Co oznaczają nawiasy „()” po obiektach w listach ACL Cisco ASA?

9

Zetknąłem się z czymś, czego nie znam w konfiguracji klienta, wiem, że „(hitcnt = 324165)” na końcu każdej reguły w „pokaż listę dostępu” wskazuje na użycie reguły, liczbę trafień. Ale na tym wyjściu z listy dostępu do programu widzę też w regule liczby następujące po obiektach i obiektach niebędących obiektami.

Przykład

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log 
 informational interval 300 0xf688d263

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log 
 informational interval 300 (hitcnt=324165) 0xa2669c62

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log 
 informational interval 300 0xb25caeed 

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299) 
 any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28

Zauważ, że ta sama reguła jest wyświetlana dwukrotnie (ten sam numer wiersza), ale raz z nawiasami wewnątrz reguły i raz bez.

Czy to jakiś rodzaj użycia obiektu? Jeśli tak, to jak może się różnić od liczby trafień? Nie mogłem znaleźć żadnej dokumentacji wyjaśniającej to.

cisco cisco-asa acl Harnik
źródło
Czy jakaś odpowiedź ci pomogła? jeśli tak, powinieneś zaakceptować odpowiedź, aby pytanie nie wyskakiwało wiecznie, szukając odpowiedzi. Alternatywnie możesz podać i zaakceptować własną odpowiedź.
Ron Maupin

Odpowiedzi:

6

Świetne pytanie! Masz rację, myśląc, że jest to funkcja twojej grupy obiektów.

Masz aktywowaną optymalizację ACL. Jest to aktywowane za pomocą globalnego polecenia CLI object-group-search access-control.

Optymalizacja ACL zwija wszystkie możliwe kombinacje ACE dla adresów źródłowych / docelowych i portów z powrotem do oryginalnych obiektów. Liczby w nawiasach to liczba pozycji, które zostały zwinięte w tym pojedynczym wpisie.

Gdy optymalizacja ACL jest wyłączona, show access-listpolecenie wyświetli zamiast tego rozwinięte wpisy.

object-group-search access-controlKomenda jest usługa wpływu i spadnie połączenia podczas jego wykonywania algorytmu.

mbud
źródło
1
Przede wszystkim dziękuję mbud za odpowiedź, ale Mike ma rację. Moje pytanie dotyczy nawiasów podążających za obiektami w regule, ponieważ te przykłady dotyczą list ACL „odmowa / zezwolenie ip” i widzimy liczbę po obiektach sieciowych, nie sądzę, że są to numery portów. Proszę również zauważyć, że liczba następująca po „Dowolnej” na liście ACL, którą Mike wziął na przykład, to 65537, albo zbyt wysoka, aby być numerem portu, albo podejrzanie bliska ... :) Nadal nic nie wiadomo na ten temat.
Harnik
2
Okej, więc chyba to rozgryzłem. Musisz mieć włączoną optymalizację grup obiektów. object-group-search access-control Optymalizacja grup obiektów zatrzymuje zachowanie, które opisałem powyżej. Zwija wszystkie możliwe kombinacje adresów źródłowych / docelowych i portów z powrotem do oryginalnych obiektów. Liczby w nawiasach to liczba pozycji zoptymalizowanych pod kątem tego pojedynczego wpisu ACE.
mbud