Cisco ASAの管理インターフェイスを設定して、既存の管理LANからのアクセスを許可する

（質問を再定義して実際のLANトポロジに一致させる...）

新しいCisco ASA-5512-Xファイアウォールを使用しています。既存のネットワークスタックを使用して、特定のクライアントサーバーを他のLANから分離します（つまり、エッジデバイスとしてではありません）。

既存のLANインフラストラクチャには、データVLAN（通常のネットワークノードが存在する場所）、管理VLAN（sysadminsデスクトップおよびバックアップデバイスが存在する場所））およびaデバイスVLAN（すべてのネットワークデバイスとサーバーのすべての「リモート管理」インターフェイスが存在する場所）。VLANはすべて、コアファイアウォールによってファイアウォールで保護されており、security-levelステートメントでsysadmins/backupサーバーは、データVLANとデバイスVLANの両方にアクセスしながら、データVLANとデバイスVLANが相互に通信することを防ぎます。

以下は、現在の設定を説明するために試みた図です。

                                   213.48.xx.xx    ( MGT_VLAN  Gi0/1.10  sec 100 )
                                         |     ____( DVCS_VLAN Gi0/1.12  sec 80  )
                                         |    /    ( DATA_VLAN Gi0/1.100 sec 80  )
                                         |   / 
           +------------------------[Core F/W]------------------------+
           |                             |                            |
     172.31.0.10                   172.31.255.10                172.31.100.10
           |                             |                            |
-------------------------------------------------------------------------------------
MgtVLAN#10:172.31.0.0/24 | DvcsVLAN#12:172.31.255.0/24 | DataVLAN#100:172.31.100.0/23  
-------------------------------------------------------------------------------------
         | | |                           |                |              \ \ \
      [SysAdmins]                 172.31.255.136    172.31.100.252    [LAN Clients]
                                         |                |
                                         +------------[New ASA]
                                                          |
                                                    172.31.250.10
                                                          |
                                       -----------------------------------------
                                       SecretLAN:172.31.250.0/24  [L2 Switching]
                                       -----------------------------------------
                                                        | | |
                                                   [Secret Servers]  

現在のLANに合わせて、新しいASAのManagement0/0インターフェイスをデバイスVLAN内に存在するように指定し、そのVLANのサブネットのアドレスを介してTelnet/SSH/ADSMからのみアクセスできるようにします。 Ma0/0にはmanagement-onlyが適用されており、通過トラフィックを防止しています。新しいASAのIPSコンポーネント）であるため、新しい5512-Xモデルから削除できず、他のインターフェイスの1つを使用できません（まさに、 this）はMa0/0を介してのみアクセスできます。

SysadminデスクトップをデバイスVLANのアクセスポートに接続すると、新しいASAの管理インターフェイスにアクセスできます。ただし、コアファイアウォールのsecurity-levelで許可されていても、VLAN10の通常のホームにあるsysadminデスクトップではできません。

私はそれを基本的なルーティングの問題に絞り込んだと思います：新しいASAはroute OUTSIDE 0.0.0.0 0.0.0.0 172.31.100.10で構成されます（つまり、デフォルトゲートウェイはコアファイアウォールのデータのアドレスVLANサブインターフェイス）、およびMa0/0はip address 172.31.255.136 255.255.255.0で構成されます（確かにデバイスVLANサブネット内）。新しいASAは、管理からの管理接続を受け入れますVLAN（172.31.0.0/24）しかし、OUTSIDEインターフェースを介してルーティングしようとするため、応答を送信できません。

ただし、route MANAGEMENT 172.31.0.0 255.255.255.0 172.31.255.10を追加することはできません。バックアップサーバーのトラフィック（これも172.31.0.0/24アドレス上にある）が、OUTSIDE（a 1Gbps NIC）。

Ma0/0インターフェースをこのように機能させることはできますか？または、端末に端末を設置する必要がありますVLANそしてそれを私の管理からのダブルホップとして使用するVLAN（例えば、SSHリモートポート転送によって;または、一方にtelnet、次にもう一方にtelnet）？