IPS通过VPN注册到FMC

Question

请帮帮忙。

我有两个站点通过VPN与ASA 5525-X连接。在A站点，我们有管理网络(172.16.30.0/28)，其中我们有ASA 5525-XIPS (172.16.30.14)和IPS (172.16.30.13)的管理IP。IPS具有主干网的默认网关IP (172.16.30.1)。我在管理网络中有一个火力管理中心，IP 172.16.30.10。然后在站点A中正确地将IPS注册到FMC。

在远程站点B中，我具有相同的体系结构。ASA的管理IP在管理网络(172.16.8.0/26)中。ASA的IPS模块在同一个管理网络中具有IP。IPS的默认网关是骨干交换机。

我的目标是在站点A的管理网络中将IPS模块(在站点B的管理网络中)注册到FMC中。我在加密图中添加了两个管理网络。我增加了路由和ACL。我在这两个子网之间授权了ping，但是我注意到ASA总是用syn的拆卸来删除流量。

我认为我的问题与以下事实有关:管理接口与防火墙上的其他接口不一样。事实上，在默认情况下，由于“只管理”设置，管理接口似乎不会从设备上的任何其他接口传递或接收流量。在每个主干上，我都有一个默认路由，它将所有vlans路由到各自ASA的内部接口。我想通过内部的L3交换机将所有流量路由到管理网络，但是ASA认为管理网络是通过管理接口直接连接的。

我希望交通可以走以下的路：

FMC > L3交换机> ASA内部> VPN <

Answer 1

您的怀疑是正确的，因为ASA给您带来麻烦，因为管理网络是直接连接。让我们更详细地描述这个问题，以便其他人能够看到它：

1. 火力传感器是独立于ASA配置的ASA中的软件模块。它有自己的软件(有点像ASA中的虚拟机)，还有自己的配置，包括一个IP地址和一个默认网关。
2. 火力传感器使用ASA的Management0/0端口。就像里面有一个虚拟开关，因为ASA也可以使用端口。
3. 当站点B IPS想要与站点A FMC对话时，它会将数据包发送到B站点的默认网关，后者是核心交换机。核心交换机将其路由到ASA的内部接口。
4. ASA认为这是一个问题，因为到达inside的流量应该直接连接到M0/0端口。我认为在正常情况下，这会被反欺骗规则取消。

这里最好的解决方案是使用与其管理端口不同的接口来建立对这两个ASA的管理。因此，添加一些ssh、http、logging (也可能还有aaa)命令，使一切都能使用inside接口。然后从M0/0端口中删除IP地址，但不要关闭端口(Firepower使用它们！)。使用vlan接口，保持核心交换机的原样。最后，向每个ASA添加路由，将其本地管理子网指向其本地核心交换机。

在这种情况下，流量将正确地从传感器，核心，防火墙，通过VPN路由。

如果您选择保留管理接口，则可以通过从核心交换机中删除vlan接口(但保留vlan)来解决此问题。您可以使用ASA的M0/0端口作为传感器和FMC的默认网关。但是，这个设计不符合您所提出的要求。

我目前想不出一个办法，让站点B传感器注册到站点A FMC使用Layer3核心交换机，而不删除管理地址上的ASA。也许有件事我没想过。