Leaflet
1-55
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
access-group
使用指南 特定于接口的访问组规则的优先级高于全局规则,因此在数据包分类时,先处理特定于接口的规
则,再处理全局规则。
特定于接口的规则的使用指南
access-group 命令将扩展的 ACL 与接口绑定。您必须首先使用 access-list extended 命令创建 ACL。
您可以将 ACL 应用于向接口传入或从接口传出的流量。如果在 access-list 命令语句中输入 permit
选项,则 ASA 继续处理数据包。如果在 access-list 命令语句中输入 deny 选项,则 ASA 丢弃数据
包并生成系统日志消息 106023 或 106100(对于使用非默认日志记录的 ACE)。
对于入站 ACL,per-user-override 选项允许下载的 ACL 覆盖应用于接口的 ACL。如果
per-user-override 选项不存在,则 ASA 保持现有过滤行为。当存在 per-user-override 时,ASA
允许与用户关联的每用户访问列表中的 permit 或 deny 状态(如果已下载一个列表)覆盖与 ACL
关联的 access-group 命令中的 permit 或 deny 状态。此外,遵守以下规则:
• 在数据包到达时,如果没有与数据包关联的每用户 ACL,则会应用接口 ACL。
• 每用户 ACL 由 timeout 命令的 uauth 选项指定的超时值管理,但是 AAA 每用户会话超时值
可以将其覆盖。
• 现有 ACL 日志行为是相同的。例如,如果因每用户 ACL 拒绝用户流量,则会记录系统日志
消息 109025。如果允许用户流量,则不会生成任何系统日志消息。每用户访问列表中的日志
选项将不起作用。
默认情况下,VPN 远程访问流量与接口 ACL 不匹配。但是,如果使用 no sysopt connection
permit-vpn 命令关闭此旁路,则该行为取决于是否存在应用于组策略的 vpn-filter,以及是否设
置 per-user-override 选项:
• 无 per-user-override,无 vpn-filter - 流量与接口 ACL 匹配。
• 无 per-user-override、vpn-filter - 流量首先与接口 ACL 匹配,然后与 VPN 过滤器匹配。
• per-user-override、vpn-filter - 流量仅与 VPN 过滤器匹配。
注 如果从一个或多个 access-group 命令引用的 ACL 中删除所有功能条目(permit 和 deny 语句),
则自动从配置中删除 access-group 命令。access-group 命令无法引用空白 ACL 或仅包含一条注释
的 ACL。
全局规则的使用指南
access-group global 命令将一组全局规则应用于所有流量,无论流量到达 ASA 上的哪个接口。
所有全局规则仅应用于入口(入站)方向的流量。全局规则不支持出口(出站)流量。如果结合
入站接口访问规则配置全局规则,则先处理特定的接口访问规则,再处理通用的全局访问规则。
示例 以下示例展示如何使用 access-group global 命令将 ACL 应用于所有配置的接口:
ciscoasa(config)# access-list acl-1 extended permit ip host 10.1.2.2 host 10.2.2.2
ciscoasa(config)# access-list acl-2 extended deny ip any any
ciscoasa(config)# access-group acl-2
ciscoasa(config)# access-group acl-1 in interface outside
ciscoasa(config)# show run access-group acl-2
ciscoasa(config)# access-group acl-1 in interface outside
ciscoasa(config)# access-group acl-2 global