Cisco ASA-「名前」の削除または名前変更

8

「nameif」インターフェイス属性を変更または名前変更するときに、Cisco ASAで悪い経験をしました。

ASA構成で使用されている名前を変更するか、単に既存の名前を削除するだけで構成に影響があるかどうかを知りたいです。

cisco  cisco-asa  firewall 
ラフ
ソース

回答:

12

ASA構成で使用されている名前を変更するか、単に既存の名前を削除するだけで構成に影響があるかどうかを知りたいです。

name名前が消えるとASAはIPアドレスに戻るため、エイリアスを安全に削除および追加できます...

元のエイリアスはXbox...

asa5505(config)# sh runn | i Xbox
name 172.16.1.20 Xbox description Xbox
access-list INSIDE_in extended permit udp host Xbox any eq domain
access-list INSIDE_in extended permit tcp host Xbox any eq domain
access-list INSIDE_in extended permit udp host Xbox any eq 3074
access-list INSIDE_in extended permit tcp host Xbox any eq 3074
access-list INSIDE_in extended permit udp host Xbox any eq 88

削除しています Xbox

asa5505(config)# no name 172.16.1.20 Xbox
asa5505(config)# sh runn | i 172.16.1.20
access-list INSIDE_in extended permit udp host 172.16.1.20 any eq domain
access-list INSIDE_in extended permit tcp host 172.16.1.20 any eq domain
access-list INSIDE_in extended permit udp host 172.16.1.20 any eq 3074
access-list INSIDE_in extended permit tcp host 172.16.1.20 any eq 3074
access-list INSIDE_in extended permit udp host 172.16.1.20 any eq 88
asa5505(config)#

Xbox-new同じ住所を追加しています...

asa5505(config)# name 172.16.1.20 XBox-new descr temporary example
asa5505(config)# sh runn | i 172.16.1.20
name 172.16.1.20 XBox-new description temporary example
asa5505(config)# sh runn | i XBox
name 172.16.1.20 XBox-new description temporary example
access-list INSIDE_in extended permit udp host XBox-new any eq domain
access-list INSIDE_in extended permit tcp host XBox-new any eq domain
access-list INSIDE_in extended permit udp host XBox-new any eq 3074
access-list INSIDE_in extended permit tcp host XBox-new any eq 3074
access-list INSIDE_in extended permit udp host XBox-new any eq 88
asa5505(config)#



ボーナスマテリアル:名前の変更 nameif

「nameif」インターフェイス属性を変更または名前変更するときに、Cisco ASAで悪い経験をしました。

名前変更nameifのインターフェイス上ではASA 8.2(5)でうまく動作します...これは、変更の一例であるnameif OUTSIDEnameif newOUTSIDE

asa5505# sh nameif
Interface                Name                     Security
Vlan100                  OUTSIDE                    0
Vlan200                  INSIDE                   100
asa5505# sh runn | i access-group
access-group OUTSIDE_in in interface OUTSIDE
access-group INSIDE_in in interface INSIDE
asa5505# conf t
asa5505(config)# int vlan100
asa5505(config-if)# nameif newOUTSIDE
asa5505(config-if)# show nameif
Interface                Name                     Security
Vlan100                  newOUTSIDE                 0
Vlan200                  INSIDE                   100
asa5505(config-if)# sh runn | i newOUTSIDE
 nameif newOUTSIDE
mtu newOUTSIDE 1500
global (newOUTSIDE) 1 interface
access-group OUTSIDE_in in interface newOUTSIDE
ssl trust-point LOCAL_CERT_gw_200904 newOUTSIDE
asa5505(config-if)#

ASAは、インターフェイス参照の名前をからOUTSIDEnewOUTSIDE自動的に変更しました。FWを介したTCPセッションは、私がドロップしたときにドロップしませんでした。

警告

あなたが何をするにせよ、試さないでくださいno nameif <something here>...それはあなたの設定をホースします...

asa5505(config)# int vlan100
asa5505(config-if)# no nameif OUTSIDE
asa5505(config-if)# nameif newBrokenOUTSIDE
マイク・ペニントン
ソース
よろしくお願いします。それでも、名前を削除することに懸念があります。たとえば、名前10.16.146.10 FTP-Server
laf
ちょっとした質問:この機能が追加されたときから知っていますか?現在のデバイスで8.0.4を実行しています。
ラフ2013
ASA 8.0 nameif docsによると、それは8.0でも機能します
マイクペニントン2013
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.