思科 ASA 豁免

网络工程 思科 防火墙
2021-07-15 20:01:06

我正在使用 Cisco ASA 8.2 并计划升级到 8.4 或更高版本。如果您知道 NAT 在较新版本中完全重新设计(从 8.3 开始)

我首先要清理现有的规则,并有一个关于 NAT 豁免的问题。

nat (apple) 0 access-list nonat_a
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 10.10.254.0 255.255.255.0
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 10.10.50.0 255.255.255.0
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 10.11.71.0 255.255.255.0
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 host 10.11.67.11
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 host 172.21.53.13
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 10.11.65.0 255.255.255.0
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 host 172.21.53.22
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 10.11.66.0 255.255.255.0
access-list nonat_a extended permit ip 10.11.69.0 255.255.255.0 host 172.21.230.17

当这是我的 nat 豁免配置时,我对它们没有任何影响

access-list nonat_a; 9 elements; name hash: 0x730fb5b7
access-list nonat_a line 1 extended permit ip 10.11.69.0 255.255.255.0 10.10.254.0 255.255.255.0 (hitcnt=0) 0x55398b19 
access-list nonat_a line 2 extended permit ip 10.11.69.0 255.255.255.0 10.10.50.0 255.255.255.0 (hitcnt=0) 0x973d918e 
access-list nonat_a line 3 extended permit ip 10.11.69.0 255.255.255.0 10.11.71.0 255.255.255.0 (hitcnt=0) 0x8456bc46 
access-list nonat_a line 4 extended permit ip 10.11.69.0 255.255.255.0 host 10.11.67.11 (hitcnt=0) 0x32c44f8d 
access-list nonat_a line 5 extended permit ip 10.11.69.0 255.255.255.0 host 172.21.53.13 (hitcnt=0) 0x718c853b 
access-list nonat_a line 6 extended permit ip 10.11.69.0 255.255.255.0 10.11.65.0 255.255.255.0 (hitcnt=0) 0x2ee8036c 
access-list nonat_a line 7 extended permit ip 10.11.69.0 255.255.255.0 host 172.21.53.22 (hitcnt=0) 0x6fa0837f 
access-list nonat_a line 8 extended permit ip 10.11.69.0 255.255.255.0 10.11.66.0 255.255.255.0 (hitcnt=0) 0xd61e0f54 
access-list nonat_a line 9 extended permit ip 10.11.69.0 255.255.255.0 host 172.21.230.17 (hitcnt=0) 0x5f884523

然后我可以得出结论,我的 nat 豁免没有被使用吗?我也很高兴我无法通过 packettracer 中的构建触发 nat 豁免。这是真的还是我也应该用数据包跟踪测试豁免?

亲切的问候

2个回答

命中计数显示流量与该 ACL 匹配的次数。在您删除它们之前,尽管我会先调查为什么将它们放置到位。我已经看到制定的规则每年使用一次,持续几天,然后很长时间没有使用。命中计数只会显示自上次清除统计数据或重新启动以来的匹配项。也许这些规则很少使用,因此没有增加。只是一个想法。也许其他人可以提供更多见解。

这些 NAT 豁免适用于站点到站点(也是远程)隧道,对吗?因此,请检查您的 VPN 隧道。检查加密映射的 ACL。我认为删除与任何 VPN 无关的语句是安全的。

其它你可能感兴趣的问题
上一篇带宽速度 下一篇为什么我在访问负载均衡器后面的服务器上托管的网站时遇到问题?