キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA9.5(1)以降: 管理通信用のRouting Tableの分離について

 

    

はじめに

ASAバージョン 9.4までは、1つの Global Routing Tableを共用していました。

ASAバージョン 9.5(1)より、管理通信用と その他通信用のRouting Tableを、分けて管理するよう変わりました。 Management Interfaceに関連するルートは、専用のRouting Tableに格納されます。

本ドキュメントでは、Management Interfaceの設定方法と確認、及び 対象通信について説明します。

本ドキュメントは、ASAバージョン 9.5(2)5を元に確認、作成しております。

   
    

Management Interfaceの指定と、Routing Tableの確認

Management Interfaceは "management-only"コマンドで指定します。以下は その設定例です。

interface GigabitEthernet1/1
nameif inside
security-level 100
ip address 192.168.71.254 255.255.255.0
!
interface GigabitEthernet1/2
nameif outside
security-level 0
ip address 1.150.0.198 255.0.0.0
!
--- snip ---
!
interface Management1/1 <---- Management Interface
management-only
nameif manage
security-level 50
ip address 192.168.90.101 255.255.255.0
!
route outside 0.0.0.0 0.0.0.0 1.0.0.100 1
route manage 0.0.0.0 0.0.0.0 192.168.90.254 1
!

    
"show route"コマンドで Global Routing Tableを確認できます。 Management Interfaceに紐付かないルートが格納されます。

asa# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 1.0.0.100 to network 0.0.0.0

S* 0.0.0.0 0.0.0.0 [1/0] via 1.0.0.100, outside
C 1.0.0.0 255.0.0.0 is directly connected, outside
L 1.150.0.198 255.255.255.255 is directly connected, outside
C 192.168.71.0 255.255.255.0 is directly connected, inside
L 192.168.71.254 255.255.255.255 is directly connected, inside

    
"show route management-only"コマンドで、管理通信(Management Traffic)が利用する Management Routing Tableを確認できます。 Management Interfaceに紐付くルートが格納されます。

asa# show route management-only

Routing Table: mgmt-only
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 192.168.90.254 to network 0.0.0.0

S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.90.254, manage
C 192.168.90.0 255.255.255.0 is directly connected, manage
L 192.168.90.101 255.255.255.255 is directly connected, manage

   
"show route management-only summary"コマンドで、Management Routing Tableの ステータスカウンタを確認できます。

asa# show route management-only summary

IP routing table maximum-paths is 8
Route Source Networks Subnets Replicates Overhead Memory (bytes)
connected 0 2 0 176 576
static 1 0 0 88 288
internal 1 408
Total 2 2 0 264 1272

   
    

管理通信(Management Traffic)とは

以下が管理通信(Management Traffic)として処理されます。例えば、HTTPSやSNMP、SYSLOG、AAA通信などです。

    • 外部から ASA本体のManagement Interface宛の通信
    • ASA本体のManagement Interfaceから 外部への通信

   
上記以外の通信(例えばASAを通過するデータ通信)は、ASAは管理通信として処理しません。

    
    

Management-access設定を併用時の注意点

VPN経由でのASAの指定Interfaceに管理アクセスを許可したい場合、"management-access"コマンドで 対象Interfaceを指定します。 以下はその設定例です。

asa(config)# management-access inside

注意点として、Management-accessに Management Interfaceを指定した場合、VPNトンネルとの相互接続性のため、管理通信は Global Routing Tableも参照するようになることです。 結果、Routing Tableの分離の効果が失われてしまいます。 その為、Management-accessに Management Interfaceの指定は避けてください。

また、VPN経由でのASAとの管理通信を行わない環境の場合は、Management-access設定は不要ですので、Management-access設定の削除が推奨されます。

   
Management-access設定について詳しくは、以下のConfiguration Guideを参照ください。

CLI Book 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.5
 - Configure Management Access Over a VPN Tunnel
http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/configuration/general/asa-95-general-config/admin-management.html#ID-2111-000002c3

   
     

その他 注意事項

    • Management Interfaceと 他Interfaceの、IPの競合は許可されてません
    • BGPは、Management Interfaceではサポートされてません

    
    

参考情報

CLI Book 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.5
 - Routing Table for Management Traffic
http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/configuration/general/asa-95-general-config/route-overview.html#concept_40C0C8DE2C1247319250B9F7706C54A5

バージョン履歴
改訂番号
2/2
最終更新:
‎08-30-2017 04:22 AM
更新者:
 
ラベル(1)
寄稿者:
タグ(1)