Что означают скобки «()» после объектов в ACL Cisco ASA?

9

Я столкнулся с чем-то, с чем я не знаком в конфигурации клиента, я знаю, что "(hitcnt = 324165)" в конце каждого правила в "show access-list" указывает на использование правила, количество обращений. Но в этом выводе show access-list я также вижу числа, следующие за объектными и необъектными объектами в правиле.

пример

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log 
 informational interval 300 0xf688d263

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log 
 informational interval 300 (hitcnt=324165) 0xa2669c62

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log 
 informational interval 300 0xb25caeed 

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299) 
 any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28

Обратите внимание, что одно и то же правило отображается дважды (один и тот же номер строки), но один раз с круглыми скобками внутри правила и один раз без.

Это какое-то использование объекта? Если так, как это может отличаться от количества обращений? Я не смог найти никаких документов, объясняющих это.

cisco  cisco-asa  acl 
Harnik
источник
Вам помог какой-нибудь ответ? если это так, вы должны принять ответ, чтобы вопрос не появлялся вечно, ища ответ. Кроме того, вы можете предоставить и принять свой собственный ответ.
Рон Мопин

Ответы:

6

Отличный вопрос! Вы правы, считая, что это функция вашей объектной группы.

У вас активирована оптимизация ACL. Это активируется с помощью глобальной команды CLI object-group-search access-control.

Оптимизация ACL объединяет все возможные комбинации ACE для адресов источника и назначения и портов обратно в ваши исходные объекты. Числа в скобках - это количество записей, которые были объединены в одну запись.

Когда оптимизация ACL отключена, show access-listкоманда покажет вам расширенные записи.

object-group-search access-controlКоманда обслуживания влияет и падение соединения во время его выполнения алгоритма.

mbud
источник
1
Прежде всего, спасибо тебе, Мбуд, за твой ответ, но Майк прав. Мой вопрос касается скобок, которые следуют за объектами в правиле, так как эти примеры относятся к спискам ACL «запретить / разрешить ip», и мы видим число после сетевых объектов. Я не думаю, что это номера портов. Также обратите внимание, что число, которое следует за «Любой» в ACL, который Майк взял в качестве примера, равно 65537, либо слишком велико, чтобы быть номером порта, либо подозрительно близко ... :) Все еще в неведении об этом.
Харник
2
Хорошо, я думаю, я понял это. У вас должна быть включена оптимизация группы объектов. object-group-search access-control Оптимизация группы объектов останавливает поведение, описанное выше. Он сворачивает все возможные комбинации для адресов источника / назначения и портов обратно в ваши исходные объекты. Числа в скобках - это количество записей, которые были оптимизированы для этого отдельного ACE.
мб
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.