ASA IPSの問題:ルーティングおよび管理インターフェース

7

ASA 5525-X IPSバンドル(.250)とIPS(.37)の管理IPがある管理ネットワーク(192.168.25.0/24)があります。IPSには、ASAの背後にあるレイヤ3(.1)スイッチのデフォルトゲートウェイがあります(Ciscoのドキュメントによると)。

トラフィックをIPSに戻すために、L3スイッチを指す192.168.25.0/24のルートを作成しました。

私が入力すると#sh routeASAに:

C    192.168.30.0 255.255.255.0 is directly connected, inside
C    192.168.25.0 255.255.255.0 is directly connected, management
C    192.168.35.0 255.255.255.0 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [1/0] via 192.168.35.1, outside

同時に#sh running-config route

route outside 0.0.0.0 0.0.0.0 192.168.35.1 1
route inside 192.168.25.0 255.255.255.0 192.168.30.2 1

したがって、ルーティングテーブルには、サブネットが直接接続されており、管理インターフェイストラフィックがIPSに渡されないという情報があります。しかし、IPSはインターネットにアクセスでき、トラフィックはL3スイッチを通過します(カウンターを確認しました)。

誰かがIPS機能のルーティングがどのように機能するかを説明できますか?

cisco  security  cisco-asa  firewall 
ЭдуардБуремный
ソース
Iテラスの管理からIPアドレスを削除した場合、デバイスに接続するためにどのIPを使用しますか?
何か回答がありましたか?もしそうなら、質問が永遠にポップアップし続けないように答えを受け入れ、答えを探します。または、独自の回答を提供して受け入れることもできます。
Ron Maupin

回答:

2

以前この問題に遭遇したことがあり、このシナリオではいくつかのことが起こっています。

まず、管理インターフェースは、FW上の他のインターフェースと同じルールでは機能しません。「管理のみ」の設定により、デフォルトでは、デバイス上の他のインターフェースとの間でトラフィックを送受信しません。

次に、シスコが管理インターフェイスを実装する方法により、ASAでルーティングループが発生します。内部のL3スイッチを介してすべてのトラフィックを管理ネットワークにルーティングしたいが、ASAは管理インターフェイスを介して直接接続されているように管理ネットワークを認識している

トラフィックが次のパスをたどるようにします。

IPS> L3スイッチ> ASA内部>インターネット> ASA外部> L3スイッチ> IPS

残念ながら、実際の経路は次のようになります。

IPS> L3スイッチ> ASA内部>インターネット> ASA外部>ビットバケット

IPSからインターネットに送信されたパケットはすべてASA外部インターフェイスに返されます。この時点でルーティングテーブルがチェックされ、管理ネットワークが管理インターフェイスを介して直接接続されていることが確認されます。管理インターフェイスはデフォルトでは別のインターフェイスからのトラフィックを受信しないため、ビットがフロアに到達します。

残念ながら、この問題を解決する最善の方法は、ファイアウォールを管理するための管理インターフェイスの使用を中止し、代わりに内部インターフェイスを使用することです。管理インターフェイスのIPアドレスを削除した場合(ただし、IPSモジュールのポートを有効にしたまま)、ASAルーティングテーブルから管理ネットワークが削除されます。これにより、トラフィックがインターネットから戻ったときに、内部のL3スイッチに戻る正しい経路をたどることができます。

これが役に立てば幸い

エンドレスマイク
ソース
ありがとうございました!ルーティングテーブルでネットワークに接続しているため、インターネットからIPSへのトラフィックは次のようになる必要があることを理解しています:IPS> L3スイッチ> ASA内部>インターネット> ASA外部>ビットバケット。しかし、トラフィックは次のように行きます:IPS> L3スイッチ> ASA内部>インターネット> ASA外部> L3スイッチ> IPSそしてそれはかなり奇妙です)。PS実行中の構成から静的ルート(192.168.25.0 255.255.255.0 192.168.30.2 1内のルート)を削除する場合、エラーが発生します:エラー:接続されたルートを削除できません。非常に奇妙な行動。
ЭдуардБуремный
これは接続されたルートであり、内部ではなく実際の管理インターフェイスに向けられています。
cpt_fink
2

残念ながら、ASAのmgmt0 / 0インターフェイスはよく誤用されます。マルチコンテキストモードのASAの管理/システムコンテキストの管理、またはASAをデフォルトゲートウェイとして使用する専用管理サブネットにのみ使用する必要があります。

ASA自体のmgmt0 / 0インターフェイスからIPアドレスを削除する必要があります(IPSではありません!!)。管理サブネットがASAの正しいインターフェイスにルーティングされている限り、すべてが期待どおりに機能するはずです。

ASAが管理サブネット(この場合は192.168.25.0/24)に接続している場合、内部ゲートウェイ(L3スイッチ)を使用するそのサブネットからのすべてのパケットで、insideインターフェイスを介してパケットを転送しようとすると失敗します。リバースパス転送(RPF)チェックおよびスプーフィングされたトラフィックとしてドロップされます。

表示されている実際のトラフィックフローは、IPS> L3スイッチ> ASA>ビットバケット(RPF障害)です。IPSを再アドレス指定するか、RPFチェックを無効にする(推奨されません)か、ASAのmanagement0 / 0インターフェイスからIPを削除します。この動作は引き続き見られます。

cpt_fink
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.