我需要修改CISCO ASA的现有configuration。 在分析configuration时,我注意到了一些对我来说看起来多余的东西 我想看看有人能证实我的疑惑。
access-list LANA_access_in extended permit ip any any log debugging inactive access-list LANA_access_in extended permit icmp any any log debugging inactive access-list LANA_access_in extended permit icmp 172.12.10.0 255.255.255.0 10.5.83.0 255.255.255.0 access-list LANA_access_in extended permit ip 172.12.10.0 255.255.255.0 10.5.83.0 255.255.255.0 ... access-group LANA_access_in in interface LAN_A_Lan 我说的是,在前两行之后,后面两行是完全多余的?
为了使事情变得更好,有这部分的configuration
access-list global_access extended permit ip any any log debugging inactive access-list global_access extended permit icmp any any log debugging inactive ... access-group global_access global
如果我理解正确,这将允许所有端口上的所有入站stream量,并且前面提到的两条特定线路是“双重”冗余的。
我的假设是否正确?
你的假设是不正确的。 inactive关键字意味着它所说的:所涉及的条目处于非活动状态,禁用状态,未被使用,被数据包处理忽略。
这两条线的目的是为了快速调查。 如果pipe理员觉得需要通过ACL跟踪所有数据包,则只需从第一个access-list条目中删除inactive属性,ASA将允许并logging所有到达的IP数据包。 调查完成后,她会将inactive重新放入原来的规则集中,并重新生效。