我需要修改 CISCO ASA 的现有配置。在分析配置时,我注意到一些对我来说看似多余的内容。我想看看是否有人可以证实我的疑虑。
access-list LANA_access_in extended permit ip any any log debugging inactive
access-list LANA_access_in extended permit icmp any any log debugging inactive
access-list LANA_access_in extended permit icmp 172.12.10.0 255.255.255.0 10.5.83.0 255.255.255.0
access-list LANA_access_in extended permit ip 172.12.10.0 255.255.255.0 10.5.83.0 255.255.255.0
...
access-group LANA_access_in in interface LAN_A_Lan
我是否正确认为前两行之后的后两行完全是多余的?
为了让事情变得更好,还有这部分配置
access-list global_access extended permit ip any any log debugging inactive
access-list global_access extended permit icmp any any log debugging inactive
...
access-group global_access global
如果我理解正确的话,这将允许所有端口上的所有入口流量,并且前面提到的两条特定线路是“双重”冗余的。
我的假设正确吗?
答案1
您的假设是错误的。该inactive关键字的意思就是:所讨论的条目处于非活动状态、已禁用、未在使用中、被数据包处理忽略。
这两行的目的是为快速调查做好准备。如果管理员认为需要跟踪通过该 ACL 的所有数据包,她只需inactive从第一个access-list条目中删除该属性,ASA 将允许并记录所有到达的 IP 数据包。调查完成后,她将重新放回原处inactive,原始规则集将再次生效。