Was bedeuten die Klammern "()" nach Objekten in Cisco ASA-ACLs?

9

Ich bin auf etwas gestoßen, mit dem ich in der Konfiguration eines Kunden nicht vertraut bin. Ich weiß, dass das "(hitcnt = 324165)" am Ende jeder Regel in "Zugriffsliste anzeigen" auf die Verwendung von Regeln und die Anzahl der Treffer verweist. Aber in dieser Ausgabe von show access-list sehe ich auch Zahlen, die Objekt- und Nichtobjektentitäten in der Regel folgen.

Beispiel

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log 
 informational interval 300 0xf688d263

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log 
 informational interval 300 (hitcnt=324165) 0xa2669c62

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log 
 informational interval 300 0xb25caeed 

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299) 
 any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28

Beachten Sie, dass dieselbe Regel zweimal angezeigt wird (gleiche Zeilennummer), jedoch einmal mit den Klammern innerhalb der Regel und einmal ohne.

Ist das eine Art Objektnutzung? Wenn ja, wie kann es sich von der Trefferzahl unterscheiden? Ich konnte keine Dokumentation finden, die dies erklärt.

cisco cisco-asa acl Harnik
quelle
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

6

Gute Frage! Sie haben Recht, wenn Sie denken, dass dies eine Funktion Ihrer Objektgruppe ist.

Sie haben die ACL-Optimierung aktiviert. Dies wird über den globalen CLI-Befehl aktiviert object-group-search access-control.

Durch die ACL-Optimierung werden alle möglichen ACE-Kombinationen für Quell- / Zieladressen und Ports in Ihre ursprünglichen Objekte zurückgeführt. Die Zahlen in Klammern geben die Anzahl der Einträge an, die in diesem einzelnen Eintrag zusammengefasst wurden.

Wenn die ACL-Optimierung deaktiviert ist, zeigt der show access-listBefehl stattdessen die erweiterten Einträge an.

Der object-group-search access-controlBefehl wirkt sich auf den Dienst aus und trennt Verbindungen, während der Algorithmus ausgeführt wird.

mbud
quelle
1
Zunächst einmal danke mbud für Ihre Antwort, aber Mike hat recht. Meine Frage bezieht sich auf die Klammern, die den Objekten innerhalb der Regel folgen, da diese Beispiele ACLs "IP verweigern / zulassen" sind und wir die Nummer nach Netzwerkobjekten sehen. Ich glaube nicht, dass dies Portnummern sind. Beachten Sie auch, dass die Nummer, die auf "Any" in der ACL folgt, die Mike als Beispiel genommen hat, 65537 ist, entweder zu hoch, um eine Portnummer zu sein, oder verdächtig nahe ... :) Immer noch im Dunkeln darüber.
Harnik
2
Okay, ich denke ich habe es herausgefunden. Sie müssen die Objektgruppenoptimierung aktiviert haben. object-group-search access-control Die Objektgruppenoptimierung stoppt das oben beschriebene Verhalten. Alle möglichen Kombinationen für Quell- / Zieladressen und Ports werden in Ihre ursprünglichen Objekte zurückgeführt. Die Zahlen in Klammern geben die Anzahl der Einträge an, die für diesen einzelnen ACE optimiert wurden.
mbud