Cisco ASA 管理和路由帮助

网络工程 思科 路由 思科 防火墙
2021-07-07 21:17:52

希望有人能帮助我理解我在这里做错了什么。这是图表:

[![在此处输入图像描述][1]][1]

我们有一个 ASA 坐在边缘。FirePower 模块通过管理接口连接(在 ASA 上配置了“无 ip 地址”,但在 FirePower 上配置了 IP)。ASA 通过接口 1/2 进行管理。

配置了一个出口子网,用于将所有流量路由到/从外部路由。

该环境有一个单独的子网用于管理(主要是物理设备、hyper-v、存储等),即 10.10.5.0/24 网络和另一个用于最终用户访问的服务器的子网,几乎所有的虚拟机。ASA 必须联系其中一些服务器以获得各种网络服务,例如 DNS、RADIUS 等。因此,如果我希望 ASA 通过 RADIUS 对 VPN 用户进行身份验证,我希望它通过 10.10.5.1 而不是 172.16.98.1 发送该流量。我不能让它工作。我相信路由正在中断。我一直在阅读有关仅限管理的路线,但我似乎无法理解我在这里做错了什么。TAC 工程师非常聪明,但对超越破坏/修复不感兴趣。这是架构设计缺陷吗?

非常感激。

1个回答

我知道这不是您希望听到的答案,但答案是在带内而不是带外管理您的 ASA。ASA 没有 VRF 功能,这意味着 Man1/1 端口(或您指定的任何接口,如 Gig1/2)没有单独的路由表,而是像常规接口一样运行并使用常规路由表。这可能会导致设备处理某些流量的方式出现多个问题。

最好的方法是关闭 Gi1/2 接口,并删除MANAGEMENT_SUBNETnameif。然后,像其他所有内容一样,为 10.10.5.0/24 添加指向 172.16.98.1 的静态路由。

然后你所有的问题都会消失,除了你想要在管理网络上管理防火墙的唠叨,“像其他一切一样”。问题是,您的防火墙与其他一切不同。管理网络专为非网络设备(即服务器、存储设备等)和可能的第 2 层交换机而设计。路由器和防火墙等第 3 层设备使用其 IP 地址来做出行为决策,并且使用环回地址或带内 IP 地址进行更有效的管理。

其它你可能感兴趣的问题
上一篇未使用 Cisco ASA 5525 访问规则 下一篇2 个 ASA 5506-X 之间的 VPN S2S/L2L