(Redefiniu a questão para corresponder à topologia de LAN real ...)
Eu tenho um novo firewall Cisco ASA-5512-X, que está entrando em uma pilha de rede existente para separar alguns servidores clientes específicos do resto de nossa LAN (ou seja, não como o dispositivo de borda).
A infra-estrutura de LAN já possui uma VLAN de dados (onde os nós de rede normais estão ativos), uma VLAN de gerenciamento (onde os desktops e dispositivos de backup sysadmins estão ativos) e uma VLAN de dispositivos (onde todas as interfaces de 'gerenciamento remoto' dispositivos de rede e servidores ao vivo). As VLANs são todas protegidas por firewall pelo firewall central, com instruções security-level
para permitir que o servidor sysadmins / backup acesse as VLANs de dados e dispositivos, impedindo que as VLANs de dados e dispositivos conversem entre si.
Abaixo está uma tentativa de diagrama para explicar a configuração atual.
213.48.xx.xx ( MGT_VLAN Gi0/1.10 sec 100 )
| ____( DVCS_VLAN Gi0/1.12 sec 80 )
| / ( DATA_VLAN Gi0/1.100 sec 80 )
| /
+------------------------[Core F/W]------------------------+
| | |
172.31.0.10 172.31.255.10 172.31.100.10
| | |
-------------------------------------------------------------------------------------
MgtVLAN#10:172.31.0.0/24 | DvcsVLAN#12:172.31.255.0/24 | DataVLAN#100:172.31.100.0/23
-------------------------------------------------------------------------------------
| | | | | \ \ \
[SysAdmins] 172.31.255.136 172.31.100.252 [LAN Clients]
| |
+------------[New ASA]
|
172.31.250.10
|
-----------------------------------------
SecretLAN:172.31.250.0/24 [L2 Switching]
-----------------------------------------
| | |
[Secret Servers]
De acordo com a LAN atual, eu gostaria de especificar a interface Management0/0
no novo ASA para viver dentro da VLAN de dispositivos, para que ela possa ser acessada apenas por Telnet / SSH / ADSM através de um endereço na sub-rede da VLAN . Ma0/0
tem management-only
reforçado, impedindo o tráfego. Ele não pode ser removido do novo modelo 5512-X e não posso usar uma das outras interfaces, porque o componente IPS do novo ASA (a única razão pela qual temos que fazer isso) só é acessível via Ma0/0
.
Se eu conectar um desktop sysadmin a uma porta de acesso para a VLAN de dispositivos, posso acessar a interface de gerenciamento do novo ASA. No entanto, um desktop sysadmin em sua casa normal na VLAN10 não pode, mesmo que o security-level
no firewall central permita isso.
Acredito que reduzi-o a um problema básico de roteamento: o novo ASA está configurado com route OUTSIDE 0.0.0.0 0.0.0.0 172.31.100.10
(ou seja, o gateway padrão é o endereço da subinterface Data VLAN do firewall central) e Ma0/0
está configurado com ip address 172.31.255.136 255.255.255.0
(firmemente na sub-rede VLAN de dispositivos). O novo ASA aceitará uma conexão de gerenciamento da VLAN de Gerenciamento (172.31.0.0/24), mas não poderá enviar a resposta porque ele tentará rotear de volta pela interface OUTSIDE.
No entanto, não é possível adicionar route MANAGEMENT 172.31.0.0 255.255.255.0 172.31.255.10
, pois isso certamente causará um desvio no tráfego do servidor de backup (também em um endereço 172.31.0.0/24) por meio da interface MANAGEMENT (uma NIC de 100 Mbps) em vez da EXTERIOR ( uma NIC de 1 Gbps).
Posso obter a interface Ma0/0
funcionando dessa maneira? Ou eu teria que colocar um terminal na VLAN de Dispositivos e usá-lo como um salto duplo da minha VLAN de Gerenciamento (por exemplo, pelo encaminhamento de porta remota SSH; ou telnet para um, depois telnet para o outro)?