對象組典型配置舉例

本章包含如下內容：

·     簡介

·     配置前提

·     使用限製

·     IPv4地址對象組配置舉例

·     IPv6地址對象組配置舉例

·     MAC地址對象組配置舉例

·     服務對象組配置舉例

·     時間段配置舉例

 

本文檔介紹對象組功能的典型配置舉例。

·     IPv4地址對象組

包含IPv4地址對象，用於匹配報文中的IPv4地址。

·     IPv6地址對象組

包含IPv6地址對象，用於匹配報文中的IPv6地址。

·     MAC地址對象組

包含MAC地址對象，用於匹配報文中的MAC地址。

·     服務器對象組

包含服務對象，用於匹配報文中的協議類型以及協議的特性（如TCP或UDP的源端口/目的端口、ICMP協議的消息類型/消息碼等）。

·     時間段

時間段（Time Range）定義了一個時間範圍。用戶通過創建一個時間段並在某業務中將其引用，就可使該業務在此時間段定義的時間範圍內生效。但如果一個業務所引用的時間段尚未配置或已被刪除，該業務將不會生效。

 

本文檔不嚴格與具體軟、硬件版本對應，如果使用過程中與產品實際情況有差異，請以設備實際情況為準。

本文檔中的配置均是在實驗室環境下進行的配置和驗證，配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置，為了保證配置效果，請確認現有配置和以下舉例中的配置不衝突。

本文檔假設您已了解對象組特性。

 

·     對象組的嵌套層次最大為5層，譬如對象組1、2、3、4分別引用對象組2、3、4、5，則對象組5不能再引用其他對象組，對象組1也不能再被其他對象組引用。

·     嵌套的對象組不能形成循環。

組網需求

如圖-1所示，Host 1所在網絡的出口處部署了一台Device，安全策略通過引用IPv4地址對象組實現Host 1訪問Host 2。

圖-1 IPv4地址對象組配置組網圖

 

使用版本

本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。

配置步驟

1.     配置接口的IP地址

# 選擇“網絡 > 接口 > 接口”，進入接口配置頁麵。

# 單擊接口GE1/0/2右側的<編輯>按鈕，配置如下：

·     安全域：Untrust

·     選擇“IPv4地址”頁簽，配置IP地址/掩碼：30.1.1.1/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/1，配置如下。

·     加入到安全域：Trust

·     IP地址/掩碼：20.1.1.1/24

·     其他配置項使用缺省值

2.     配置對象組

# 選擇“對象 > 對象組 > IPv4地址對象組”，進入IPv4地址對象組頁麵。

# 單擊<新建>按鈕，進入新建IPv4地址對象組頁麵，進行如下配置：

·     對象組名稱：test-a

·     描述：20.1.1.0/24

圖-2 新建IPv4地址對象組頁麵

 

# 單擊<添加>按鈕，進入添加對象頁麵，進行如下配置：

·     對象：網段

·     網段地址：20.1.1.0/24

圖-3 添加對象頁麵

 

# 單擊<確定>按鈕，完成對象的添加。

# 在新建IPv4地址對象組頁麵，單擊<確定>按鈕，完成IPv4地址對象組的創建。

3.     配置安全策略

# 選擇“策略 > 安全策略> 安全策略”，單擊<新建>按鈕，選擇新建策略，進入新建安全策略頁麵。

# 新建安全策略，並進行如下配置：

·     名稱：test-a

·     源安全域：Trust

·     目的安全域：Untrust

·     類型：IPv4

·     動作：允許

·     源IP/MAC地址：test-a

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成安全策略的配置。

驗證配置

1.     Host1主機可以Ping通Host2。

C:\Users\abc> ping 30.1.1.10

正在 Ping 30.1.1.10 具有 32 字節的數據:

來自30.1.1.10 的回複: 字節=32 時間<1ms TTL=254

來自30.1.1.10 的回複: 字節=32 時間<1ms TTL=254

來自30.1.1.10 的回複: 字節=32 時間<1ms TTL=254

來自30.1.1.10 的回複: 字節=32 時間<1ms TTL=254

30.1.1.10 的 Ping 統計信息:

    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，

往返行程的估計時間(以毫秒為單位):

    最短 = 0ms，最長 = 0ms，平均 = 0ms

2.     在Device上，選擇“監控 > 會話列表”，查看對應的會話信息。

組網需求

如圖-4所示，Host 1所在網絡的出口處部署了一台Device，安全策略通過引用IPv6地址對象組實現Host 1訪問Host 2。

圖-4 IPv6地址對象組配置組網圖

 

