Object Group (CISCO ASA)
CISCO ASA的Object Group可以将具有相同特性的对象组织起来,这样可以减少ACE的配置的条目,进而减少配置,便于管理。
Object Grou的类型有:Protocol、Network、Service、ICMP type
在创建Object Group以后,可以在一个ACE中调用,这样可以将ACE的条目缩小为1个;同时,你也可以将一个Object Group嵌套到另外一个Object Group中
语法:
object-group {{protocol | network | icmp-type} grp_id | service grp_id {tcp | udp | tcp-udp}}
object-group ——定义一个对象组
protocol —— 指定IP协议(协议类型1到254),或名称标识,比如TCP、UDP、ICMP、GRP和IGMP;如果想包含所有的IP协议,可以使用关键字IP
network —— 指定host,subnet或网络地址;
icmp-type —— 指定ICMP类型,比如echo、echo-reply已经traceroute;
grp_id —— 自动4层TCP和UDP协议的端口号;
tcp —— 指定一组TCP服务,比如HTTP,FTP,Telnet和SMTP等
udp —— 指定一组UDP服务,比如DNS,TFTP和ISAKMP等
tcp-udp —— 指定一组即使用TCP又使用UDP的服务,比如DNS和Kerberos等
显示配置的对象分组:
show access-group
protocol 对象类型:
进入对象配置接口:object-group protocol grp-id
(config-protocol)#protocol-object tcp !添加分组成员
service对象类型:
进入对象配置接口:object-group service obj_grp_id tcp | udp | tcp-udp
(config)#object-group service mis_service tcp
(config-service)#port-object eq ftp !eq service将一个单独的端口号加入
(config-service)#port-object range 5000 6000 !range begin end 将一组端口加入
network对象类型:
进入对象配置接口:object-group network net
(config-network)#network-object host 192.168.1.2 !host 单个主机IP
(config-network)# network-object 172.16.1.0 255.255.255.0 !IP段
icmp-type对象类型:
进入对象配置接口:object-group icmp-type icmp_test
(config-icmp-type)#icmp-object 0
(config-icmp-type)#icmp-object 3
(config-icmp-type)#icmp-object 8
Name : Jakee.