Các dấu ngoặc đơn là gì () sau khi các đối tượng có ý nghĩa gì trong Cisco ASA ACLs?

Tôi đã gặp phải điều gì đó mà tôi không quen thuộc trong cấu hình của khách hàng, tôi biết rằng "(hitcnt = 324165)" ở cuối mỗi quy tắc trong "hiển thị danh sách truy cập" để quy tắc sử dụng, nhấn đếm. Nhưng trong đầu ra của danh sách truy cập hiển thị này, tôi cũng thấy các số theo sau các thực thể đối tượng và phi đối tượng trong quy tắc.

Thí dụ

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log 
 informational interval 300 0xf688d263

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log 
 informational interval 300 (hitcnt=324165) 0xa2669c62

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log 
 informational interval 300 0xb25caeed 

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299) 
 any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28

Lưu ý rằng cùng một quy tắc được hiển thị hai lần (cùng số dòng) nhưng một lần với dấu ngoặc đơn bên trong quy tắc và một lần không có.

Đây có phải là một số loại sử dụng đối tượng? Nếu vậy làm thế nào nó có thể khác với số lần truy cập? Tôi không thể tìm thấy bất kỳ tài liệu giải thích điều này.

Câu hỏi tuyệt vời! Bạn đúng khi nghĩ rằng đó là một chức năng của nhóm đối tượng của bạn.

Bạn đã kích hoạt tối ưu hóa ACL. Điều này được kích hoạt thông qua lệnh CLI toàn cầu object-group-search access-control.

Tối ưu hóa ACL thu gọn tất cả các kết hợp ACE có thể cho các địa chỉ nguồn / đích và các cổng trở lại vào các đối tượng ban đầu của bạn. Các số trong ngoặc là số lượng mục đã được thu gọn vào mục đơn đó.

Khi tối ưu hóa ACL bị vô hiệu hóa, show access-listlệnh sẽ hiển thị cho bạn các mục mở rộng thay thế.

Các object-group-search access-controllệnh là dịch vụ ảnh hưởng và sẽ thả các kết nối trong khi nó đang thực hiện các thuật toán.