Cisco ASA ACLでオブジェクトの後の括弧「()」は何を意味しますか?

9

お客様の設定でよく知らないことがありました。「show access-list」のすべてのルールの最後にある「(hitcnt = 324165)」は、ルールの使用法、ヒット数を指していることを知っています。しかし、show access-listのこの出力では、ルールのオブジェクトエンティティと非オブジェクトエンティティに続く数字も表示されています。

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log 
 informational interval 300 0xf688d263

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log 
 informational interval 300 (hitcnt=324165) 0xa2669c62

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log 
 informational interval 300 0xb25caeed 

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299) 
 any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28

同じルールが2回(同じ行番号)表示されていることに注意してください。

これは何らかのオブジェクトの使用法ですか?もしそうなら、それはヒット数とどう違うのですか?これを説明するドキュメントは見つかりませんでした。

cisco  cisco-asa  acl 
ハルニク
ソース
何か回答がありましたか?もしそうなら、質問が永遠にポップアップし続けないように答えを受け入れ、答えを探します。または、独自の回答を提供して受け入れることもできます。
Ron Maupin

回答:

6

すばらしい質問です。あなたはそれがあなたのオブジェクトグループの機能であると考えるのは正しいです。

ACL最適化がアクティブ化されています。これは、グローバルCLIコマンドを介してアクティブ化されますobject-group-search access-control

ACL最適化により、送信元/宛先アドレスとポートの可能なすべてのACEの組み合わせが元のオブジェクトに折りたたまれます。括弧内の数値は、その単一のエントリーに縮小されたエントリーの数です。

ACL最適化が無効になっている場合、show access-listコマンドは代わりに展開されたエントリを表示します。

object-group-search access-controlコマンドは、サービスに影響あり、それはアルゴリズムを実行している間の接続をドロップします。

mbud
ソース
1
まず第一に、あなたの答えをありがとうmbud、しかしマイクは正しいです。これらの例は「deny / permit ip」ACLの例であり、ネットワークオブジェクトの後に番号が表示されるため、これらはポート番号ではないと思うので、私の質問はルール内のオブジェクトに続く括弧についてです。また、ACLマイクの「Any」に続く数値は65537であり、ポート番号としては高すぎるか、疑わしいほど接近していることに注意してください... :)これについてはまだ暗い状態です。
Harnik、2014
2
わかりましたので、理解したと思います。オブジェクトグループの最適化をオンにする必要があります。 object-group-search access-control オブジェクトグループの最適化により、上記で説明した動作が停止します。送信元/宛先アドレスとポートの可能なすべての組み合わせを元のオブジェクトに折りたたみます。括弧内の数字は、その単一のACEに最適化されたエントリの数です。
mbud 2014
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.