Các dấu ngoặc đơn là gì () sau khi các đối tượng có ý nghĩa gì trong Cisco ASA ACLs?


9

Tôi đã gặp phải điều gì đó mà tôi không quen thuộc trong cấu hình của khách hàng, tôi biết rằng "(hitcnt = 324165)" ở cuối mỗi quy tắc trong "hiển thị danh sách truy cập" để quy tắc sử dụng, nhấn đếm. Nhưng trong đầu ra của danh sách truy cập hiển thị này, tôi cũng thấy các số theo sau các thực thể đối tượng và phi đối tượng trong quy tắc.

Thí dụ

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log 
 informational interval 300 0xf688d263

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log 
 informational interval 300 (hitcnt=324165) 0xa2669c62

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log 
 informational interval 300 0xb25caeed 

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299) 
 any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28

Lưu ý rằng cùng một quy tắc được hiển thị hai lần (cùng số dòng) nhưng một lần với dấu ngoặc đơn bên trong quy tắc và một lần không có.

Đây có phải là một số loại sử dụng đối tượng? Nếu vậy làm thế nào nó có thể khác với số lần truy cập? Tôi không thể tìm thấy bất kỳ tài liệu giải thích điều này.


Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:


6

Câu hỏi tuyệt vời! Bạn đúng khi nghĩ rằng đó là một chức năng của nhóm đối tượng của bạn.

Bạn đã kích hoạt tối ưu hóa ACL. Điều này được kích hoạt thông qua lệnh CLI toàn cầu object-group-search access-control.

Tối ưu hóa ACL thu gọn tất cả các kết hợp ACE có thể cho các địa chỉ nguồn / đích và các cổng trở lại vào các đối tượng ban đầu của bạn. Các số trong ngoặc là số lượng mục đã được thu gọn vào mục đơn đó.

Khi tối ưu hóa ACL bị vô hiệu hóa, show access-listlệnh sẽ hiển thị cho bạn các mục mở rộng thay thế.

Các object-group-search access-controllệnh là dịch vụ ảnh hưởng và sẽ thả các kết nối trong khi nó đang thực hiện các thuật toán.


1
Trước hết, cảm ơn bạn về câu trả lời của bạn, nhưng Mike đã đúng. Câu hỏi của tôi là về các dấu ngoặc đơn tuân theo các đối tượng trong quy tắc, vì các ví dụ này là "từ chối / cho phép ip" ACL và chúng tôi thấy số sau các đối tượng mạng tôi không nghĩ đây là số cổng. Ngoài ra, vui lòng lưu ý rằng số theo sau "Bất kỳ" trên ACL mà Mike lấy ví dụ là 65537, quá cao để trở thành số cổng hoặc đóng một cách đáng ngờ ... :) Vẫn còn mơ hồ về điều này.
Harnik

2
Được rồi vì vậy tôi nghĩ rằng tôi đã tìm ra nó. Bạn phải bật tối ưu hóa nhóm đối tượng. object-group-search access-control Tối ưu hóa nhóm đối tượng dừng hành vi tôi mô tả ở trên. Nó thu gọn tất cả các kết hợp có thể cho các địa chỉ nguồn / đích và các cổng trở lại vào các đối tượng ban đầu của bạn. Các số trong ngoặc đơn là số lượng mục đã được tối ưu hóa cho đơn ACE đó.
mbud
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.