Vấn đề ASA IPS: giao diện định tuyến và quản lý

Chúng tôi có mạng quản lý (192.168.25.0/24) nơi chúng tôi có ip quản lý ASA 5525-X IPS Bundle (.250) và IPS (.37). IPS có một cổng mặc định của công tắc Lớp 3 (.1) nằm sau ASA (theo tài liệu của Cisco ).

Để chuyển lưu lượng truy cập trở lại IPS, tôi đã tạo tuyến đường cho 192.168.25.0/24 trỏ đến công tắc L3.

Khi tôi gõ #sh routetrên ASA:

C    192.168.30.0 255.255.255.0 is directly connected, inside
C    192.168.25.0 255.255.255.0 is directly connected, management
C    192.168.35.0 255.255.255.0 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [1/0] via 192.168.35.1, outside

đồng thời #sh running-config route:

route outside 0.0.0.0 0.0.0.0 192.168.35.1 1
route inside 192.168.25.0 255.255.255.0 192.168.30.2 1

Vì vậy, trong bảng định tuyến tôi có thông tin rằng mạng con được kết nối trực tiếp và lưu lượng giao diện quản lý sẽ không chuyển sang IPS. Nhưng IPS có thể truy cập Internet và lưu lượng truy cập thông qua bộ chuyển đổi L3 (tôi đã kiểm tra bộ đếm).

Ai đó có thể giải thích cách định tuyến cho chức năng IPS nên hoạt động không?

Tôi đã gặp vấn đề này trước đây và có một vài điều xảy ra trong kịch bản này.

Đầu tiên, Giao diện Quản lý không chơi theo cùng quy tắc như các giao diện khác trên FW. Theo mặc định, nó sẽ không vượt qua hoặc nhận lưu lượng truy cập từ bất kỳ giao diện nào khác trên thiết bị do cài đặt "Chỉ quản lý".

Thứ hai, cách mà Cisco thực hiện giao diện Quản lý gây ra vòng lặp định tuyến với ASA. Bạn muốn định tuyến tất cả lưu lượng truy cập đến mạng quản lý thông qua công tắc L3 ở Bên trong, nhưng ASA thấy mạng Quản lý được kết nối trực tiếp qua giao diện Quản lý

Bạn muốn lưu lượng truy cập theo đường dẫn sau:

IPS> Công tắc L3> ASA Bên trong> Internet> ASA Bên ngoài> Công tắc L3> IPS

Thật không may, con đường mà nó thực sự đang đi trông như thế này:

IPS> Chuyển đổi L3> Bên trong ASA> Internet> ASA bên ngoài> Xô bit

Bất kỳ gói tin nào được gửi từ IPS tới internet đều được trả về giao diện ASA bên ngoài, tại đó bảng định tuyến được kiểm tra và nó thấy rằng mạng quản lý được kết nối trực tiếp qua giao diện Quản lý. Vì giao diện Quản lý sẽ không nhận được lưu lượng truy cập từ giao diện khác theo mặc định, các bit chạm sàn.

Thật không may, cách tốt nhất để giải quyết vấn đề này là từ bỏ sử dụng giao diện Quản lý để quản lý tường lửa và thay vào đó sử dụng giao diện Inside. Nếu bạn xóa địa chỉ IP của giao diện Quản lý (nhưng vẫn giữ cổng được bật cho mô-đun IPS), điều đó sẽ xóa mạng Quản lý khỏi bảng định tuyến ASA. Điều này sẽ cho phép lưu lượng truy cập đưa đường dẫn chính xác trở lại công tắc L3 ở bên trong khi nó trở về từ Internet.

Tôi hi vọng cái này giúp được

Thật không may, giao diện mgmt0 / 0 trên ASA thường bị sử dụng sai. Nó chỉ nên được sử dụng để quản lý bối cảnh quản trị / hệ thống của ASA ở chế độ đa ngữ cảnh hoặc cho một mạng con quản lý chuyên dụng sử dụng ASA làm cổng mặc định.

Những gì bạn cần làm là xóa địa chỉ IP khỏi giao diện mgmt0 / 0 trên chính ASA (KHÔNG phải IPS !!) và mọi thứ sẽ hoạt động như mong đợi miễn là mạng con quản lý được chuyển ra khỏi giao diện chính xác trên ASA.

Điều đang xảy ra với ASA có giao diện vào mạng con quản lý (192.168.25.0/24 trong trường hợp này) là tất cả các gói từ mạng con đó sử dụng cổng nội bộ (chuyển đổi L3) và sau đó thử và chuyển tiếp các gói qua insidegiao diện đều bị lỗi kiểm tra chuyển tiếp đường dẫn ngược (RPF) và bị loại bỏ dưới dạng lưu lượng giả mạo.

Lưu lượng truy cập thực tế mà bạn đang thấy là IPS> L3 Switch> ASA> Bit Buck (Lỗi RPF), cho đến khi bạn giải quyết lại IPS, vô hiệu hóa kiểm tra RPF (không nên thông báo) hoặc xóa IP khỏi giao diện quản lý 0/0 của ASA bạn sẽ tiếp tục thấy hành vi này.