Я столкнулся с чем-то, с чем я не знаком в конфигурации клиента, я знаю, что "(hitcnt = 324165)" в конце каждого правила в "show access-list" указывает на использование правила, количество обращений. Но в этом выводе show access-list я также вижу числа, следующие за объектными и необъектными объектами в правиле.
пример
access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log
informational interval 300 0xf688d263
access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log
informational interval 300 (hitcnt=324165) 0xa2669c62
access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log
informational interval 300 0xb25caeed
access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299)
any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28
Обратите внимание, что одно и то же правило отображается дважды (один и тот же номер строки), но один раз с круглыми скобками внутри правила и один раз без.
Это какое-то использование объекта? Если так, как это может отличаться от количества обращений? Я не смог найти никаких документов, объясняющих это.
Ответы:
Отличный вопрос! Вы правы, считая, что это функция вашей объектной группы.
У вас активирована оптимизация ACL. Это активируется с помощью глобальной команды CLI
object-group-search access-control
.Оптимизация ACL объединяет все возможные комбинации ACE для адресов источника и назначения и портов обратно в ваши исходные объекты. Числа в скобках - это количество записей, которые были объединены в одну запись.
Когда оптимизация ACL отключена,
show access-list
команда покажет вам расширенные записи.object-group-search access-control
Команда обслуживания влияет и падение соединения во время его выполнения алгоритма.источник
object-group-search access-control
Оптимизация группы объектов останавливает поведение, описанное выше. Он сворачивает все возможные комбинации для адресов источника / назначения и портов обратно в ваши исходные объекты. Числа в скобках - это количество записей, которые были оптимизированы для этого отдельного ACE.