Que signifient les parenthèses «()» après les objets dans les listes de contrôle d'accès Cisco ASA?

9

J'ai rencontré quelque chose que je ne connais pas dans la configuration d'un client, je sais que le "(hitcnt = 324165)" à la fin de chaque règle dans "show access-list" pointe vers l'utilisation de la règle, le nombre de hits. Mais dans cette sortie de show access-list, je vois également des nombres suivant les entités objet et non-objet dans la règle.

Exemple

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log 
 informational interval 300 0xf688d263

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log 
 informational interval 300 (hitcnt=324165) 0xa2669c62

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log 
 informational interval 300 0xb25caeed 

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299) 
 any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28

Notez que la même règle s'affiche deux fois (même numéro de ligne) mais une fois avec les parenthèses à l'intérieur de la règle et une fois sans.

Est-ce une sorte d'utilisation d'objet? Si oui, comment peut-il être différent du nombre de résultats? Je n'ai trouvé aucune documentation expliquant cela.

Harnik
la source
Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

6

Grande question! Vous avez raison de penser que c'est une fonction de votre groupe d'objets.

L'optimisation ACL est activée. Ceci est activé via la commande CLI globale object-group-search access-control.

L'optimisation ACL réduit toutes les combinaisons ACE possibles pour les adresses et ports source / destination dans vos objets d'origine. Les nombres entre parenthèses correspondent au nombre d'entrées qui ont été regroupées en cette seule entrée.

Lorsque l'optimisation ACL est désactivée, la show access-listcommande vous montrera les entrées développées à la place.

La object-group-search access-controlcommande affecte le service et supprimera les connexions pendant l'exécution de l'algorithme.

mbud
la source
1
Tout d'abord, merci mbud pour ta réponse, mais Mike a raison. Ma question concerne les parenthèses qui suivent les objets dans la règle, car ces exemples sont des ACL "deny / permit ip" et nous voyons le nombre après les objets réseau, je ne pense pas que ce soient des numéros de port. Veuillez également noter que le numéro qui suit "Any" sur l'ACL que Mike a pris comme exemple est 65537, soit trop élevé pour être un numéro de port ou étrangement proche ... :) Toujours dans l'ignorance à ce sujet.
Harnik
2
D'accord, donc je pense que je l'ai compris. Vous devez activer l'optimisation de groupe d'objets. object-group-search access-control L'optimisation de groupe d'objets arrête le comportement que j'ai décrit ci-dessus. Il réduit toutes les combinaisons possibles d'adresses et de ports source / destination dans vos objets d'origine. Les nombres entre parenthèses correspondent au nombre d'entrées optimisées pour ce seul ACE.
mbud