Що означають дужки "()" після об'єктів у ACL-програмах Cisco ASA?

9

Я зіткнувся з чимось, з яким я не знайомий у конфігурації клієнта, я знаю, що "(hitcnt = 324165)" наприкінці кожного правила в "показати список доступу" вказує на використання правила, кількість показів. Але в цьому виведенні шоу-списку доступу я також бачу номери, що супроводжують об'єктні та не-об'єктні об'єкти в правилі.

Приклад

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log 
 informational interval 300 0xf688d263

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log 
 informational interval 300 (hitcnt=324165) 0xa2669c62

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log 
 informational interval 300 0xb25caeed 

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299) 
 any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28

Зауважте, що одне і те ж правило відображається двічі (той самий номер рядка), але один раз із дужками всередині правила та один раз без.

Це якесь використання об’єктів? Якщо так, як воно може відрізнятися від кількості вражень? Я не зміг знайти жодної документації, яка б це пояснювала.

cisco  cisco-asa  acl 
Гарник
джерело
Чи допомогла вам якась відповідь? якщо так, то слід прийняти відповідь, щоб питання не з’являлося вічно, шукаючи відповідь. Крім того, ви можете надати та прийняти власну відповідь.
Рон Моупін

Відповіді:

6

Чудове запитання! Ви праві, думаючи, що це функція вашої об'єктної групи.

У вас активована оптимізація ACL. Це активується за допомогою глобальної команди CLI object-group-search access-control.

Оптимізація ACL згортає всі можливі комбінації ACE для адрес джерела / місця призначення та портів назад у вихідні об'єкти. Цифри в дужках - це кількість записів, зведених у цей єдиний запис.

Коли оптимізація ACL відключена, show access-listкоманда покаже вам розширені записи.

object-group-search access-controlКоманда обслуговування впливає і падіння з'єднання під час його виконання алгоритму.

mbud
джерело
1
Перш за все, дякую mbud за вашу відповідь, але Майк має рацію. Моє запитання стосується дужок, які слідують за об'єктами в праві, оскільки ці приклади є ACL-адресами "заперечувати / дозволяти ip", і ми бачимо число за мережевими об'єктами, я не думаю, що це номери портів. Також зауважте, що число, яке слідує за "Примітками" на списку ACL Майка, наприклад, 65537, або занадто високе, щоб бути номером порту, або підозріло близьким ... :) Про це все ще в темряві.
Харник
2
Гаразд, тому я думаю, що я зрозумів це. У вас повинна бути включена оптимізація груп об'єктів. object-group-search access-control Оптимізація групи об'єктів зупиняє поведінку, яку я описав вище. Він згортає всі можливі комбінації для джерел / адрес призначення та портів назад у вихідні об'єкти. Цифри в дужках - це кількість записів, оптимізованих під цей єдиний ACE.
mbud
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.