ASA IPS-Problem: Routing- und Verwaltungsschnittstelle

7

Wir haben ein Verwaltungsnetzwerk (192.168.25.0/24), in dem wir die Verwaltungs-IP von ASA 5525-X IPS Bundle (.250) und IPS (.37) haben. Das IPS verfügt über ein Standard-Gateway unseres Layer 3 (.1) -Switches, das sich hinter dem ASA befindet (gemäß den Dokumenten von Cisco ).

Um den Datenverkehr an das IPS zurückzuleiten, habe ich eine Route für 192.168.25.0/24 erstellt, die auf den L3-Switch verweist.

Wenn ich #sh routeauf dem ASA tippe:

C    192.168.30.0 255.255.255.0 is directly connected, inside
C    192.168.25.0 255.255.255.0 is directly connected, management
C    192.168.35.0 255.255.255.0 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [1/0] via 192.168.35.1, outside

zur gleichen Zeit #sh running-config route:

route outside 0.0.0.0 0.0.0.0 192.168.35.1 1
route inside 192.168.25.0 255.255.255.0 192.168.30.2 1

In der Routing-Tabelle habe ich also Informationen darüber, dass das Subnetz direkt verbunden ist und dass der Datenverkehr der Verwaltungsschnittstelle nicht an IPS weitergeleitet wird. Das IPS kann jedoch auf das Internet zugreifen und der Datenverkehr erfolgt über den L3-Switch (ich habe den Zähler überprüft).

Kann jemand erklären, wie das Routing für die IPS-Funktion funktionieren soll?

Эдуард Буремный
quelle
Mit welcher IP-Adresse können Sie das Gerät kontaktieren, wenn Sie die IP-Adresse von der Management-I-Terrasse entfernen?
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

2

Ich bin bereits auf dieses Problem gestoßen, und in diesem Szenario passieren einige Dinge.

Erstens spielt die Verwaltungsschnittstelle nicht nach denselben Regeln wie andere Schnittstellen in der FW. Standardmäßig wird aufgrund der Einstellung "Nur Verwaltung" kein Datenverkehr von einer anderen Schnittstelle auf dem Gerät weitergeleitet oder empfangen.

Zweitens verursacht die Art und Weise, wie Cisco die Verwaltungsschnittstelle implementiert, eine Routing-Schleife mit dem ASA. Sie möchten den gesamten Datenverkehr über den L3-Switch auf der Innenseite an das Verwaltungsnetzwerk weiterleiten, aber der ASA sieht das Verwaltungsnetzwerk als direkt über die Verwaltungsschnittstelle verbunden an

Sie möchten, dass der Verkehr den folgenden Pfad nimmt:

IPS> L3-Switch> ASA-Innen> Internet> ASA-Außen> L3-Switch> IPS

Leider sieht der Weg tatsächlich so aus:

IPS> L3-Switch> ASA Inside> Internet> ASA Outside> Bit Bucket

Jedes vom IPS an das Internet gesendete Paket wird an die ASA-externe Schnittstelle zurückgegeben. Zu diesem Zeitpunkt wird die Routing-Tabelle überprüft und es wird festgestellt, dass das Verwaltungsnetzwerk direkt über die Verwaltungsschnittstelle verbunden ist. Da die Verwaltungsschnittstelle standardmäßig keinen Datenverkehr von einer anderen Schnittstelle empfängt, treffen die Bits den Boden.

Leider besteht die beste Möglichkeit, dieses Problem zu beheben, darin, die Verwendung der Verwaltungsschnittstelle zum Verwalten der Firewall aufzugeben und stattdessen die interne Schnittstelle zu verwenden. Wenn Sie die IP-Adresse der Verwaltungsschnittstelle entfernen (aber den Port für das IPS-Modul weiterhin aktiviert lassen), wird das Verwaltungsnetzwerk aus der ASA-Routing-Tabelle entfernt. Auf diese Weise kann der Datenverkehr den richtigen Pfad zurück zum L3-Switch auf der Innenseite nehmen, wenn er aus dem Internet zurückkehrt.

ich hoffe das hilft

Endloser Mike
quelle
Vielen Dank! Ich verstehe, dass der Datenverkehr von INternet zu IPS folgendermaßen ablaufen muss: IPS> L3-Switch> ASA Inside> Internet> ASA Outside> Bit Bucket, da wir in der Routing-Tabelle ein Netzwerk verbunden haben. Der Datenverkehr läuft jedoch so ab: IPS> L3-Switch> ASA-Innen> Internet> ASA-Außen> L3-Switch> IPS und es ist ziemlich seltsam. PS: Wenn ich eine statische Route (Route innerhalb von 192.168.25.0 255.255.255.0 192.168.30.2 1) aus der laufenden Konfiguration entfernen möchte, wird folgende Fehlermeldung angezeigt: FEHLER: Verbundene Route kann nicht entfernt werden. Sehr seltsames Verhalten.
Бдуард Буремный
Es ist eine verbundene Route, und sie zeigt nicht nach innen, sondern auf die eigentliche Verwaltungsoberfläche.
cpt_fink
2

Leider wird die mgmt0 / 0-Schnittstelle auf einem ASA häufig missbraucht. Es sollte nur für die Verwaltung des Administrator- / Systemkontexts eines ASA im Multi-Kontext-Modus oder für ein dediziertes Verwaltungssubnetz verwendet werden, das den ASA als Standardgateway verwendet.

Was Sie tun müssen, ist die IP-Adresse von der mgmt0 / 0-Schnittstelle auf dem ASA selbst zu entfernen (NICHT DAS IPS !!) und alles sollte wie erwartet funktionieren, solange das Management-Subnetz über die richtige Schnittstelle auf dem ASA geleitet wird.

Was passiert, wenn der ASA eine Schnittstelle zum Verwaltungssubnetz hat (in diesem Fall 192.168.25.0/24), sind alle Pakete aus diesem Subnetz, die ein internes Gateway (L3-Switch) verwenden und dann versuchen, Pakete über die insideSchnittstelle weiterzuleiten RPF-Prüfung (Reverse-Path-Forwarding) und Löschen als gefälschter Datenverkehr.

Der tatsächliche Verkehrsfluss, den Sie sehen, ist IPS> L3-Switch> ASA> Bit-Bucket (RPF-Fehler), bis Sie das IPS erneut adressieren, die RPF-Überprüfung deaktivieren (nicht empfohlen) oder die IP von der Management0 / 0-Schnittstelle des ASA entfernen wird dieses Verhalten weiterhin sehen.

cpt_fink
quelle