示例
access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log
informational interval 300 0xf688d263
access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log
informational interval 300 (hitcnt=324165) 0xa2669c62
access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log
informational interval 300 0xb25caeed
access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299)
any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28
请注意,同一条规则显示两次(相同的行号),但一次显示在规则内带有括号,一次显示不带括号。
这是某种对象用法吗?如果可以,与点击数有何不同?我找不到任何解释此问题的文档。
#1 楼
好问题!您认为它是对象组的功能是正确的。您已激活ACL优化。这是通过全局CLI命令
object-group-search access-control
激活的。ACL优化会将源/目标地址和端口的所有可能的ACE组合折叠到原始对象中。括号中的数字是已折叠为该单个条目的条目的数量。
禁用ACL优化后,
show access-list
命令将改为显示展开的条目。object-group-search access-control
命令会影响服务,并且在执行算法时会断开连接。评论
首先,谢谢mbud的回答,但是Mike是对的。我的问题是关于规则中对象后面的括号,因为这些示例是“ deny / permit ip” ACL,我们在网络对象后面看到的数字我认为这些不是端口号。还请注意,在Mike的ACL上,“ Any”后面的数字是65537,该数字太高而无法成为端口号或可疑地接近了... :)对此仍然一无所知。
– Harnik
2014年7月30日在7:11
好吧,我想我已经解决了。您必须打开对象组优化。对象组搜索访问控制对象组优化停止了我上面描述的行为。它将源/目标地址和端口的所有可能组合折叠成原始对象。括号中的数字是已针对单个ACE优化的条目数。
–预算
2014年7月30日14:10
评论
有什么答案对您有帮助吗?如果是这样,您应该接受答案,这样问题就不会永远弹出来寻找答案。或者,您可以发布并接受自己的答案。