MENU
This site covers Fortinet and A10 as part of *** Shadowgarden.org ***
  1. ホーム
  2. Network
  3. Cisco Firepower(ASA) 追加した object-group の表示位置が一番下にならない原因を解説

Cisco Firepower(ASA) 追加した object-group の表示位置が一番下にならない原因を解説

Network
目次

本記事について

本記事では、Cisco システムズ社のファイアウォール製品である Firepower について、object-group 設定を追加した際にそのコンフィグ上での表示位置が object-group 設定の中の一番下にならず中間に挿入される事象の原因を解説しています。

対象環境

本記事の内容は以下の機器にて動作確認した結果に基づいて作成されています。

  • FPR-1010
    • ASA Version 9.22(2)20

本事象について Cisco TAC への確認も行い、その結果も踏まえて本記事を作成しています。

【事象】追加した object-group の表示位置が一番下にならない

Firepower (ASA) にて複数の object-group 設定を追加した場合、それら設定のコンフィグ上での表示順は通常追加された順となります。一方で、運用中の Firepower にて object-group の設定追加作業を行ったときに、追加した object-group が object-group の中の中間の位置に挿入される場合があります。

例えば、Firepower に以下の object-group が設定されているとします。

object-group network objgrp-1.1.1.1
 network-object object obj-1.1.1.1
object-group network objgrp-1.1.1.2
 network-object object obj-1.1.1.2
object-group network objgrp-1.1.1.3
 network-object object obj-1.1.1.3
object-group network objgrp-1.1.1.4
 network-object object obj-1.1.1.4
object-group network objgrp-1.1.1.5
 network-object object obj-1.1.1.5

この Firepower に対して以下の object-group を追加します。

object-group network Added_objgrp-1.1.1.1
 network-object object obj-1.1.1.1
object-group network Added_objgrp-1.1.1.2
 network-object object obj-1.1.1.2
object-group network Added_objgrp-1.1.1.3
 network-object object obj-1.1.1.3
object-group network Added_objgrp-1.1.1.4
 network-object object obj-1.1.1.4
object-group network Added_objgrp-1.1.1.5
 network-object object obj-1.1.1.5

この結果としては以下のように追加コンフィグが末尾に追加されたコンフィグ内容になることが想定されます。

object-group network objgrp-1.1.1.1
 network-object object obj-1.1.1.1
object-group network objgrp-1.1.1.2
 network-object object obj-1.1.1.2
object-group network objgrp-1.1.1.3
 network-object object obj-1.1.1.3
object-group network objgrp-1.1.1.4
 network-object object obj-1.1.1.4
object-group network objgrp-1.1.1.5
 network-object object obj-1.1.1.5
object-group network Added_objgrp-1.1.1.1 ★ここから下が追加されたobject-group
 network-object object obj-1.1.1.1
object-group network Added_objgrp-1.1.1.2
 network-object object obj-1.1.1.2
object-group network Added_objgrp-1.1.1.3
 network-object object obj-1.1.1.3
object-group network Added_objgrp-1.1.1.4
 network-object object obj-1.1.1.4
object-group network Added_objgrp-1.1.1.5
 network-object object obj-1.1.1.5

一方で実際には以下のように一部の追加 object-group が中間の位置に挿入される結果になる場合があります。

object-group network objgrp-1.1.1.1
 network-object object obj-1.1.1.1
object-group network objgrp-1.1.1.2
 network-object object obj-1.1.1.2
object-group network Added_objgrp-1.1.1.1 ★中間の位置に挿入されたobject-group
 network-object object obj-1.1.1.1
object-group network objgrp-1.1.1.3
 network-object object obj-1.1.1.3
object-group network objgrp-1.1.1.4
 network-object object obj-1.1.1.4
object-group network objgrp-1.1.1.5
 network-object object obj-1.1.1.5
object-group network Added_objgrp-1.1.1.2 ★以下追加した残りのobject-group
 network-object object obj-1.1.1.2
object-group network Added_objgrp-1.1.1.3
 network-object object obj-1.1.1.3
object-group network Added_objgrp-1.1.1.4
 network-object object obj-1.1.1.4
object-group network Added_objgrp-1.1.1.5
 network-object object obj-1.1.1.5

【原因】Firepower (ASA) の仕様に基づく動作

この事象は Firepower (ASA) の仕様に基づく正常な動作です。詳細は以下の通りです。

既存 object-group を削除すると内部的には空き領域になる

object-group の設定は内部的には順序付けられた保存領域に格納されているようです。新規 object-group を追加すると末尾に新たに保存領域が追加されます。

一方、既存の object-group を削除した場合、その object-group が保存されていた領域は空き領域として残ります

空き領域は object-group 追加時に優先的に使用される

既存の object-group を削除したことにより発生した空き領域は、新規 object-group を追加したときに新規 object-group の保存領域として優先的に使用されるようです。これによりコンフィグ上は以前に削除された object-group があった位置に追加した object-group が表示されるという状態になります。

再起動すると空き領域は削除される模様

既存 object-group を削除後、Firepower (ASA) を再起動してから object-group を追加するとコンフィグ上 object-group 内の末尾に追加されることを確認しています。このことから再起動すると空き領域は削除されると推測されます。

object-group 削除後の object-group 追加で事象が発生

上記仕様から本事象が発生するパターンとしては以下が考えられます。

  • 以前の設定変更作業で object-group を削除していて空きの保存領域が中間に存在している状況で object-group の追加を行った場合
  • 中間に位置する既存 object-group を削除してから新規 object-group を追加するような設定変更内容の場合

事象の動作影響は特になし

本事象はコンフィグでの表示順に関わる事象であり object-group の表示順は動作には影響しないため、本事象の動作影響は特にありません。

設定変更作業時、設定後コンフィグと想定設定後コンフィグの比較を行う際に比較作業が大変になるという影響はあります。

まとめ

  • 各 object-group は内部的には順序付き保存領域に保存されている
  • object-group を削除すると空き保存領域が残る
  • object-group 追加時は空き保存領域が優先して使用される。この関係でコンフィグ上中間に追加 object-group が表示されることがある
  • object-group の表示順は動作には影響しない

Firepower 関連記事一覧

Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。

note メンバーシップへの参加もお待ちしています!

note(ノート)
Shadowgarden.org -影の構築者集団-|Shadowgarden.org -影の構築者集団- 陰の構築者集団「Shadowgarden.org」の活動拠点。 ネットワーク・インフラ業界に陰から影響を与えるため活動している。 当組織への問合せは「https://shadowgarden.org/inq...

【アフィリエイト】ブログ始めるならおすすめ

Network
Firepower Cisco
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

目次