ASA9.5(1)以降: 管理通信用のRouting Tableの分離について

Taisuke Nakamura · ‎2016-03-19

はじめに
Management Interfaceの指定と Routing Tableの確認
管理通信(Management Traffic)とは
Management-access設定を併用時の注意点
その他注意事項
参考情報

はじめに

ASAバージョン 9.4までは、1つの Global Routing Tableを共用していました。

ASAバージョン 9.5(1)より、管理通信用とその他通信用のRouting Tableを、分けて管理するよう変わりました。 Management Interfaceに関連するルートは、専用のRouting Tableに格納されます。

本ドキュメントでは、Management Interfaceの設定方法と確認、及び対象通信について説明します。

本ドキュメントは、ASAバージョン 9.5(2)5を元に確認、作成しております。

Management Interfaceの指定と Routing Tableの確認

Management Interfaceは "management-only"コマンドで指定します。以下はその設定例です。

interface GigabitEthernet1/1
 nameif inside
 security-level 100
 ip address 192.168.71.254 255.255.255.0
!
interface GigabitEthernet1/2
 nameif outside
 security-level 0
 ip address 1.150.0.198 255.0.0.0
!
 --- snip ---
!
interface Management1/1         <---- Management Interface
 management-only             
 nameif manage
 security-level 50
 ip address 192.168.90.101 255.255.255.0
!
route outside 0.0.0.0 0.0.0.0 1.0.0.100 1
route manage 0.0.0.0 0.0.0.0 192.168.90.254 1
!

　　　　
"show route"コマンドで Global Routing Tableを確認できます。 Management Interfaceに紐付かないルートが格納されます。

asa# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
 D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
 N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
 E1 - OSPF external type 1, E2 - OSPF external type 2
 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
 ia - IS-IS inter area, * - candidate default, U - per-user static route
 o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 1.0.0.100 to network 0.0.0.0

S* 0.0.0.0 0.0.0.0 [1/0] via 1.0.0.100, outside
C 1.0.0.0 255.0.0.0 is directly connected, outside
L 1.150.0.198 255.255.255.255 is directly connected, outside
C 192.168.71.0 255.255.255.0 is directly connected, inside
L 192.168.71.254 255.255.255.255 is directly connected, inside

　　　　
"show route management-only"コマンドで、管理通信(Management Traffic)が利用する Management Routing Tableを確認できます。 Management Interfaceに紐付くルートが格納されます。

asa# show route management-only

Routing Table: mgmt-only
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
 D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
 N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
 E1 - OSPF external type 1, E2 - OSPF external type 2
 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
 ia - IS-IS inter area, * - candidate default, U - per-user static route
 o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 192.168.90.254 to network 0.0.0.0

S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.90.254, manage
C 192.168.90.0 255.255.255.0 is directly connected, manage
L 192.168.90.101 255.255.255.255 is directly connected, manage

　　　
"show route management-only summary"コマンドで、Management Routing Tableのステータスカウンタを確認できます。

asa# show route management-only summary

IP routing table maximum-paths is 8
Route Source Networks Subnets Replicates Overhead Memory (bytes)
connected 0 2 0 176 576
static 1 0 0 88 288
internal 1 408
Total 2 2 0 264 1272

管理通信(Management Traffic)とは

以下が管理通信(Management Traffic)として処理されます。例えば、HTTPSやSNMP、SYSLOG、AAA通信などです。

外部から ASA本体のManagement Interface宛の通信
ASA本体のManagement Interfaceから外部への通信

例えば以下通信はデフォルトで管理通信として処理され、Management Routing Tableを利用します。仮に Management Routing Tableにマッチしない場合は、Global Routing Tableを代わりに利用します。

スマートライセンス認証
copyコマンド
Trustpointや Trustpool

ASAを通過するデータ通信や Pingは、データ通信として処理され Global Routing Tableを利用します。

Management-access設定を併用時の注意点

VPN経由でのASAの指定Interfaceに管理アクセスを許可したい場合、"management-access"コマンドで対象Interfaceを指定します。以下はその設定例です。

asa(config)# management-access inside

注意点として、Management-accessに Management Interfaceを指定した場合、VPNトンネルとの相互接続性のため、管理通信は Global Routing Tableも参照するようになることです。結果、Routing Tableの分離の効果が失われてしまいます。その為、Management-accessに Management Interfaceの指定は避けてください。

また、VPN経由でのASAとの管理通信を行わない環境の場合は、Management-access設定は不要ですので、Management-access設定の削除が推奨されます。

Management-access設定について詳しくは、以下のConfiguration Guideを参照ください。

CLI Book 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.5
- Configure Management Access Over a VPN Tunnel
http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/configuration/general/asa-95-general-config/admin-management.html#ID-2111-000002c3

その他注意事項

Management Interfaceと他Interfaceの、IPの競合は許可されてません
BGPは、Management Interfaceではサポートされてません

参考情報

CLI Book 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.5
- Routing Table for Management Traffic
http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/configuration/general/asa-95-general-config/route-overview.html#concept_40C0C8DE2C1247319250B9F7706C54A5

ファイアウォールトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733

hisensegroup · ‎2024-04-16

great, just what I need,

appriciate