ASA IPS 问题:路由和管理接口

网络工程 思科 安全 思科 防火墙
2021-07-31 01:44:19

我们有管理网络 (192.168.25.0/24),其中有 ASA 5525-X IPS Bundle (.250) 和 IPS (.37) 的管理 IP。IPS 有一个位于 ASA 后面的第 3 (.1) 层交换机的默认网关(根据Cisco 的文档)。

为了将流量传回 IPS,我为 192.168.25.0/24 创建了一条指向 L3 交换机的路由。

当我#sh route在 ASA 上输入时:

C    192.168.30.0 255.255.255.0 is directly connected, inside
C    192.168.25.0 255.255.255.0 is directly connected, management
C    192.168.35.0 255.255.255.0 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [1/0] via 192.168.35.1, outside

同时#sh running-config route

route outside 0.0.0.0 0.0.0.0 192.168.35.1 1
route inside 192.168.25.0 255.255.255.0 192.168.30.2 1

因此,在路由表中,我知道子网是直接连接的,并且管理接口流量不会传递到 IPS。但是 IPS 可以访问 Internet 并且流量通过 L3 交换机(我检查了计数器)。

有人可以解释IPS功能的路由应该如何工作吗?

2个回答

我以前遇到过这个问题,在这种情况下发生了一些事情。

首先,Management 接口与 FW 上的其他接口不遵循相同的规则。默认情况下,由于“仅管理”设置,它不会通过或接收来自设备上任何其他接口的流量。

其次,Cisco 实施管理接口的方式会导致与 ASA 的路由环路。您想通过内部的 L3 交换机将所有流量路由到管理网络,但 ASA 将管理网络视为通过管理接口直接连接

您希望流量采用以下路径:

IPS > L3 交换机 > ASA 内部 > 互联网 > ASA 外部 > L3 交换机 > IPS

不幸的是,它实际走的路是这样的:

IPS > L3 交换机 > ASA 内部 > Internet > ASA 外部 > 比特桶

从 IPS 发送到 Internet 的任何数据包都会返回到 ASA 外部接口,此时会检查路由表,并发现管理网络是通过管理接口直接连接的。由于默认情况下管理接口不会从另一个接口接收流量,因此这些位达到了地板。

不幸的是,解决此问题的最佳方法是放弃使用管理界面来管理防火墙,而是使用内部界面。如果删除管理接口的 IP 地址(但仍为 IPS 模块启用端口),则会从 ASA 路由表中删除管理网络。这将允许流量在从 Internet 返回时采用正确的路径返回内部的 L3 交换机。

我希望这有帮助

不幸的是,ASA 上的 mgmt0/0 接口经常被滥用。它应该仅用于在多上下文模式下管理 ASA 的管理/系统上下文,或用于使用 ASA 作为其默认网关的专用管理子网。

您需要做的是从 ASA 本身的 mgmt0/0 接口中删除 IP 地址(不是 IPS !!),只要管理子网路由出 ASA 上的正确接口,一切都应该按预期工作。

ASA 有一个接口进入管理子网(在本例中为 192.168.25.0/24)的情况是来自该子网的所有数据包使用内部网关(L3 交换机),然后尝试通过inside接口转发数据包都失败了反向路径转发 (RPF) 检查并作为欺骗流量被丢弃。

您看到的实际流量是 IPS>L3 Switch>ASA>Bit Bucket(RPF Failure),直到您重新寻址 IPS、禁用 RPF 检查(不建议)或从 ASA 的 management0/0 接口中删除 IP将继续看到这种行为。

其它你可能感兴趣的问题
上一篇瞻博网络 EX 3300 错误地识别 SFP+ 收发器模块 下一篇如何在瞻博网络 EX 交换机上将端口配置为 STP“非边缘”?