Cisco
Cisco ASA 訪問列表冗餘條目
我需要修改 CISCO ASA 的現有配置。在分析配置時,我注意到一些對我來說看起來多餘的東西。我想看看是否有人可以證實我的懷疑。
access-list LANA_access_in extended permit ip any any log debugging inactive access-list LANA_access_in extended permit icmp any any log debugging inactive access-list LANA_access_in extended permit icmp 172.12.10.0 255.255.255.0 10.5.83.0 255.255.255.0 access-list LANA_access_in extended permit ip 172.12.10.0 255.255.255.0 10.5.83.0 255.255.255.0 ... access-group LANA_access_in in interface LAN_A_Lan
我對在前兩行之後,後兩行完全多餘嗎?
為了讓事情變得更好,配置的這一部分
access-list global_access extended permit ip any any log debugging inactive access-list global_access extended permit icmp any any log debugging inactive ... access-group global_access global
如果我理解正確,這將允許所有埠上的所有入口流量,並且前面提到的兩條特定線路是“雙重”冗餘的。
我的假設正確嗎?
你的假設是不正確的。關鍵字的
inactive
意思就是它所說的:有問題的條目是非活動的、禁用的、未使用的、被數據包處理忽略的。這兩行的目的是為快速調查做好準備。如果管理員認為需要通過該 ACL 跟踪所有數據包,她只需
inactive
從第一個access-list
條目中刪除該屬性,ASA 將允許並記錄所有到達的 IP 數據包。調查完成後,她會將其inactive
放回原處,原始規則集將再次生效。