在CISCO防火墙模块上有的时候在做策略NAT的时候会碰到如下的错误信息:
 
输入 :
nat (inside) 1 access-list XYZ
错误提示 :
ERROR: Unable to add Policy Rules
access-list XYZ 可以在配置的ACL中显示
 
尤其在添加一些基于策略的NAT的时候,因为其可能会产生大量的ACL条目,这样会超出ACL空间的限制,FWSM在Multi-Context下会将默认的分区划为12个空间分区,具体承载的策略条目数下面链接表述:
 
 
通过如下命令可以查阅:
1 当前可能产生ACL的条目数
   show acl xxx brief
 
2 查看具体分区当前各个条目的使用和分配情况
   show np 3 acl count <x>(partion number )
  
    partion 和 context 一一对应的关系。