Проводя очередной этап очистки неиспользуемых правил межсетевых экранов Cisco ASA, выработал простой прием для нахождения какое же пункт из сетевого объекта не используется.
Если правило выглядит как "Разрешено <сетевой объект (куча сетей)> < сетевой обьект 2> " , то механизм поиска неиспользуемых IP диапазонов может выглядеть так:
1) выгружаем в текстовый файлик все IP/диапазоны из сетевого объекта 2
2) выгружаем show access list (нужный номер) в текстовый файл как угодно (лог терминала, например)
3) делаем инверсный поиск по hitcnt=0, например так - grep -v "hitcnt=0". Удобно уменьшить вывод, добавляя через трубу (pipe) часто встречающиеся IP, для быстрого убирания дублей.
4) проставляем в список из пункта 1 - встречается, не встречается.
5) анализируем то, что не встречается (у меня процент неиспользуемых был приличный)
Если правило выглядит как "Разрешено <сетевой объект (куча сетей)> < сетевой обьект 2> " , то механизм поиска неиспользуемых IP диапазонов может выглядеть так:
1) выгружаем в текстовый файлик все IP/диапазоны из сетевого объекта 2
2) выгружаем show access list (нужный номер) в текстовый файл как угодно (лог терминала, например)
3) делаем инверсный поиск по hitcnt=0, например так - grep -v "hitcnt=0". Удобно уменьшить вывод, добавляя через трубу (pipe) часто встречающиеся IP, для быстрого убирания дублей.
4) проставляем в список из пункта 1 - встречается, не встречается.
5) анализируем то, что не встречается (у меня процент неиспользуемых был приличный)
1 комментарий:
можно еще выгрузить с Cisco ASA с помощью exclude. Например, sh access list| e hitcnt=0
Отправить комментарий