O que os parênteses “()” após os objetos significam nas ACLs do Cisco ASA?

9

Encontrei algo com o qual não estou familiarizado na configuração de um cliente, sei que o "(hitcnt = 324165)" no final de cada regra em "show access-list" aponta para o uso da regra, contagem de ocorrências. Mas nesta saída do show access-list também estou vendo números seguindo entidades objeto e não-objeto na regra.

Exemplo

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log 
 informational interval 300 0xf688d263

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log 
 informational interval 300 (hitcnt=324165) 0xa2669c62

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log 
 informational interval 300 0xb25caeed 

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299) 
 any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28

Observe que a mesma regra é exibida duas vezes (mesmo número de linha), mas uma vez com os parênteses dentro da regra e uma vez sem.

Isso é algum tipo de uso de objeto? Se sim, como pode ser diferente da contagem de ocorrências? Não encontrei nenhuma documentação explicando isso.

cisco cisco-asa acl Harnik
fonte
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

6

Ótima pergunta! Você está certo ao pensar que é uma função do seu grupo de objetos.

Você tem a otimização da ACL ativada. Isso é ativado através do comando da CLI global object-group-search access-control.

A otimização da ACL reduz todas as combinações possíveis de ACE para endereços e portas de origem / destino de volta aos seus objetos originais. Os números entre parênteses são a quantidade de entradas que foram recolhidas nessa entrada única.

Quando a otimização da ACL estiver desativada, o show access-listcomando mostrará as entradas expandidas.

O object-group-search access-controlcomando está afetando o serviço e eliminará as conexões enquanto estiver executando o algoritmo.

mbud
fonte
11
Antes de tudo, obrigado mbud pela sua resposta, mas Mike está certo. Minha pergunta é sobre os parênteses que seguem os objetos dentro da regra, já que esses exemplos são de ACLs "deny / allow ip" e vemos o número após os objetos de rede. Não acho que esses sejam números de porta. Observe também que o número que segue "Qualquer" na ACL que Mike usou como exemplo é 65537, alto demais para ser um número de porta ou suspeito de fechar ... :) Ainda está no escuro sobre isso.
Harnik 30/07
2
Ok, então eu acho que descobri. Você deve ter a otimização de grupo de objetos ativada. object-group-search access-control A otimização de grupo de objetos interrompe o comportamento descrito acima. Recolhe todas as combinações possíveis para endereços e portas de origem / destino de volta aos seus objetos originais. Os números entre parênteses são a quantidade de entradas que foram otimizadas para essa única ACE.
mbud 30/07