不幸的是，Cisco 没有为我们提供一种精确的单行方式来删除单个对象或对象组。随着 ASA 代码的不断成熟以及 ASA 本身获得更多 CPU 资源，这可能会及时出现。最初的 ASA 产品线在 CPU 部门的功率不足可悲。例如，您的 5505 于 2006 年首次发布并带有Pentium 4 Celeron 2000 MHz!

通过配置进行智能递归搜索以删除对象或对象组将需要编写软件时不存在的 CPU 资源。尤其是如果他们不得不以处理流量为代价的话。我每天都在处理具有数千个对象和数万条 ACL 行的 ASA，我希望每天都能使用此功能。

现在我们只剩下手动搜索过程，类似于我在下面演示的过程。例如，这个过程当然可以在 Python 中自动化，但是我给出了手动过程来说明所涉及的逻辑。

对于此示例，我有以下对象、对象组和 ACL：

object network TEST-OBJECT
 host 10.10.10.10

object-group network TESTING-OBJECT-GROUP
 network-object object TEST-OBJECT
 network-object host 10.10.10.20

access-list TEST-ACL extended permit ip any object-group TESTING-OBJECT-GROUP 
access-list TEST-ACL extended permit ip any object TEST-OBJECT  

如果我想删除TEST-OBJECT和任何对它的引用，正如您所发现的，我不能简单地执行以下操作：

asa2-local(config)# no object network TEST-OBJECT
ERROR: unable to delete object (TEST-OBJECT). object is being used.

我现在必须搜索对象的所有实例并删除这些行。

首先，我查看对象名称和字符串的运行配置p n，它与object-group network. 这为我们提供了所有网络对象组的名称，现在我们只需查找 的实例TEST-OBJECT，然后查找它所属的对象组：

asa2-local# show run | inc TEST-OBJECT|p n
object network TEST-OBJECT
object-group network TESTING-OBJECT-GROUP
 network-object object TEST-OBJECT
access-list TEST-ACL extended permit ip any object TEST-OBJECT  

所以我们知道我们需要TEST-OBJECT从TESTING-OBJECT-GROUP对象组中删除，并删除单个 ACL 行：

asa2-local(config)# object-group network TESTING-OBJECT-GROUP
asa2-local(config-network-object-group)# no network-object object TEST-OBJECT
asa2-local(config-network-object-group)# exit
asa2-local(config)# no access-list TEST-ACL extended permit ip any object TEST-OBJECT

最后，我们可以成功删除对象本身并验证它是否已经消失：

asa2-local(config)# no object network TEST-OBJECT
asa2-local(config)# show run object
asa2-local(config)# 

您现在可以进入 ASDM 并在 Configuration-> Firewall -> Objects -> Network Objects/Groups 下，顶部附近有一个带有“Not Used”的小放大镜。单击它，它将列出所有未使用的对象组。它还将为您提供删除它们的选项。