Cisco

Cisco ASA 訪問列表冗餘條目

  • September 14, 2015

我需要修改 CISCO ASA 的現有配置。在分析配置時,我注意到一些對我來說看起來多餘的東西。我想看看是否有人可以證實我的懷疑。

access-list LANA_access_in extended permit ip any any log debugging inactive
access-list LANA_access_in extended permit icmp any any log debugging inactive
access-list LANA_access_in extended permit icmp 172.12.10.0 255.255.255.0 10.5.83.0 255.255.255.0
access-list LANA_access_in extended permit ip 172.12.10.0 255.255.255.0 10.5.83.0 255.255.255.0
...
access-group LANA_access_in in interface LAN_A_Lan

我對在前兩行之後,後兩行完全多餘嗎?

為了讓事情變得更好,配置的這一部分

access-list global_access extended permit ip any any log debugging inactive
access-list global_access extended permit icmp any any log debugging inactive
...
access-group global_access global

如果我理解正確,這將允許所有埠上的所有入口流量,並且前面提到的兩條特定線路是“雙重”冗餘的。

我的假設正確嗎?

你的假設是不正確的。關鍵字的inactive意思就是它所說的:有問題的條目是非活動的、禁用的、未使用的、被數據包處理忽略的。

這兩行的目的是為快速調查做好準備。如果管理員認為需要通過該 ACL 跟踪所有數據包,她只需inactive從第一個access-list條目中刪除該屬性,ASA 將允許並記錄所有到達的 IP 數據包。調查完成後,她會將其inactive放回原處,原始規則集將再次生效。

引用自:https://serverfault.com/questions/722295