Temos a rede de gerenciamento (192.168.25.0/24), onde temos o ip de gerenciamento do ASA 5525-X IPS Bundle (.250) e IPS (.37). O IPS tem um gateway padrão do nosso switch de camada 3 (.1) que está atrás do ASA (de acordo com os documentos da Cisco ).
Para passar o tráfego de volta ao IPS, criei uma rota para 192.168.25.0/24 que aponta para o switch L3.
Quando eu digito #sh route
no ASA:
C 192.168.30.0 255.255.255.0 is directly connected, inside
C 192.168.25.0 255.255.255.0 is directly connected, management
C 192.168.35.0 255.255.255.0 is directly connected, outside
S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.35.1, outside
ao mesmo tempo #sh running-config route
:
route outside 0.0.0.0 0.0.0.0 192.168.35.1 1
route inside 192.168.25.0 255.255.255.0 192.168.30.2 1
Portanto, na tabela de roteamento, tenho informações de que a sub-rede está diretamente conectada e o tráfego da interface de gerenciamento não passará para o IPS. Mas o IPS pode acessar a Internet e o tráfego passa pelo switch L3 (verifiquei o contador).
Alguém pode explicar como o roteamento da função IPS deve funcionar?
Respostas:
Eu já tive esse problema antes e há algumas coisas acontecendo nesse cenário.
Primeiro, a interface de gerenciamento não executa as mesmas regras que outras interfaces no FW. Por padrão, ele não passa nem recebe tráfego de nenhuma outra interface no dispositivo devido à configuração "Somente gerenciamento".
Segundo, a maneira como a Cisco implementa a interface de gerenciamento causa um loop de roteamento com o ASA. Você gostaria de rotear todo o tráfego para a rede de gerenciamento através do switch L3 no interior, mas o ASA vê a rede de gerenciamento conectada diretamente via interface de gerenciamento
Você gostaria que o tráfego seguisse o seguinte caminho:
IPS> Switch L3> ASA Inside> Internet> ASA Outside> Switch L3> IPS
Infelizmente, o caminho que está seguindo está assim:
IPS> Switch L3> ASA Inside> Internet> ASA Outside> Bit Bucket
Qualquer pacote enviado do IPS para a Internet é retornado à interface ASA Outside, momento em que a tabela de roteamento é verificada e vê que a rede de gerenciamento está diretamente conectada via interface de gerenciamento. Como a interface de gerenciamento não recebe tráfego de outra interface por padrão, os bits atingem o chão.
Infelizmente, a melhor maneira de resolver esse problema é abandonar o uso da interface de gerenciamento para gerenciar o firewall e, em vez disso, usar a interface interna. Se você remover o endereço IP da interface de gerenciamento (mas ainda manter a porta ativada para o módulo IPS), isso removerá a rede de gerenciamento da tabela de roteamento ASA. Isso permitirá que o tráfego retorne à central L3 no interior quando retornar da Internet.
Eu espero que isso ajude
fonte
Infelizmente, a interface mgmt0 / 0 em um ASA costuma ser mal utilizada. Deve ser usado apenas para o gerenciamento do contexto administrativo / do sistema de um ASA no modo multi-contexto ou para uma sub-rede de gerenciamento dedicada que usa o ASA como gateway padrão.
O que você precisa fazer é remover o endereço IP da interface mgmt0 / 0 no próprio ASA (NÃO OS IPS !!) e tudo deve funcionar conforme o esperado, desde que a sub-rede de gerenciamento seja roteada para a interface correta no ASA.
O que está acontecendo com o ASA que possui uma interface na sub-rede de gerenciamento (192.168.25.0/24 neste caso) são todos os pacotes dessa sub-rede que usam um gateway interno (switch L3) e, em seguida, tentam encaminhar pacotes pela
inside
interface que estão com falha. verificação de encaminhamento de caminho reverso (RPF) e sendo descartada como tráfego falsificado.O fluxo de tráfego real que você está vendo é IPS> L3 Switch> ASA> Bit Bucket (falha de RPF), até que você endereça novamente o IPS, desabilite a verificação de RPF (não recomendado) ou remova o IP da interface de gerenciamento 0/0 do ASA. continuará a ver esse comportamento.
fonte