Я работаю с Cisco ASA 5510. Я изменил интерфейс управления на другой интерфейс. Я использовал команду "management-access", чтобы новый интерфейс заработал, но старый интерфейс продолжает работать. Поэтому я не уверен, что делает эта команда. Я думал, что это позволит использовать только выбранный интерфейс для веб-интерфейса и SSH, но это не так. Так что он делает?
В management-access Команда немного ошибочна - она не определяет, какой интерфейс может получать трафик управления.
Управляющий трафик (какие интерфейсы он прослушивает и какие адреса разрешены) контролируется http и ssh команды (telnet тоже, но оставь это!):
http server enable
http 10.0.0.0 255.0.0.0 inside
ssh version 2
ssh 10.0.0.0 255.0.0.0 inside
Обратите внимание, что эта конфигурация не включать management-access команда, но работает нормально. Moreso, только один management-access интерфейс может существовать, но несколько интерфейсов можно легко указать в вашем http и ssh команды, позволяющие трафику проходить через любое количество желаемых интерфейсов.
Итак, что за management-access команда действительно делать?
Хорошо, Cisco говорит что это просто, когда вам нужно управлять устройством с дальней стороны VPN-туннеля:
Эта команда позволяет вам подключаться к интерфейсу, отличному от того, с которого вы вошли в ASA, при использовании полного туннеля IPSec VPN или клиента SSL VPN (AnyConnect 2.x client, SVC 1.x) или через IPSec между сайтами. туннель. Например, если вы входите в ASA из внешнего интерфейса, эта команда позволяет вам подключиться к внутреннему интерфейсу с помощью Telnet, или вы можете пропинговать внутренний интерфейс при входе из внешнего интерфейса.
Но это еще не все; эта команда также важна, когда межсетевой экран является инициатором трафика, который также должен пересекать интерфейсы (например, для инкапсуляции через туннель VPN).
Скажем, у меня есть внутренний интерфейс 198.51.100.1 и внешний интерфейс 203.0.113.1. У него есть VPN-туннель с локальной сетью 198.51.100.0/24 и удаленной сетью 192.0.2.0/24.
У меня есть сервер системного журнала на другой стороне туннеля, которому я хочу, чтобы ASA отправлял свои журналы. Я настраиваю его так:
logging enable
logging host outside 192.0.2.15
logging trap debugging
И это крушение поезда. Мои пакеты системного журнала отправляются с источником адреса внешнего интерфейса, пытаясь использовать мой следующий переход в сети 203.0.113.0/24, чтобы перейти к моему частному IP-пространству на другой стороне туннеля. Но они не в туннеле, они в виде открытого текста пытаются маршрутизировать через общедоступный Интернет и сразу же теряются первым маршрутизатором, который видит, что мой удаленный частный диапазон 192.0.2.0/24 не является допустимым маршрутом в Интернете. .
Проблема заключается в том, что когда исходный интерфейс в пакетах системного журнала назначается внешним, адрес этого интерфейса используется для отправки пакетов. Адресатом пакетов по-прежнему является 192.0.2.15 (который находится в удаленной сети VPN-туннеля), но они получены из 203.0.113.1, что не соответствует криптографическому ACL-списку VPN-туннеля; это не в локальной сети IPSec.
Однако при такой настройке:
logging enable
logging host inside 192.0.2.15
logging trap debugging
management-access inside
В management-access команда разрешает трафик, отправляемый на этот интерфейс, а также отправляемый трафик из этот интерфейс, чтобы немедленно перейти к другому интерфейсу вместо прямого входа / выхода из внутреннего интерфейса. Адрес источника установлен правильно, криптографический ACL-список совпадает, и трафик проходит через VPN-туннель, как и предполагалось.
management-access предоставляет доступ для управления вашим устройством через определенный интерфейс. Вам нужно будет добавить строку «нет доступа к управлению», чтобы остановить доступ из вашего старого интерфейса.
Я считаю, что команда доступа к управлению действительна только для одного интерфейса, так что применение ее «внутри» удаляет ее «снаружи» или «внутри2». Кроме того, он используется только для управления через туннели VPN.