Object-group优化ACL

Cisco的"object-group"是一种在网络设备中，如路由器和防火墙，用于组织和管理网络对象的功能。这些对象可以是IP地址、端口号、协议等，通过将它们分组，可以更方便地在配置中引用它们，提高配置的可读性和维护性。

Object-group极大帮助减少ACL条目，降低交换机CPU loading，具体配置范例参考如下：

IP地址组

可以创建一个IP地址的组，将多个IP地址或IP地址范围组合在一起。这在ACL（访问控制列表）的配置中特别有用。

Object-group network yournet
192.168.8.0 255.255.255.0
192.168.9.1 255.255.255.255
192.168.10.2 255.255.255.255

Object-group network dest
Host 10.10.1.15 10.10.2.0 255.255.255.0

端口组

可以创建一个端口号的组，将多个端口号或端口范围组合在一起。这在防火墙规则的配置中常用。

object-group service Ports tcp
  port-object eq 80
  port-object eq 8080
  port-object range 8000 8090

协议组

可以创建一个协议的组，将多个协议组合在一起。这在访问控制和QoS（服务质量）配置中使用。

object-group protocol PROTOCOL_GROUP
  protocol-object ip
  protocol-object tcp
  protocol-object udp

组合使用

可以将不同类型的对象组合在一起，以创建更复杂的规则。

Ip access-list extended Test
10 permit ip object-group yournet 10.10.1.0 0.0.0.255   #允许yournet group的地址访问10.10.1.0/24
20 deny ip object-group yournet 10.10.99.0 0.0.0.255    #拒绝yournet group的地址访问10.10.99.0/24
30 permit tcp object-group yournet host 10.10.1.15   #允许yournet group可以与10.10.1.15的任意端口建立TCP连接
40 permit tcp object-group yournet host 10.10.1.15 eq 443   #允許yournet group的地址可以建立与10.10.1.15的443 port的TCP连接
50 permit ip object-group yournet object-group dest  #允许yournet group的地址可以访问dest group的地址
60 permit ip any object-group dest   #允许所有可以访问dest group的地址

通过使用object-group，管理员可以更有效地管理和维护网络设备的配置，同时也可以提高安全性和性能。这是Cisco设备中一个有用的功能，可以根据实际情况在配置中灵活使用。请注意，具体的配置语法可能会因设备型号、操作系统版本和配置上下文而有所不同。

更多用法参考官网：Cisco官网