Cosa significano le parentesi "()" dopo gli oggetti negli ACL Cisco ASA?

9

Ho riscontrato qualcosa che non ho familiarità con la configurazione di un cliente, so che "(hitcnt = 324165)" alla fine di ogni regola in "mostra lista di accesso" indica l'utilizzo della regola, numero di visite. Ma in questo output di show access-list vedo anche numeri che seguono entità oggetto e non oggetto nella regola.

Esempio

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log 
 informational interval 300 0xf688d263

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log 
 informational interval 300 (hitcnt=324165) 0xa2669c62

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log 
 informational interval 300 0xb25caeed 

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299) 
 any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28

Si noti che la stessa regola viene visualizzata due volte (stesso numero di riga) ma una volta con le parentesi all'interno della regola e una volta senza.

È una sorta di utilizzo degli oggetti? In tal caso, in che modo può essere diverso dal conteggio dei colpi? Non sono riuscito a trovare alcuna documentazione che spiegasse questo.

cisco  cisco-asa  acl 
Harnik
fonte
Qualche risposta ti è stata d'aiuto? in tal caso, dovresti accettare la risposta in modo che la domanda non continui a comparire per sempre, cercando una risposta. In alternativa, potresti fornire e accettare la tua risposta.
Ron Maupin

Risposte:

6

Ottima domanda! Hai ragione nel pensare che sia una funzione del tuo gruppo di oggetti.

Hai attivato l'ottimizzazione ACL. Questo viene attivato tramite il comando CLI globale object-group-search access-control.

L'ottimizzazione ACL comprime tutte le possibili combinazioni ACE per gli indirizzi di origine / destinazione e le porte negli oggetti originali. I numeri tra parentesi rappresentano la quantità di voci che sono state compresse in quella singola voce.

Quando l'ottimizzazione ACL è disabilitata, il show access-listcomando mostrerà invece le voci espanse.

Il object-group-search access-controlcomando influisce sul servizio e interromperà le connessioni durante l'esecuzione dell'algoritmo.

MBUD
fonte
1
Prima di tutto, grazie mbud per la tua risposta, ma Mike ha ragione. La mia domanda riguarda le parentesi che seguono gli oggetti all'interno della regola, dal momento che questi esempi sono di ACL "nega / autorizza ip" e vediamo il numero dopo gli oggetti di rete non penso che siano numeri di porta. Inoltre, tieni presente che il numero che segue "Any" sull'ACL Mike ha preso un esempio è 65537, o troppo alto per essere un numero di porta o sospettosamente vicino ... :) Ancora al buio.
Harnik,
2
Okay, quindi penso di averlo capito. È necessario attivare l'ottimizzazione del gruppo di oggetti. object-group-search access-control L'ottimizzazione del gruppo di oggetti interrompe il comportamento descritto sopra. Comprime tutte le possibili combinazioni per gli indirizzi di origine / destinazione e le porte negli oggetti originali. I numeri tra parentesi sono la quantità di voci che sono state ottimizzate per quel singolo ACE.
mbud,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.