我正在使用 Cisco ASA 5510。我将管理界面更改为不同的界面。我使用命令“management-access”让新界面工作,但旧界面继续工作。所以我不确定这个命令是做什么的。我认为它会使得只有选定的界面可以用于 Web 界面和 SSH,但事实并非如此。那么它有什么作用呢?
Sha*_*den 10
该management-access命令有点用词不当 - 它没有规定哪个接口可以接收管理流量。
管理流量(它侦听哪些接口,允许哪些地址)由http和ssh命令控制(telnet也是,但不要管它!):
http server enable
http 10.0.0.0 255.0.0.0 inside
ssh version 2
ssh 10.0.0.0 255.0.0.0 inside
请注意,这个配置确实不包括management-access命令,但工作得很好。此外,只management-access允许存在一个接口,但可以在您的http和ssh命令中轻松指定多个接口,以允许流量进入任意数量的所需接口。
那么,management-access命令究竟是做什么的呢?
好吧,Cisco 说它仅适用于您需要从 VPN 隧道的远端管理设备的情况:
此命令允许您在使用完整隧道 IPSec VPN 或 SSL VPN 客户端(AnyConnect 2.x 客户端,SVC 1.x)或跨站点到站点 IPSec 时连接到您进入 ASA 的接口以外的接口隧道。例如,如果您从外部接口进入 ASA,则此命令允许您使用 Telnet 连接到内部接口,或者您可以在从外部接口进入时 ping 内部接口。
但是,这并不是故事的全部。当防火墙也是需要跨接口(例如,通过 VPN 隧道进行封装)的流量的发起者时,此命令也很重要。
假设我有一个 198.51.100.1 的内部接口和一个 203.0.113.1 的外部接口。它有一个 VPN 隧道,本地网络为 198.51.100.0/24,远程网络为 192.0.2.0/24。
我在隧道的另一端有一个 syslog 服务器,我希望 ASA 将其日志发送到该服务器。我是这样配置的:
logging enable
logging host outside 192.0.2.15
logging trap debugging
而且,那是火车残骸。我的 syslog 数据包与外部接口地址的源一起发送,尝试使用我在 203.0.113.0/24 网络上的下一个跃点将其转移到隧道另一侧的私有 IP 空间。但是他们不在隧道中,他们以明文形式尝试通过公共互联网进行路由,并迅速被第一个发现我的远程私有范围 192.0.2.0/24 不是互联网上有效路由的路由器丢弃.
问题在于,当系统日志数据包上的源接口被分配为外部时,该接口的地址用于发送数据包。数据包的目的地仍然是 192.0.2.15(在 VPN 隧道的远程网络内),但它们来自 203.0.113.1——它与 VPN 隧道的加密 ACL 不匹配;它不在 IPSec 本地网络中。
但是,当这样配置时:
logging enable
logging host inside 192.0.2.15
logging trap debugging
management-access inside
该management-access命令允许发送到该接口的流量以及从该接口发送的流量立即穿过不同的接口,而不是直接从内部接口传入/传出。源地址设置正确,加密 ACL 匹配,流量按预期通过 VPN 隧道。
| 归档时间: |
|
| 查看次数: |
27760 次 |
| 最近记录: |