Leaflet

2-2

思科 ASA 系列命令参考，A 至 H 命令

第 2 章 acl-netmask-convert 至 application-access hide-details 命令

acl-netmask-convert

要指定 ASA 如何处理在来自使用 aaa-server host 命令访问的 RADIUS 服务器的可下载 ACL 中接

收的网络掩码，请在 aaa-server 主机配置模式下使用 acl-netmask-convert 命令。要删除 ASA 的指

定行为，请使用此命令的 no 形式。

acl-netmask-convert {auto-detect | standard | wildcard}

no acl-netmask-convert

语法说明

默认值默认情况下，不执行从通配符网络掩码表达式的任何转换。

命令模式下表展示可输入此命令的模式：

命令历史

使用指南在 RADIUS 服务器提供包含采用通配符格式的网络掩码的可下载 ACL 时，将 acl-netmask-convert

命令与 wildcard 或 auto-detect 关键字一起使用。ASA 要求可下载 ACL 包含标准网络掩码表达式，

而思科 VPN 3000 系列集中器要求可下载 ACL 包含通配符网络掩码表达式，后者是标准 netmas 表

达式的反转形式。通配符掩码在位位置上用 1 表示忽略，用 0 表示匹配。acl-netmask-convert 命令

可最大限度地减小这些差别对您在 RADIUS 服务器上如何配置可下载 ACL 的影响。

当您不确定 RADIUS 服务器如何配置时，auto-detect 关键字非常有用；但无法明确检测和转换带

有 “ 洞 ” 的通配符网络掩码表达式。例如，通配符网络掩码 0.0.255.0 允许在第三个八位组中包

含任何内容，可在思科 VPN 3000 系列集中器中有效使用，但 ASA 可能不会将此表达式检测为通

配符网络掩码。

auto-detect

指定 ASA 应尝试确定所使用的网络掩码表达式的类型。如果 ASA 检

测到通配符网络掩码表达式，则将其转换为标准的网络掩码表达式。

有关此关键字的详细信息，请参阅 “ 使用指南 ”。

standard

指定 ASA

假设从 RADIUS 服务器收到的可下载 ACL 仅包含标准网络

掩码表达式。不执行从通配符网络掩码表达式的任何转换。

wildcard

指定 ASA 假设从 RADIUS 服务器收到的可下载 ACL 只包含通配符网

络掩码表达式并在下载 ACL 时将其全部转换为标准网络掩码表达式。

命令模式

防火墙模式安全情景

路由透明单个

多个

情景系统

Aaa-server-host 配置

• 是 • 是 • 是 • 是

—

版本修改

7.0(4)

引入了此命令。