¿Qué significan los paréntesis "()" después de los objetos en las ACL de Cisco ASA?

9

He encontrado algo con lo que no estoy familiarizado en la configuración de un cliente, sé que el "(hitcnt = 324165)" al final de cada regla en "mostrar lista de acceso" apunta al uso de la regla, el recuento de visitas. Pero en esta salida de show access-list también veo números que siguen a entidades objeto y no objeto en la regla.

Ejemplo

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log 
 informational interval 300 0xf688d263

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log 
 informational interval 300 (hitcnt=324165) 0xa2669c62

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log 
 informational interval 300 0xb25caeed 

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299) 
 any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28

Observe que la misma regla se muestra dos veces (mismo número de línea) pero una vez con los paréntesis dentro de la regla y otra sin ella.

¿Es esto algún tipo de uso de objetos? Si es así, ¿cómo puede ser diferente del recuento de visitas? No pude encontrar ninguna documentación que explique esto.

cisco cisco-asa acl Harnik
fuente
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

6

Gran pregunta! Tienes razón al pensar que es una función de tu grupo de objetos.

Tiene activada la optimización de ACL. Esto se activa a través del comando CLI global object-group-search access-control.

La optimización de ACL contrae todas las combinaciones posibles de ACE para las direcciones y puertos de origen / destino en sus objetos originales. Los números entre paréntesis son la cantidad de entradas que se han colapsado en esa única entrada.

Cuando la optimización de ACL está deshabilitada, el show access-listcomando le mostrará las entradas expandidas en su lugar.

El object-group-search access-controlcomando afecta al servicio y desconectará las conexiones mientras realiza el algoritmo.

mbud
fuente
1
En primer lugar, gracias mbud por tu respuesta, pero Mike tiene razón. Mi pregunta es sobre los paréntesis que siguen a los objetos dentro de la regla, ya que estos ejemplos son de ACL "denegar / permitir ip" y vemos el número después de los objetos de red. No creo que estos sean números de puerto. También tenga en cuenta que el número que sigue a "Cualquiera" en la ACL que Mike tomó como ejemplo es 65537, ya sea demasiado alto para ser un número de puerto o sospechosamente cerca ... :) Todavía en la oscuridad sobre esto.
Harnik
2
Bien, entonces creo que lo he resuelto. Debe tener activada la optimización de grupo de objetos. object-group-search access-control La optimización del grupo de objetos detiene el comportamiento que describí anteriormente. Contrae todas las combinaciones posibles para las direcciones y puertos de origen / destino en sus objetos originales. Los números entre paréntesis son la cantidad de entradas que se han optimizado para esa única ACE.
mbud