вторник, 6 января 2015 г.

Очистка списков контроля доступа (ACL) в Cisco ASA с вложенными сетевыми обьектами (network object)

Проводя очередной этап очистки неиспользуемых правил межсетевых экранов Cisco ASA, выработал простой прием для нахождения какое же пункт из сетевого объекта не используется.
Если правило выглядит как "Разрешено <сетевой объект (куча сетей)> < сетевой обьект 2>  " , то механизм поиска неиспользуемых IP диапазонов может выглядеть так:
1) выгружаем в текстовый файлик все IP/диапазоны из сетевого объекта 2
2) выгружаем show access list (нужный номер) в текстовый файл как угодно (лог терминала, например)
3) делаем инверсный поиск по hitcnt=0, например так -  grep -v "hitcnt=0". Удобно уменьшить вывод, добавляя через трубу (pipe) часто встречающиеся IP, для быстрого убирания дублей.
4) проставляем в список из пункта 1 - встречается, не встречается.
5) анализируем то, что не встречается (у меня процент неиспользуемых был приличный)

1 комментарий:

Евгений Мережко комментирует...

можно еще выгрузить с Cisco ASA с помощью exclude. Например, sh access list| e hitcnt=0