我正在使用 Cisco ASA 5510。我将管理接口更改为其他接口。我使用命令“management-access”使新接口工作,但旧接口继续工作。所以我不确定这个命令的作用是什么。我以为它会让选定的接口仅用于 Web 接口和 SSH,但事实并非如此。那么它有什么作用呢?
答案1
这个management-access
命令有点用词不当——它没有规定哪个接口可以接收管理流量。
管理流量(它监听哪些接口以及允许哪些地址)由http
和ssh
命令控制(telnet
也一样,但不要管它!):
http server enable
http 10.0.0.0 255.0.0.0 inside
ssh version 2
ssh 10.0.0.0 255.0.0.0 inside
请注意,此配置确实不是包含management-access
命令,但运行良好。此外,只management-access
允许存在一个接口,但可以在http
和ssh
命令中轻松指定多个接口,以允许流量进入任意数量的所需接口。
那么,这个management-access
命令到底起什么作用?
出色地,思科表示它仅适用于需要从 VPN 隧道远端管理设备的情况:
此命令允许您在使用全隧道 IPSec VPN 或 SSL VPN 客户端(AnyConnect 2.x 客户端、SVC 1.x)或跨站点到站点 IPSec 隧道时连接到除进入 ASA 的接口之外的其他接口。例如,如果您从外部接口进入 ASA,此命令允许您使用 Telnet 连接到内部接口,或者您可以在从外部接口进入时 ping 内部接口。
但是,这并不是全部;当防火墙是需要跨接口(例如,通过 VPN 隧道封装)的流量的发起者时,此命令也很重要。
假设我有一个内部接口 198.51.100.1 和一个外部接口 203.0.113.1。它有一个 VPN 隧道,本地网络为 198.51.100.0/24,远程网络为 192.0.2.0/24。
我在隧道的另一端有一个 syslog 服务器,我希望 ASA 将其日志发送到该服务器。我按如下方式配置它:
logging enable
logging host outside 192.0.2.15
logging trap debugging
这简直就是一场灾难。我的系统日志数据包以外部接口地址为源发送,试图使用 203.0.113.0/24 网络上的下一跳将其传送到隧道另一侧的私有 IP 空间。但它们不在隧道中,而是以明文形式尝试通过公共互联网进行路由,并迅速被第一个路由器丢弃,因为该路由器发现我的远程私有范围 192.0.2.0/24 不是互联网上的有效路由。
问题在于,当系统日志数据包上的源接口被指定为外部时,该接口的地址用于发送数据包。数据包的目的地仍然是 192.0.2.15(位于 VPN 隧道的远程网络内),但它们来自 203.0.113.1 - 这与 VPN 隧道的加密 ACL 不匹配;它不在 IPSec 本地网络中。
但是,当像这样配置时:
logging enable
logging host inside 192.0.2.15
logging trap debugging
management-access inside
该management-access
命令允许发送到该接口的流量,以及发送的流量从该接口,立即遍历不同的接口,而不是直接从内部接口进入/离开。源地址设置正确,加密 ACL 匹配,并且流量按预期通过 VPN 隧道。
答案2
management-access 授予通过特定接口管理设备的权限。您需要添加“no management-access”行来停止从旧接口进行访问。
答案3
我认为 management-access 命令仅对一个接口有效,因此将其应用于“inside”会将其从“outside”或“inside2”中删除。此外,它仅用于通过 VPN 隧道进行管理。