域网基础设施已经有一个数据VLAN(普通networking节点所在的地方),一个pipe理VLAN(系统pipe理员桌面和备份设备所在的地方)和一个设备VLAN(所有networking设备的“远程pipe理”服务器直播)。 核心防火墙对所有VLAN进行防火墙security-level声明,以允许系统pipe理员/备份服务器同时访问数据和设备VLAN,同时防止数据和设备VLAN相互通话。
下面是试图解释当前的设置。
213.48.xx.xx ( MGT_VLAN Gi0/1.10 sec 100 ) | ____( DVCS_VLAN Gi0/1.12 sec 80 ) | / ( DATA_VLAN Gi0/1.100 sec 80 ) | / +------------------------[Core F/W]------------------------+ | | | 172.31.0.10 172.31.255.10 172.31.100.10 | | | ------------------------------------------------------------------------------------- MgtVLAN#10:172.31.0.0/24 | DvcsVLAN#12:172.31.255.0/24 | DataVLAN#100:172.31.100.0/23 ------------------------------------------------------------------------------------- | | | | | \ \ \ [SysAdmins] 172.31.255.136 172.31.100.252 [LAN Clients] | | +------------[New ASA] | 172.31.250.10 | ----------------------------------------- SecretLAN:172.31.250.0/24 [L2 Switching] ----------------------------------------- | | | [Secret Servers]
为了与当前的局域网保持一致,我想在新的ASA上指定Management0/0接口,使其位于设备VLAN中,因此只能通过Telnet / SSH / ADSM通过该VLAN子网中的地址访问。 Ma0/0 management-only执行,防止通过。 它不能从新的5512-X模型中删除,我不能使用其他接口之一,因为新的ASA的IPS组件(我们必须这样做的唯一原因)只能通过Ma0/0访问。
如果我将sysadmin桌面插入Devices VLAN的访问端口,则可以访问新ASA的pipe理界面。 但是,即使在核心防火墙上的security-level应该允许,在VLAN10中的普通家庭中的系统pipe理员桌面也不能。
我相信我已经把它缩小到了一个基本的路由问题:新的ASAconfiguration了route OUTSIDE 0.0.0.0 0.0.0.0 172.31.100.10 (即默认网关是核心防火墙的数据VLAN子接口的地址),并且Ma0/0configuration了ip address 172.31.255.136 255.255.255.0 (牢固地位于设备VLAN子网中)。 新的ASA将接受来自pipe理VLAN(172.31.0.0/24)的pipe理连接,但无法发送答复,因为它试图通过OUTSIDE接口进行路由。
但是,我不能添加route MANAGEMENT 172.31.0.0 255.255.255.0 172.31.255.10 ,因为这肯定会导致备份服务器的stream量(同样在172.31.0.0/24地址上)通过pipe理接口(一个100Mbps的NIC)错误路由,而不是OUTSIDE(1Gbps网卡)。
我可以用这种方式获得Ma0/0接口吗? 或者,我必须在Devices VLAN中添加一个terminal,并将其用作我的pipe理VLAN的双跳(例如,通过SSH远程端口转发;或者telnet到另一个,然后telnet到另一个)?
有两种方法可以做到这一点。
首选的方法取决于SysAdmin VLAN中有多less台机器需要直接访问防火墙后面的服务器。 最简单的解决scheme是从Outside界面pipe理防火墙,如果您的本地策略允许,则禁用MA0 / 0界面。