(Переопределил вопрос, чтобы он соответствовал реальной топологии LAN ...)
У меня есть новый межсетевой экран Cisco ASA-5512-X, который входит в существующий сетевой стек, чтобы отделить некоторые конкретные клиентские серверы от остальной части нашей локальной сети (то есть не как граничное устройство).
В существующей инфраструктуре LAN уже есть Data VLAN (где находятся обычные сетевые узлы), Management VLAN (где находятся рабочие столы системных администраторов и устройства резервного копирования) и Devices VLAN (где все интерфейсы «удаленного управления» для всех сетевых устройств и сервера живут). Все сети VLAN защищены брандмауэром ядра, с security-level операторов, позволяющих системным администраторам / серверу резервного копирования получать доступ к виртуальным локальным сетям данных и устройств, при этом не позволяя виртуальным локальным сетям данных и устройств взаимодействовать друг с другом.
Ниже представлена попытка объяснить текущую настройку.
213.48.xx.xx ( MGT_VLAN Gi0/1.10 sec 100 )
| ____( DVCS_VLAN Gi0/1.12 sec 80 )
| / ( DATA_VLAN Gi0/1.100 sec 80 )
| /
+------------------------[Core F/W]------------------------+
| | |
172.31.0.10 172.31.255.10 172.31.100.10
| | |
-------------------------------------------------------------------------------------
MgtVLAN#10:172.31.0.0/24 | DvcsVLAN#12:172.31.255.0/24 | DataVLAN#100:172.31.100.0/23
-------------------------------------------------------------------------------------
| | | | | \ \ \
[SysAdmins] 172.31.255.136 172.31.100.252 [LAN Clients]
| |
+------------[New ASA]
|
172.31.250.10
|
-----------------------------------------
SecretLAN:172.31.250.0/24 [L2 Switching]
-----------------------------------------
| | |
[Secret Servers]
В соответствии с текущей LAN, я хотел бы указать Management0/0 на новом ASA, чтобы жить в VLAN устройств, поэтому доступ к нему можно получить только через Telnet / SSH / ADSM через адрес в подсети этой VLAN. Ma0/0 имеет management-only принудительно, предотвращая сквозное движение. Его нельзя удалить из новой модели 5512-X, и я не могу использовать один из других интерфейсов, потому что компонент IPS нового ASA (именно поэтому мы должны это сделать) доступен только через Ma0/0.
Если я подключу рабочий стол системного администратора к порту доступа для VLAN устройств, я смогу получить доступ к интерфейсу управления нового ASA. Однако рабочий стол системного администратора в обычном доме в VLAN10 не может, даже если security-level на основном брандмауэре это должно быть разрешено.
Я полагаю, что сузил его до основной проблемы маршрутизации: новый ASA настроен с route OUTSIDE 0.0.0.0 0.0.0.0 172.31.100.10 (т.е. шлюз по умолчанию - это адрес подчиненного интерфейса Data VLAN основного брандмауэра), и Ma0/0 настроен с ip address 172.31.255.136 255.255.255.0 (прочно в подсети VLAN Устройства). Новый ASA примет управляющее соединение от Management VLAN (172.31.0.0/24), но не сможет отправить ответ, потому что он пытается маршрутизировать обратно через интерфейс OUTSIDE.
Я не могу добавить route MANAGEMENT 172.31.0.0 255.255.255.0 172.31.255.10тем не менее, потому что это обязательно приведет к неправильной маршрутизации трафика резервного сервера (также на адресе 172.31.0.0/24) через интерфейс УПРАВЛЕНИЯ (сетевой адаптер 100 Мбит / с) вместо ВНЕШНЕГО (сетевой адаптер 1 Гбит / с).
Могу я получить Ma0/0 интерфейс работает в таком режиме? Или мне нужно было бы установить терминал в VLAN для устройств и использовать его в качестве двойного перехода от моей управляющей VLAN (например, путем перенаправления удаленного порта SSH; или telnet на один, затем telnet на другой)?
Это можно сделать двумя способами.
Предпочтительный метод будет зависеть от того, сколько машин в SysAdmin VLAN нуждаются в прямом доступе к серверам за межсетевым экраном. Самым простым решением является управление брандмауэром из внешнего интерфейса и отключение интерфейса MA0 / 0, если ваша локальная политика позволяет это.