- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
17-對象組
本章節下載: 17-對象組 (241.71 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ 對象組
○ 時間段
○ NAT地址組
○ AFT地址組
○ DNS老化
對象組定義了一係列報文匹配規則,可以被其他業務模塊等引用,作為匹配報文的條件。
對象組由一條或多條對象組成,每條對象定義了一個報文匹配規則。報文隻要滿足對象組中一條對象的匹配規則,則該報文匹配該對象組。
對象組分為以下幾種:
· IPv4地址對象組:包含IPv4地址對象,用於匹配報文中的IPv4地址。
· IPv6地址對象組:包含IPv6地址對象,用於匹配報文中的IPv6地址。
· MAC地址對象組:包含MAC地址對象,用於匹配報文中的MAC地址。
· 服務對象組:包含服務對象,用於匹配報文中的協議類型以及協議的特性(如TCP或UDP的源端口/目的端口、ICMP協議的消息類型/消息碼等)。
為了簡化配置,對象組還支持多級嵌套功能,即一個對象組可以引用另一個對象組,從而複用該對象組中的報文匹配規則。
時間段(Time Range)定義了一個時間範圍。用戶通過創建一個時間段並在某業務中將其引用,就可使該業務在此時間段定義的時間範圍內生效。但如果一個業務所引用的時間段尚未配置或已被刪除,該業務將不會生效。
在一個時間段中,可以使用以下兩種方式定義時間範圍:
· 周期時間段:表示以一周為周期(如每周一的8至12點)循環生效的時間段。
· 絕對時間段:表示在指定時間範圍內(如2015年1月1日8點至2015年1月3日18點)生效的時間段。
每個時間段都以一個名稱來標識,用戶最多可創建1024個不同名稱的時間段。一個時間段內可包含一或多個周期時間段(最多32個)和絕對時間段(最多12個),當一個時間段內包含有多個周期時間段和絕對時間段時,係統將先分別取各周期時間段的並集和各絕對時間段的並集,再取這兩個並集的交集作為該時間段最終生效的時間範圍。
NAT地址組由一個或多個IP地址段和端口範圍組成,可以被NAT模塊引用,用於NAT動態轉換。
· 對於采用PAT模式的NAT動態轉換,需要配置地址組成員和端口範圍。此外,對於NAT444動態轉換方案,還需配置端口塊大小和增量端口塊數。
· 對於采用NO-PAT模式的NAT動態轉換,僅需配置地址組成員。
NAT地址組檢測功能用於檢測NAT地址組中地址的可用性,是通過在地址池中引用NQA模板來實現的,詳細過程如下:
1. NAT地址組引用NQA探測模板後,設備會周期性的向NQA模板中指定的目的地址依次發送探測報文,其中探測報文的源IP地址是地址池中的IP地址。
2. 若設備沒有收到NQA探測應答報文,則將探測報文的源IP地址從地址池中排除,暫時禁止該IP地址用於地址轉換。
3. 被排除的IP地址還會繼續作為探測報文的源IP地址對目的IP地址在下個探測周期進行探測,如果收到回應報文,則允許該IP地址重新用於地址轉換。
AFT地址組由一個或多個IP地址段組成,可以被AFT模塊引用,用於AFT(NAT64)動態轉換。
AFT地址組的支持情況與設備型號有關,請以設備的實際情況為準。
在同一主機名對應多個IP地址的負載均衡場景中,DNS解析主機名獲得的IP地址會在多個IP地址之間進行不斷切換。缺省情況下,每次切換,對象組模塊都會通告相關策略(如安全策略)變更IP地址,會造成相關策略頻繁提交加速,大量耗費設備內存,此時可通過開啟主機名對應IP地址的老化功能解決此問題。
開啟DNS老化功能後,對象組針對每個主機名維護一個IP地址組。當通過DNS解析該主機名獲得的IP地址不在該組內,會將新的IP地址添加至組內,並將該組新的IP地址範圍告知相關策略;當獲得的IP地址在該組內,則不會告知相關策略,並更新該IP地址的老化時間。若組內某個IP地址達到老化時間,則會將其從組內刪除,並告知相關策略。從而減少相關策略加速次數,降低設備內存占用。
DNS老化功能的支持情況與設備型號有關,請以設備的實際情況為準。
· 對象組的嵌套層次最大為5層,譬如對象組1、2、3、4分別引用對象組2、3、4、5,則對象組5不能再引用其他對象組,對象組1也不能再被其他對象組引用。
· 嵌套的對象組不能形成循環。
· NAT地址組可以引用多個NQA探測模板。當引用多個NQA探測模板時,隻要有一個NQA探測模板探測成功,則表示該地址可用於地址轉換。
· NQA探測模板不能配置源IP地址。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
