思科ASA豁免
思科ASA豁免
提问于 2013-12-17 20:13:14
我正在使用Cisco ASA 8.2,并计划升级到8.4或更高版本。如果您知道NAT是在新版本( 8.3及以上版本)中重新设计的。
我首先要清理激励规则,并有一个关于NAT豁免的问题。
nat (apple) 0 access-list nonat_a
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 10.10.254.0 255.255.255.0
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 10.10.50.0 255.255.255.0
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 10.11.71.0 255.255.255.0
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 host 10.11.67.11
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 host 172.21.53.13
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 10.11.65.0 255.255.255.0
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 host 172.21.53.22
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 10.11.66.0 255.255.255.0
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 host 172.21.230.17当这是我的nat超负荷配置时,我没有任何点击
access-list nonat_a; 9 elements; name hash: 0x730fb5b7
access-list nonat_a line 1 extended permit ip 10.11.69.0 255.255.255.0 10.10.254.0 255.255.255.0 (hitcnt=0) 0x55398b19
access-list nonat_a line 2 extended permit ip 10.11.69.0 255.255.255.0 10.10.50.0 255.255.255.0 (hitcnt=0) 0x973d918e
access-list nonat_a line 3 extended permit ip 10.11.69.0 255.255.255.0 10.11.71.0 255.255.255.0 (hitcnt=0) 0x8456bc46
access-list nonat_a line 4 extended permit ip 10.11.69.0 255.255.255.0 host 10.11.67.11 (hitcnt=0) 0x32c44f8d
access-list nonat_a line 5 extended permit ip 10.11.69.0 255.255.255.0 host 172.21.53.13 (hitcnt=0) 0x718c853b
access-list nonat_a line 6 extended permit ip 10.11.69.0 255.255.255.0 10.11.65.0 255.255.255.0 (hitcnt=0) 0x2ee8036c
access-list nonat_a line 7 extended permit ip 10.11.69.0 255.255.255.0 host 172.21.53.22 (hitcnt=0) 0x6fa0837f
access-list nonat_a line 8 extended permit ip 10.11.69.0 255.255.255.0 10.11.66.0 255.255.255.0 (hitcnt=0) 0xd61e0f54
access-list nonat_a line 9 extended permit ip 10.11.69.0 255.255.255.0 host 172.21.230.17 (hitcnt=0) 0x5f884523 那么,我是否可以得出结论,我的nat豁免没有被使用?我还说,我不能用包中的构建触发nat的越权。这是真的吗,还是我也应该用包来测试豁免呢?
亲切问候S
回答 2
Network Engineering用户
发布于 2013-12-17 21:42:38
命中计数显示通信量与ACL匹配的次数。不过,在你移除它们之前,我会先研究一下它们为什么会被放置在原处。我已经看到了一些规则,每年使用一次,持续几天,然后就不再使用了。命中计数将只显示自上次清除统计信息或重新启动以来的匹配。也许这些规则很少被使用,并且由于这个原因没有增加。这只是个想法。也许其他人可以提供更多的洞察力。
Network Engineering用户
发布于 2013-12-19 08:33:49
这些NAT豁免是为现场到现场(也是远程)隧道,对吗?检查你的VPN隧道。检查ACL的密码墓穴。我认为删除与任何VPN无关的语句是安全的。
页面原文内容由Network Engineering提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://networkengineering.stackexchange.com/questions/5510
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号