Cisco ASA - Exclua ou renomeie "nomes"

8

Eu tive uma experiência ruim com o Cisco ASA ao alterar / renomear atributos de interface "nameif".

Eu gostaria de saber se renomear ou simplesmente excluir nomes existentes usados ​​na configuração do ASA causará algum dano à configuração.

laf
fonte

Respostas:

12

Eu gostaria de saber se renomear ou simplesmente excluir nomes existentes usados ​​na configuração do ASA causará algum dano à configuração.

Você pode excluir e adicionar namealiases com segurança porque o ASA reverte para o endereço IP quando o nome desaparece ...

O alias original é Xbox...

asa5505(config)# sh runn | i Xbox
name 172.16.1.20 Xbox description Xbox
access-list INSIDE_in extended permit udp host Xbox any eq domain
access-list INSIDE_in extended permit tcp host Xbox any eq domain
access-list INSIDE_in extended permit udp host Xbox any eq 3074
access-list INSIDE_in extended permit tcp host Xbox any eq 3074
access-list INSIDE_in extended permit udp host Xbox any eq 88

Excluindo agora Xbox

asa5505(config)# no name 172.16.1.20 Xbox
asa5505(config)# sh runn | i 172.16.1.20
access-list INSIDE_in extended permit udp host 172.16.1.20 any eq domain
access-list INSIDE_in extended permit tcp host 172.16.1.20 any eq domain
access-list INSIDE_in extended permit udp host 172.16.1.20 any eq 3074
access-list INSIDE_in extended permit tcp host 172.16.1.20 any eq 3074
access-list INSIDE_in extended permit udp host 172.16.1.20 any eq 88
asa5505(config)#

E adicionando Xbox-newno mesmo endereço ...

asa5505(config)# name 172.16.1.20 XBox-new descr temporary example
asa5505(config)# sh runn | i 172.16.1.20
name 172.16.1.20 XBox-new description temporary example
asa5505(config)# sh runn | i XBox
name 172.16.1.20 XBox-new description temporary example
access-list INSIDE_in extended permit udp host XBox-new any eq domain
access-list INSIDE_in extended permit tcp host XBox-new any eq domain
access-list INSIDE_in extended permit udp host XBox-new any eq 3074
access-list INSIDE_in extended permit tcp host XBox-new any eq 3074
access-list INSIDE_in extended permit udp host XBox-new any eq 88
asa5505(config)#



Material bônus: renomear um nameif

Eu tive uma experiência ruim com o Cisco ASA ao alterar / renomear atributos de interface "nameif".

Renomear nameifem uma interface funciona muito bem no ASA 8.2 (5) ... Este é um exemplo de alteração nameif OUTSIDEparanameif newOUTSIDE

asa5505# sh nameif
Interface                Name                     Security
Vlan100                  OUTSIDE                    0
Vlan200                  INSIDE                   100
asa5505# sh runn | i access-group
access-group OUTSIDE_in in interface OUTSIDE
access-group INSIDE_in in interface INSIDE
asa5505# conf t
asa5505(config)# int vlan100
asa5505(config-if)# nameif newOUTSIDE
asa5505(config-if)# show nameif
Interface                Name                     Security
Vlan100                  newOUTSIDE                 0
Vlan200                  INSIDE                   100
asa5505(config-if)# sh runn | i newOUTSIDE
 nameif newOUTSIDE
mtu newOUTSIDE 1500
global (newOUTSIDE) 1 interface
access-group OUTSIDE_in in interface newOUTSIDE
ssl trust-point LOCAL_CERT_gw_200904 newOUTSIDE
asa5505(config-if)#

O ASA até renomeou as referências de interface de OUTSIDEpara newOUTSIDEautomaticamente ... As sessões TCP através do FW não caíram quando eu o fiz.

ATENÇÃO

Faça o que fizer, não tente no nameif <something here>... ele mangueira sua configuração ...

asa5505(config)# int vlan100
asa5505(config-if)# no nameif OUTSIDE
asa5505(config-if)# nameif newBrokenOUTSIDE
Mike Pennington
fonte
Obrigado, bom saber disso. Ainda estou preocupado em excluir os nomes. Por exemplo, nomes name 10.16.146.10 FTP-Server
laf
Uma pequena pergunta: você sabe desde quando esse recurso foi adicionado? Eu executo 8.0.4 no dispositivo atual.
laf 25/07/2013
De acordo com os ASA 8,0 docs nameif , ele funciona em 8,0 demais
Mike Pennington