Cisco ASA ACL'lerinde nesnelerden sonra parantez “()” ne anlama geliyor?


9

Bir müşterinin yapılandırmasında aşina olmadığım bir şeyle karşılaştım, "erişim listesini göster" içindeki her kuralın sonunda "(hitcnt = 324165)" kural kullanımını, isabet sayısını işaret ettiğini biliyorum. Ancak, show access-list'in bu çıktısında, kuraldaki nesne ve nesne olmayan varlıkları takip eden sayıları da görüyorum.

Misal

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log 
 informational interval 300 0xf688d263

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log 
 informational interval 300 (hitcnt=324165) 0xa2669c62

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log 
 informational interval 300 0xb25caeed 

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299) 
 any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28

Aynı kuralın iki kez (aynı satır numarası), ancak bir kez kural içinde parantez içinde ve bir kez olmadan görüntülendiğine dikkat edin.

Bu bir çeşit nesne kullanımı mı? Öyleyse, isabet sayısından nasıl farklı olabilir? Bunu açıklayan herhangi bir belge bulamadım.


Herhangi bir cevap size yardımcı oldu mu? öyleyse, cevabı kabul etmelisiniz, böylece soru sonsuza kadar ortaya çıkmayacak, bir cevap arıyor. Alternatif olarak kendi cevabınızı verebilir ve kabul edebilirsiniz.
Ron Maupin

Yanıtlar:


6

Harika bir soru! Bunun nesne grubunuzun bir işlevi olduğunu düşünmekte haklısınız.

ACL optimizasyonunu etkinleştirdiniz. Bu, global CLI komutu ile etkinleştirilir object-group-search access-control.

ACL optimizasyonu, kaynak / hedef adresler ve bağlantı noktaları için olası tüm ACE kombinasyonlarını orijinal nesnelerinize geri daraltır. Parantez içindeki sayılar, bu tek girişe daraltılmış girişlerin miktarıdır.

ACL optimizasyonu devre dışı bırakıldığında, show access-listkomut bunun yerine genişletilmiş girişleri gösterir.

object-group-search access-controlKomut hizmeti etkileyen ve bu algoritma gerçekleştirirken bağlantıları düşecek.


1
Her şeyden önce, cevabınız için teşekkür ederim ama Mike haklı. Benim sorum kural içinde nesneleri takip parantez hakkında, çünkü bu örnekler "inkar / permit ip" ACLs vardır ve biz ağ nesneleri sonra sayı port sayı olduğunu sanmıyorum. Ayrıca bir örnek için ACL Mike alınan "Herhangi" izleyen sayının 65537 olduğunu unutmayın, bir liman numarası olamayacak kadar yüksek veya şüpheyle yakın ... :) Hala bu konuda karanlık.
Harnik

2
Tamam, sanırım çözdüm. Nesne grubu optimizasyonunun açık olması gerekir. object-group-search access-control Nesne grubu optimizasyonu yukarıda tanımladığım davranışı durdurur. Kaynak / hedef adresleri ve bağlantı noktaları için tüm olası kombinasyonları orijinal nesnelerinize geri daraltır. Parantez içindeki sayılar, bu tek ACE'ye göre optimize edilmiş giriş miktarıdır.
mbud
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.