概要
サービス プロバイダーは、そのポートフォリオで管理型 WAN サービスを提供します。 Cisco ASA Firepower プラットフォームは差別化サービスを提供するために統一された脅威 管理 機能セットを提供します。 ASA Firepower デバイスは管理のための個々のインターフェイスを LAN デバイスに接続されてもらいますが、LAN デバイスによって管理インターフェイスを接続することは LAN デバイスの依存関係を作成します。
この資料はソリューションを提供したものです LAN デバイスに接続するか、またはサービスプロバイダーエッジ デバイスからの第 2 インターフェイスを使用しないで Cisco ASA Firepower (SFR)モジュールを管理することを可能にする。
前提条件
使用するコンポーネント
- Firepower (SFR)サービスを用いる ASA 5500-X シリーズ プラットフォーム。
- ASA と Firepower モジュールの間で共有される管理インターフェイス。
アーキテクチャ
要件
- サービスプロバイダーエッジ デバイスからの ASA Firepower への単一 専用のインターネット アクセス ハンドオフ。
- 管理インターフェイスへのアクセスはにインターフェイス状態を変更して必要です。
- ASA の管理インターフェイスは Firepower モジュールを管理するためにアップ状態に留まるはずです。
- 管理 接続は顧客が LAN デバイスを切る場合失うべきではありません。
- 管理 アーキテクチャはアクティブ/バックアップ WAN フェールオーバーをサポートする必要があります。
トポロジの概要

低レベル設計

解決策
次の設定は前提条件として LAN 接続なしで VPN 上の SFR モジュールを、リモートで管理することを可能にします。
配線
- イーサネット ケーブルを使用して管理インターフェイス 1/1 に GigabitEthernet1/8 インターフェイスを接続して下さい。
注: ASA Firepower モジュールは管理 トラフィックを送信 し、受信するのに管理 1/x (1/0 か 1/1)インターフェイスを使用する必要があります。 管理 1/x インターフェイスがデータ平面にないので、物理的に コントロール プレーンを ASA を通してトラフィックを通過させるために別の LAN デバイスに管理インターフェイスをケーブル接続する必要があります。
ワンボックス ソリューションの一部として、イーサネット ケーブルを使用して管理インターフェイス 1/1 に GigabitEthernet1/8 インターフェイスを接続します。
IP アドレス
- GigabitEthernet 1/8 のインターフェイス: 192.168.10.1/24
- SFR 管理インターフェイス: 192.168.10.2/24
- SFR ゲートウェイ: 192.168.10.1
- 管理 1/1 インターフェイス: 管理インターフェイスに設定される IP アドレスがありません。 管理アクセス コマンドは管理(MGMT)目的で設定する必要があります。
ローカルおよびリモート トラフィックは次のサブネットにあります:
VPN および NAT
- VPN ポリシーを定義して下さい。
- Nat コマンドはルート ルックアップ プレフィクスで規定 される Nat コマンドでインターフェイスを使用するかわりにルート ルックアップを使用して出力インターフェイスを判別するために設定する必要があります。
設定例
!
management-access MGMT
!
interface GigabitEthernet1/1
nameif outside
security-level 0
ip address 10.106.223.1 255.255.255.0
!
interface GigabitEthernet1/8
nameif MGMT
security-level 90
ip address 192.168.10.1 255.255.255.252
!
interface Management1/1
management-only
no nameif
no security-level
no ip address
!
object network obj_any
subnet 0.0.0.0 0.0.0.0
object-group network LOCAL-LAN
network-object 192.168.10.0 255.255.255.0
object-group network REMOTE-LAN
network-object 192.168.11.0 255.255.255.0
access-list INTREST-TRAFFIC extended permit ip 192.168.10.0 255.255.255.0 192.168.11.0 255.255.255.0
access-list TEST extended permit tcp any any eq www
access-list TEST extended permit tcp any any eq https
nat (MGMT,outside) source static LOCAL-LAN LOCAL-LAN destination static REMOTE-LAN REMOTE-LAN route-lookup
object network obj_any
nat (any,outside) dynamic interface
route outside 0.0.0.0 0.0.0.0 10.106.223.2 1
crypto ipsec ikev1 transform-set TRANS-SET esp-3des esp-md5-hmac
crypto ipsec security-association pmtu-aging infinite
crypto map CMAP 10 match address INTREST-TRAFFIC
crypto map CMAP 10 set peer 10.106.223.2
crypto map CMAP 10 set ikev1 transform-set TRANS-SET
crypto map CMAP interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
!
tunnel-group 10.106.223.1 type ipsec-l2l
tunnel-group 10.106.223.1 ipsec-attributes
ikev1 pre-shared-key *****
!
class-map TEST
match access-list TEST
policy-map global_policy
class TEST
sfr fail-close
!