Cisco ASA ACL 中对象后的括号“()”是什么意思?

网络工程 思科 思科 ACL
2021-07-22 21:02:47

我在客户的配置中遇到了一些我不熟悉的东西,我知道“show access-list”中每条规则末尾的“(hitcnt=324165)”指向规则用法,命中计数。但是在 show access-list 的这个输出中,我还看到规则中对象和非对象实体后面的数字。

例子

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log 
 informational interval 300 0xf688d263

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log 
 informational interval 300 (hitcnt=324165) 0xa2669c62

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log 
 informational interval 300 0xb25caeed 

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299) 
 any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28

请注意,相同的规则显示了两次(相同的行号),但一次在规则内带有括号,一次没有。

这是某种对象用法吗?如果是这样,它与命中计数有何不同?我找不到任何解释这一点的文档。

1个回答

好问题!您认为它是您的对象组的功能是正确的。

您已激活 ACL 优化。这是通过全局 CLI 命令激活的object-group-search access-control

ACL 优化将源/目标地址和端口的所有可能的 ACE 组合折叠回原始对象。括号中的数字是已折叠到该单个条目中的条目数量。

禁用 ACL 优化后,该show access-list命令将改为显示扩展条目。

object-group-search access-control命令会影响服务,并且会在执行算法时断开连接。

其它你可能感兴趣的问题
上一篇为什么我们的许多广域网在上行和下行之间使用固定带宽划分? 下一篇EoMPLS、MSTP 和 RPVST