使用FMC CLI计算访问列表元素(ACE)计数

下载选项

PDF (1.4 MB)
在各种设备上使用 Adobe Reader 查看
ePub (1.2 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (849.7 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2024 年 7 月 23 日

文档 ID:222185

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何查找访问控制策略中的哪条规则扩展为多少个访问列表元素。

先决条件

要求

Cisco 建议您了解以下主题：

Firepower技术知识
有关在FMC上配置访问控制策略的知识

使用的组件

本文档中的信息基于以下软件和硬件版本：

思科安全防火墙管理中心(FMC)
思科Firepower威胁防御(FTD)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

使用以下参数的一个或多个组合创建访问控制规则：

IP地址（源和目标）
端口（源和目标）
URL（系统提供的类别和自定义URL）
应用检测器
VLAN
区域

根据访问规则中使用的参数组合，传感器上的规则扩展将会改变。本文档重点介绍FMC上的各种规则组合以及传感器上各自的关联扩展。

如何使用FMC CLI计算访问列表元素计数(ACE)

考虑从FMC配置访问规则，如图所示：

访问控制策略中的规则配置

如果在FTD CLI中看到此规则，您会注意到此规则已扩展为8个规则。

规则扩展到8 ACE

您可以使用FMC CLI中的perl 命令检查哪个规则正在扩展为多少个访问列表元素：

perl /var/opt/CSCOpx/bin/access_rule_expansion_count.pl

root@firepower:/Volume/home/admin# perl /var/opt/CSCOpx/bin/access_rule_expansion_count.pl

  Secure Firewall Management Center for VMware - v7.4.1 - (build 172)

  Access Control Rule Expansion Computer




  Enter FTD UUID or Name:

  > 10.70.73.44

--------------------------------------------------------------------------------------------------------------------------

  Secure Firewall Management Center for VMware - v7.4.1 - (build 172)

  Access Control Rule Expansion Computer

  Device:

    UUID: 93cc359c-39be-11d4-9ae1-f2186cbddb11

    Name: 10.70.73.44

  Access Control Policy:

    UUID: 005056B9-F342-0ed3-0000-292057792375

    Name: Port-scan test

    Description:

  Intrusion Policies:

-------------------------------------------------------------------------------------------------

|  UUID                                  |  NAME                                                |

-------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------

  Date: 2024-Jul-17 at 06:51:55 UTC

  NOTE: Computation is done on per rule basis. Count from shadow rules will not be applicable on device.

  Run "Rule Conflict Detection" tool on AC Policy for specified device to detect and optimise such rules.


--------------------------------------------------------------------------------------------------------------------------
| UUID                                         | NAME                     |            COUNT                              |      
--------------------------------------------------------------------------------------------------------------------------
| 005056B9-F342-0ed3-0000-000268454919        | Rule 1                   |               8                              |
--------------------------------------------------------------------------------------------------------------------------
|   TOTAL: 8
--------------------------------------------------------------------------------------------------------------------------
| Access Rule Elements Count on FTD: 14
--------------------------------------------------------------------------------------------------------------------------

>>> My JVM PID : 19417