Eu tive uma experiência ruim com o Cisco ASA ao alterar / renomear atributos de interface "nameif".
Eu gostaria de saber se renomear ou simplesmente excluir nomes existentes usados na configuração do ASA causará algum dano à configuração.
Eu gostaria de saber se renomear ou simplesmente excluir nomes existentes usados na configuração do ASA causará algum dano à configuração.
Você pode excluir e adicionar name
aliases com segurança porque o ASA reverte para o endereço IP quando o nome desaparece ...
O alias original é Xbox
...
asa5505(config)# sh runn | i Xbox
name 172.16.1.20 Xbox description Xbox
access-list INSIDE_in extended permit udp host Xbox any eq domain
access-list INSIDE_in extended permit tcp host Xbox any eq domain
access-list INSIDE_in extended permit udp host Xbox any eq 3074
access-list INSIDE_in extended permit tcp host Xbox any eq 3074
access-list INSIDE_in extended permit udp host Xbox any eq 88
Excluindo agora Xbox
asa5505(config)# no name 172.16.1.20 Xbox
asa5505(config)# sh runn | i 172.16.1.20
access-list INSIDE_in extended permit udp host 172.16.1.20 any eq domain
access-list INSIDE_in extended permit tcp host 172.16.1.20 any eq domain
access-list INSIDE_in extended permit udp host 172.16.1.20 any eq 3074
access-list INSIDE_in extended permit tcp host 172.16.1.20 any eq 3074
access-list INSIDE_in extended permit udp host 172.16.1.20 any eq 88
asa5505(config)#
E adicionando Xbox-new
no mesmo endereço ...
asa5505(config)# name 172.16.1.20 XBox-new descr temporary example
asa5505(config)# sh runn | i 172.16.1.20
name 172.16.1.20 XBox-new description temporary example
asa5505(config)# sh runn | i XBox
name 172.16.1.20 XBox-new description temporary example
access-list INSIDE_in extended permit udp host XBox-new any eq domain
access-list INSIDE_in extended permit tcp host XBox-new any eq domain
access-list INSIDE_in extended permit udp host XBox-new any eq 3074
access-list INSIDE_in extended permit tcp host XBox-new any eq 3074
access-list INSIDE_in extended permit udp host XBox-new any eq 88
asa5505(config)#
Material bônus: renomear um nameif
Eu tive uma experiência ruim com o Cisco ASA ao alterar / renomear atributos de interface "nameif".
Renomear nameif
em uma interface funciona muito bem no ASA 8.2 (5) ... Este é um exemplo de alteração nameif OUTSIDE
paranameif newOUTSIDE
asa5505# sh nameif
Interface Name Security
Vlan100 OUTSIDE 0
Vlan200 INSIDE 100
asa5505# sh runn | i access-group
access-group OUTSIDE_in in interface OUTSIDE
access-group INSIDE_in in interface INSIDE
asa5505# conf t
asa5505(config)# int vlan100
asa5505(config-if)# nameif newOUTSIDE
asa5505(config-if)# show nameif
Interface Name Security
Vlan100 newOUTSIDE 0
Vlan200 INSIDE 100
asa5505(config-if)# sh runn | i newOUTSIDE
nameif newOUTSIDE
mtu newOUTSIDE 1500
global (newOUTSIDE) 1 interface
access-group OUTSIDE_in in interface newOUTSIDE
ssl trust-point LOCAL_CERT_gw_200904 newOUTSIDE
asa5505(config-if)#
O ASA até renomeou as referências de interface de OUTSIDE
para newOUTSIDE
automaticamente ... As sessões TCP através do FW não caíram quando eu o fiz.
ATENÇÃO
Faça o que fizer, não tente no nameif <something here>
... ele mangueira sua configuração ...
asa5505(config)# int vlan100
asa5505(config-if)# no nameif OUTSIDE
asa5505(config-if)# nameif newBrokenOUTSIDE