Cisco ASA ACL에서 객체 뒤의 괄호“()”는 무엇을 의미합니까?

9

고객 구성에 익숙하지 않은 것을 발견했습니다. "show access-list"의 모든 규칙 끝에있는 "(hitcnt = 324165)"는 규칙 사용법, 적중 횟수를 나타냅니다. 그러나 show access-list의 출력에서 ​​규칙의 객체 및 객체가 아닌 엔티티 뒤에 숫자가 표시됩니다.

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log 
 informational interval 300 0xf688d263

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log 
 informational interval 300 (hitcnt=324165) 0xa2669c62

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log 
 informational interval 300 0xb25caeed 

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299) 
 any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28

동일한 규칙이 두 번 (동일한 줄 번호) 표시되지만 규칙 안에 괄호가있는 경우 한 번,없는 경우 한 번 표시됩니다.

이것은 일종의 객체 사용입니까? 그렇다면 적중 횟수와 어떻게 다를 수 있습니까? 이것을 설명하는 문서를 찾을 수 없습니다.

cisco  cisco-asa  acl 
하니 크
소스
어떤 대답이 도움이 되었습니까? 그렇다면 질문에 대한 답변이 계속 나오지 않도록 답변을 수락해야합니다. 또는 자신의 답변을 제공하고 수락 할 수 있습니다.
Ron Maupin

답변:

6

좋은 질문입니다! 그것이 객체 그룹의 기능이라고 생각하는 것이 옳습니다.

ACL 최적화가 활성화되었습니다. 이것은 전역 CLI 명령을 통해 활성화됩니다 object-group-search access-control.

ACL 최적화는 소스 / 대상 주소 및 포트에 대해 가능한 모든 ACE 조합을 원래 개체로 축소합니다. 괄호 안의 숫자는 해당 단일 항목으로 축소 된 항목의 양입니다.

ACL 최적화가 비활성화되면 show access-list명령이 확장 된 항목을 대신 표시합니다.

object-group-search access-control명령은 서비스에 영향을 미치는이며,이 알고리즘을 수행하는 동안 연결을 삭제합니다.

음부
소스
1
우선, 답변 해 주셔서 감사합니다. Mike가 옳습니다. 내 질문은 규칙 내에서 개체를 따르는 괄호에 관한 것입니다. 이러한 예제는 "deny / permit ip"ACL이고 네트워크 개체 뒤의 숫자는 포트 번호라고 생각하지 않기 때문입니다. 또한 ACL Mike에서 "Any"다음에 나오는 숫자는 65537이며 포트 번호가 너무 높거나 의심 스럽습니다 ... :) 여전히 이것에 대해 어둠 속에 있습니다.
Harnik
2
알았어요. 알아 낸 것 같아요. 객체 그룹 최적화가 켜져 있어야합니다. object-group-search access-control 객체 그룹 최적화는 위에서 설명한 동작을 중지합니다. 소스 / 대상 주소 및 포트에 대해 가능한 모든 조합을 원래 개체로 축소합니다. 괄호 안의 숫자는 해당 단일 ACE에 최적화 된 항목 수입니다.
mbud
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.