Cisco的"object-group"是一种在网络设备中,如路由器和防火墙,用于组织和管理网络对象的功能。这些对象可以是IP地址、端口号、协议等,通过将它们分组,可以更方便地在配置中引用它们,提高配置的可读性和维护性。
Object-group极大帮助减少ACL条目,降低交换机CPU loading,具体配置范例参考如下:
可以创建一个IP地址的组,将多个IP地址或IP地址范围组合在一起。这在ACL(访问控制列表)的配置中特别有用。
Object-group network yournet
192.168.8.0 255.255.255.0
192.168.9.1 255.255.255.255
192.168.10.2 255.255.255.255
Object-group network dest
Host 10.10.1.15 10.10.2.0 255.255.255.0
可以创建一个端口号的组,将多个端口号或端口范围组合在一起。这在防火墙规则的配置中常用。
object-group service Ports tcp
port-object eq 80
port-object eq 8080
port-object range 8000 8090
可以创建一个协议的组,将多个协议组合在一起。这在访问控制和QoS(服务质量)配置中使用。
object-group protocol PROTOCOL_GROUP
protocol-object ip
protocol-object tcp
protocol-object udp
可以将不同类型的对象组合在一起,以创建更复杂的规则。
Ip access-list extended Test
10 permit ip object-group yournet 10.10.1.0 0.0.0.255 #允许yournet group的地址访问10.10.1.0/24
20 deny ip object-group yournet 10.10.99.0 0.0.0.255 #拒绝yournet group的地址访问10.10.99.0/24
30 permit tcp object-group yournet host 10.10.1.15 #允许yournet group可以与10.10.1.15的任意端口建立TCP连接
40 permit tcp object-group yournet host 10.10.1.15 eq 443 #允許yournet group的地址可以建立与10.10.1.15的443 port的TCP连接
50 permit ip object-group yournet object-group dest #允许yournet group的地址可以访问dest group的地址
60 permit ip any object-group dest #允许所有可以访问dest group的地址
通过使用object-group,管理员可以更有效地管理和维护网络设备的配置,同时也可以提高安全性和性能。这是Cisco设备中一个有用的功能,可以根据实际情况在配置中灵活使用。请注意,具体的配置语法可能会因设备型号、操作系统版本和配置上下文而有所不同。
更多用法参考官网:Cisco官网