对象后的括号“（）”在Cisco ASA ACL中是什么意思？

我在客户的配置中遇到了一些我不熟悉的事情，我知道“显示访问列表”中每条规则末尾的“（hitcnt = 324165）”都指向规则用法和命中数。但是在show access-list的输出中，我也看到规则中对象和非对象实体后面的数字。

例

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log 
 informational interval 300 0xf688d263

access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log 
 informational interval 300 (hitcnt=324165) 0xa2669c62

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log 
 informational interval 300 0xb25caeed 

access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24(299) 
 any(65537) log informational interval 300 (hitcnt=2133314) 0x111a2d28

请注意，同一条规则显示两次（相同的行号），但是一次显示带有括号的规则，一次没有显示。

这是某种对象用法吗？如果是这样，与点击数有何不同？我找不到解释此问题的任何文档。

cisco cisco-asa acl

— 哈尼克
source

有什么答案对您有帮助吗？如果是这样，您应该接受答案，这样问题就不会永远弹出来寻找答案。或者，您可以提供并接受自己的答案。

— 罗恩·莫平

好问题！您认为它是对象组的功能是正确的。

您已激活ACL优化。这是通过全局CLI命令激活的object-group-search access-control。

ACL优化会将源/目标地址和端口的所有可能的ACE组合折叠到原始对象中。括号中的数字是已折叠到该单个条目中的条目的数量。

禁用ACL优化后，该show access-list命令将改为显示展开的条目。

该object-group-search access-control命令会影响服务，并且在执行算法时会断开连接。

— 布丁
source

首先，谢谢mbud的回答，但是Mike是对的。我的问题是关于规则内对象的括号，因为这些示例是“ deny / permit ip” ACL，并且我们在网络对象后面看到的数字我认为这些不是端口号。还请注意，在Mike的ACL上，“ Any”后面的数字是65537，该数字太高而无法成为端口号或可疑地接近了……:)对此仍然一无所知。

— 哈尼克

好吧，我想我已经解决了。您必须打开对象组优化。 object-group-search access-control 对象组优化停止了我上面描述的行为。它将源/目标地址和端口的所有可能组合折叠成原始对象。括号中的数字是已针对单个ACE优化的条目数。

— mbud 2014年