はじめに
ASAバージョン 9.4までは、1つの Global Routing Tableを共用していました。
ASAバージョン 9.5(1)より、管理通信用と その他通信用のRouting Tableを、分けて管理するよう変わりました。 Management Interfaceに関連するルートは、専用のRouting Tableに格納されます。
本ドキュメントでは、Management Interfaceの設定方法と確認、及び 対象通信について説明します。
本ドキュメントは、ASAバージョン 9.5(2)5を元に確認、作成しております。
Management Interfaceの指定と Routing Tableの確認
Management Interfaceは "management-only"コマンドで指定します。以下は その設定例です。
interface GigabitEthernet1/1
nameif inside
security-level 100
ip address 192.168.71.254 255.255.255.0
!
interface GigabitEthernet1/2
nameif outside
security-level 0
ip address 1.150.0.198 255.0.0.0
!
--- snip ---
!
interface Management1/1 <---- Management Interface
management-only
nameif manage
security-level 50
ip address 192.168.90.101 255.255.255.0
!
route outside 0.0.0.0 0.0.0.0 1.0.0.100 1
route manage 0.0.0.0 0.0.0.0 192.168.90.254 1
!
"show route"コマンドで Global Routing Tableを確認できます。 Management Interfaceに紐付かないルートが格納されます。
asa# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 1.0.0.100 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 1.0.0.100, outside
C 1.0.0.0 255.0.0.0 is directly connected, outside
L 1.150.0.198 255.255.255.255 is directly connected, outside
C 192.168.71.0 255.255.255.0 is directly connected, inside
L 192.168.71.254 255.255.255.255 is directly connected, inside
"show route management-only"コマンドで、管理通信(Management Traffic)が利用する Management Routing Tableを確認できます。 Management Interfaceに紐付くルートが格納されます。
asa# show route management-only
Routing Table: mgmt-only
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 192.168.90.254 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.90.254, manage
C 192.168.90.0 255.255.255.0 is directly connected, manage
L 192.168.90.101 255.255.255.255 is directly connected, manage
"show route management-only summary"コマンドで、Management Routing Tableの ステータスカウンタを確認できます。
asa# show route management-only summary
IP routing table maximum-paths is 8
Route Source Networks Subnets Replicates Overhead Memory (bytes)
connected 0 2 0 176 576
static 1 0 0 88 288
internal 1 408
Total 2 2 0 264 1272
管理通信(Management Traffic)とは
以下が管理通信(Management Traffic)として処理されます。例えば、HTTPSやSNMP、SYSLOG、AAA通信などです。
- 外部から ASA本体のManagement Interface宛の通信
- ASA本体のManagement Interfaceから 外部への通信
例えば以下通信は デフォルトで管理通信として処理され、Management Routing Tableを利用します。 仮に Management Routing Tableにマッチしない場合は、Global Routing Tableを代わりに利用します。
- スマートライセンス認証
- copyコマンド
- Trustpointや Trustpool
ASAを通過するデータ通信や Pingは、データ通信として処理され Global Routing Tableを利用します。
Management-access設定を併用時の注意点
VPN経由でのASAの指定Interfaceに管理アクセスを許可したい場合、"management-access"コマンドで 対象Interfaceを指定します。 以下はその設定例です。
asa(config)# management-access inside
注意点として、Management-accessに Management Interfaceを指定した場合、VPNトンネルとの相互接続性のため、管理通信は Global Routing Tableも参照するようになることです。 結果、Routing Tableの分離の効果が失われてしまいます。 その為、Management-accessに Management Interfaceの指定は避けてください。
また、VPN経由でのASAとの管理通信を行わない環境の場合は、Management-access設定は不要ですので、Management-access設定の削除が推奨されます。
Management-access設定について詳しくは、以下のConfiguration Guideを参照ください。
CLI Book 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.5
- Configure Management Access Over a VPN Tunnel
http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/configuration/general/asa-95-general-config/admin-management.html#ID-2111-000002c3
その他 注意事項
- Management Interfaceと 他Interfaceの、IPの競合は許可されてません
- BGPは、Management Interfaceではサポートされてません
参考情報
CLI Book 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.5
- Routing Table for Management Traffic
http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/configuration/general/asa-95-general-config/route-overview.html#concept_40C0C8DE2C1247319250B9F7706C54A5
ファイアウォール トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736
Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733