Apa arti tanda kurung “()” setelah objek dalam Cisco ASA ACL?

9

Saya telah menemukan sesuatu yang saya tidak kenal dengan konfigurasi pelanggan, saya tahu bahwa "(hitcnt = 324165)" di akhir setiap aturan di "tampilkan daftar akses" poin untuk mengatur penggunaan, jumlah hit. Tetapi dalam output ini dari daftar akses-acara saya juga melihat angka mengikuti objek dan entitas non-objek dalam aturan.

Contoh

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log 
 informational interval 300 0xf688d263

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log 
 informational interval 300 (hitcnt=324165) 0xa2669c62

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log 
 informational interval 300 0xb25caeed 

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299) 
 any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28

Perhatikan bahwa aturan yang sama ditampilkan dua kali (nomor baris yang sama) tetapi sekali dengan tanda kurung di dalam aturan dan sekali tanpa.

Apakah ini semacam penggunaan objek? Jika demikian, bagaimana bisa berbeda dari jumlah hit? Saya tidak dapat menemukan dokumentasi yang menjelaskan hal ini.

cisco cisco-asa acl Harnik
sumber
Apakah ada jawaban yang membantu Anda? jika demikian, Anda harus menerima jawabannya sehingga pertanyaan tidak terus muncul selamanya, mencari jawaban. Atau, Anda bisa memberikan dan menerima jawaban Anda sendiri.
Ron Maupin

Jawaban:

6

Pertanyaan bagus! Anda benar dalam berpikir bahwa itu adalah fungsi dari objek-grup Anda.

Anda telah mengaktifkan pengoptimalan ACL. Ini diaktifkan melalui perintah CLI global object-group-search access-control.

Optimalisasi ACL menciutkan semua kemungkinan kombinasi ACE untuk alamat sumber / tujuan dan port kembali ke objek asli Anda. Angka dalam tanda kurung adalah jumlah entri yang telah diciutkan menjadi satu entri.

Ketika optimasi ACL dinonaktifkan, show access-listperintah akan menampilkan entri yang diperluas sebagai gantinya.

The object-group-search access-controlperintah layanan yang mempengaruhi dan akan drop koneksi ketika sedang melakukan algoritma.

mbud
sumber
1
Pertama-tama, terima kasih mbud atas jawaban Anda, tetapi Mike benar. Pertanyaan saya adalah tentang tanda kurung yang mengikuti objek dalam aturan, karena contoh-contoh ini adalah ACL "deny / allow ip" dan kami melihat nomor setelah objek jaringan Saya tidak berpikir ini adalah nomor port. Harap perhatikan juga bahwa angka yang mengikuti "Apa" pada ACL yang diambil Mike sebagai contoh adalah 65537, terlalu tinggi untuk menjadi nomor port atau ditutup dengan curiga ... :) Masih dalam kegelapan tentang hal ini.
Harnik
2
Oke jadi saya pikir saya sudah menemukan jawabannya. Anda harus mengaktifkan pengoptimalan objek-grup. object-group-search access-control Pengoptimalan objek-grup menghentikan perilaku yang saya jelaskan di atas. Ini menciutkan semua kombinasi yang mungkin untuk alamat sumber / tujuan dan port kembali ke objek asli Anda. Angka dalam tanda kurung adalah jumlah entri yang telah dioptimalkan untuk ACE tunggal itu.
mbud