購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
3306
閲覧回数
0
いいね!
2
返信

ASAのアクセスリストの削除影響

解決策を見る
TAKEHARU OGURA
Level 1
Level 1

‎2016-10-18 04:07 PM

ASAファイアウォールの下記仕様について、ご存知の方がいらっしゃいましたらご教示ください。

設定されているアクセスリストを使用中のセッションがあった場合、そのアクセスリストの設定を削除しても該当の通信はセッションが切れるまで通信可能でしょうか?

それが可能な仕様となっていれば、たとえばオブジェクトグループを利用する場合、新しいアクセスリストを追加してから類似のアクセスリストを削除する設定手順とすることで、通信影響なく変更が可能と考えられます。

例)

Before: 1.1.1.1 から2.2.2.2へのaccess-list 

After: Object Group 1 (2.2.2.2, 3.3.3.3)

    1.1.1.1からObject Group 1へのaccess-list

変更方法:

 ステップ1)1.1.1.1からObject Group 1へのaccess-list追加

 ステップ2)1.1.1.1から2.2.2.2へのaccess-list削除

参考情報)

対象機器:Cisco ASA 5585-X, 5525-X

バージョン:9.1(6)10

ラベル:
0 いいね!
1 件の受理された解決策

受理された解決策

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2016-10-18 04:47 PM

オグラさん、こんにちわ。

>>設定されているアクセスリストを使用中のセッションがあった場合、そのアクセスリストの設定を削除しても該当の通信はセッションが切れるまで通信可能でしょうか?

はい、その認識で問題ないと思います。

ACLの設定変更が影響を受けるのは新規通信からです。 既にセッションのある通信は、ASAを通過時は ACLチェックはバイパスされます。

例えば以下は Telnetサーバ(TCP=23)への通信試験時のログとなりますが、既存セッションがある状態(※sh connで確認)だと、TelnetのACLを削除後も通信を継続できること(※Bytes数の増加を確認ください)が確認できます。

asa(config)# sh run access-l
access-list IN extended permit tcp any any eq telnet
access-list IN extended permit tcp any any eq www
access-list IN extended deny ip any any
asa(config)# sh conn
1 in use, 4 most used
TCP manage xx.xx.xx.xx:23 inside 192.168.80.1:16925, idle 0:00:31, bytes 882, flags UxIO
asa(config)#
asa(config)#
asa(config)# no access-list IN extended permit tcp any any eq telnet
asa(config)#
asa(config)# sh conn
1 in use, 4 most used
TCP manage xx.xx.xx.xx:23 inside 192.168.80.1:16925, idle 0:00:03, bytes 918, flags UxIO
asa(config)#
asa(config)# sh conn
1 in use, 4 most used
TCP manage xx.xx.xx.xx:23 inside 192.168.80.1:16925, idle 0:00:02, bytes 3199, flags UxIO
asa(config)#

元の投稿で解決策を見る

0 いいね!
2件の返信2

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2016-10-18 04:47 PM

オグラさん、こんにちわ。

>>設定されているアクセスリストを使用中のセッションがあった場合、そのアクセスリストの設定を削除しても該当の通信はセッションが切れるまで通信可能でしょうか?

はい、その認識で問題ないと思います。

ACLの設定変更が影響を受けるのは新規通信からです。 既にセッションのある通信は、ASAを通過時は ACLチェックはバイパスされます。

例えば以下は Telnetサーバ(TCP=23)への通信試験時のログとなりますが、既存セッションがある状態(※sh connで確認)だと、TelnetのACLを削除後も通信を継続できること(※Bytes数の増加を確認ください)が確認できます。

asa(config)# sh run access-l
access-list IN extended permit tcp any any eq telnet
access-list IN extended permit tcp any any eq www
access-list IN extended deny ip any any
asa(config)# sh conn
1 in use, 4 most used
TCP manage xx.xx.xx.xx:23 inside 192.168.80.1:16925, idle 0:00:31, bytes 882, flags UxIO
asa(config)#
asa(config)#
asa(config)# no access-list IN extended permit tcp any any eq telnet
asa(config)#
asa(config)# sh conn
1 in use, 4 most used
TCP manage xx.xx.xx.xx:23 inside 192.168.80.1:16925, idle 0:00:03, bytes 918, flags UxIO
asa(config)#
asa(config)# sh conn
1 in use, 4 most used
TCP manage xx.xx.xx.xx:23 inside 192.168.80.1:16925, idle 0:00:02, bytes 3199, flags UxIO
asa(config)#
0 いいね!

解決策を見る
TAKEHARU OGURA
Level 1
Level 1

‎2016-10-18 04:54 PM

早速のご回答ありがとうございます。

0 いいね!
Customers Also Viewed These Support Documents