配置 Cisco ASA 上的管理接口以允许从现有管理 LAN 进行访问

（重新定义问题以匹配实际的 LAN 拓扑……）

我有一个新的 Cisco ASA-5512-X 防火墙，它将进入现有的网络堆栈，以将某些特定的客户端服务器与我们 LAN 的其余部分分开（即，不是作为边缘设备）。

现有的 LAN 基础设施已经有一个数据 VLAN（普通网络节点所在的位置）、一个管理 VLAN（系统管理员桌面和备份设备所在的位置）和一个设备 VLAN（所有网络设备和服务器的所有“远程管理”接口所在的位置）。所有 VLAN 都由核心防火墙进行防火墙保护，并security-level声明允许系统管理员/备份服务器访问数据 VLAN 和设备 VLAN，同时阻止数据 VLAN 和设备 VLAN 相互通信。

下面是尝试解释当前设置的图表。

                                   213.48.xx.xx    ( MGT_VLAN  Gi0/1.10  sec 100 )
                                         |     ____( DVCS_VLAN Gi0/1.12  sec 80  )
                                         |    /    ( DATA_VLAN Gi0/1.100 sec 80  )
                                         |   / 
           +------------------------[Core F/W]------------------------+
           |                             |                            |
     172.31.0.10                   172.31.255.10                172.31.100.10
           |                             |                            |
-------------------------------------------------------------------------------------
MgtVLAN#10:172.31.0.0/24 | DvcsVLAN#12:172.31.255.0/24 | DataVLAN#100:172.31.100.0/23  
-------------------------------------------------------------------------------------
         | | |                           |                |              \ \ \
      [SysAdmins]                 172.31.255.136    172.31.100.252    [LAN Clients]
                                         |                |
                                         +------------[New ASA]
                                                          |
                                                    172.31.250.10
                                                          |
                                       -----------------------------------------
                                       SecretLAN:172.31.250.0/24  [L2 Switching]
                                       -----------------------------------------
                                                        | | |
                                                   [Secret Servers]  

为了与当前的 LAN 保持一致，我希望将Management0/0新 ASA 上的接口指定为位于设备 VLAN 内，这样只能通过该 VLAN 子网中的地址通过 Telnet/SSH/ADSM 访问它。 Ma0/0已management-only强制执行，阻止通过流量。 它不能从新的 5512-X 型号中删除，我无法使用其他接口之一，因为新 ASA 的 IPS 组件（我们必须这样做的真正原因）只能通过访问Ma0/0。

如果我将系统管理员桌面插入设备 VLAN 的访问端口，我就可以访问新 ASA 的管理接口。但是，位于 VLAN10 中其正常位置的系统管理员桌面则无法访问，尽管security-level核心防火墙应该允许这样做。

我认为我已经将其缩小到基本路由问题：新 ASA 已配置route OUTSIDE 0.0.0.0 0.0.0.0 172.31.100.10（即默认网关是核心防火墙的数据 VLAN 子接口的地址），并且Ma0/0已配置ip address 172.31.255.136 255.255.255.0（牢固地位于设备 VLAN 子网中）。新 ASA 将接受来自管理 VLAN（172.31.0.0/24）的管理连接，但无法发送回复，因为它尝试通过 OUTSIDE 接口路由回来。

但是，我不能添加route MANAGEMENT 172.31.0.0 255.255.255.0 172.31.255.10，因为这肯定会导致备份服务器的流量（也在 172.31.0.0/24 地址上）通过 MANAGEMENT 接口（100Mbps NIC）而不是 OUTSIDE（1Gbps NIC）错误路由。

我能让Ma0/0接口以这种方式工作吗？还是我必须在设备 VLAN 上放置一个终端，并将其用作来自管理 VLAN 的双跳（例如通过 SSH 远程端口转发；或 telnet 到一个，然后 telnet 到另一个）？