使用版本

本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。

配置步驟

1.     配置接口的IPv6地址

# 選擇“網絡 > 接口 > 接口”，進入接口配置頁麵。

# 單擊接口GE1/0/2右側的<編輯>按鈕，配置如下：

·     安全域：Untrust

·     選擇“IPv6地址”頁簽，配置IPv6地址/前綴長度：30:1:1::1/112

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/1，配置如下。

·     加入到安全域：Trust

·     IPv6地址/前綴長度：20:1:1::1/112

·     其他配置項使用缺省值

2.     配置對象組

# 選擇“對象 > 對象組 > IPv6地址對象組”，進入IPv6地址對象組頁麵。

# 單擊<新建>按鈕，進入新建IPv6地址對象組頁麵，配置對象組名稱為test-6a。

圖-5 新建IPv6地址對象組頁麵

 

# 單擊<添加>按鈕，進入添加對象頁麵，進行如下配置：

·     對象：網段

·     網段地址：20:1:1::/112

圖-6 添加對象頁麵

 

# 在添加對象頁麵，單擊<確定>按鈕，完成對象的添加。

# 在新建IPv6地址對象組頁麵，單擊<確定>按鈕，完成IPv6地址對象組的創建。

3.     配置安全策略

# 選擇“策略 > 安全策略> 安全策略”，單擊<新建>按鈕，選擇新建策略，進入新建安全策略頁麵。

# 新建安全策略，並進行如下配置：

·     名稱：test-6a

·     源安全域：Trust

·     目的安全域：Untrust

·     類型：IPv6

·     動作：允許

·     源IP/MAC地址：test-6a

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成安全策略的配置。

驗證配置

1.     Host1主機可以Ping通Host2。

C:\Users\abc> ping 30:1:1::10

正在 Ping 30:1:1::10 具有 32 字節的數據:

來自30:1:1::10 的回複: 字節=32 時間<1ms TTL=254

來自30:1:1::10 的回複: 字節=32 時間<1ms TTL=254

來自30:1:1::10 的回複: 字節=32 時間<1ms TTL=254

來自30:1:1::10 的回複: 字節=32 時間<1ms TTL=254

30:1:1::10 的 Ping 統計信息:

    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，

往返行程的估計時間(以毫秒為單位):

    最短 = 0ms，最長 = 0ms，平均 = 0ms

2.     在Device上，選擇“監控 > 會話列表”，查看IPv6對應的會話信息。

組網需求

如圖-7所示，Host 1所在網絡的出口處部署了一台Device，安全策略通過引用MAC地址對象組實現Host 1訪問Host 2，其中Host 1的MAC地址為3C-52-82-72-03-1F。

圖-7 MAC地址對象組配置組網圖

 

使用版本

本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。

配置步驟

1.     配置接口的IP地址

# 選擇“網絡 > 接口 > 接口”，進入接口配置頁麵。

# 單擊接口GE1/0/2右側的<編輯>按鈕，配置如下：

·     安全域：Untrust

·     選擇“IPv4地址”頁簽，配置IP地址/掩碼：30.1.1.1/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/1，配置如下。

·     加入到安全域：Trust

·     IP地址/掩碼：20.1.1.1/24

·     其他配置項使用缺省值

2.     配置對象組

# 選擇“對象 > 對象組 > MAC地址對象組”，進入MAC地址對象組頁麵。

# 單擊<新建>按鈕，進入新建MAC地址對象組頁麵，進行如下配置：

·     對象組名稱：test-mac

·     描述：Host1-mac

圖-8 新建MAC地址對象組頁麵

 

# 單擊<添加>按鈕，進入添加對象頁麵，進行如下配置：

·     類型：MAC地址

·     MAC地址：3C-52-82-72-03-1F

圖-9 添加對象頁麵

 

# 單擊<確定>按鈕，完成對象的添加。

# 在新建MAC地址對象組頁麵，單擊<確定>按鈕，完成MAC地址對象組的創建。

3.     配置安全策略

# 選擇“策略 > 安全策略> 安全策略”，單擊<新建>按鈕，選擇新建策略，進入新建安全策略頁麵。

# 新建安全策略，並進行如下配置：

·     名稱：test-mac

·     源安全域：Trust

·     目的安全域：Untrust

·     類型：IPv4

·     動作：允許

·     源IP/MAC地址：test-mac

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成安全策略的配置。

驗證配置

1.     Host1主機可以Ping通Host2。

C:\Users\abc> ping 30.1.1.10

正在 Ping 30.1.1.10 具有 32 字節的數據:

來自30.1.1.10 的回複: 字節=32 時間<1ms TTL=254

來自30.1.1.10 的回複: 字節=32 時間<1ms TTL=254

來自30.1.1.10 的回複: 字節=32 時間<1ms TTL=254

來自30.1.1.10 的回複: 字節=32 時間<1ms TTL=254

30.1.1.10 的 Ping 統計信息:

    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，

往返行程的估計時間(以毫秒為單位):

    最短 = 0ms，最長 = 0ms，平均 = 0ms

2.     在Device上，選擇“監控 > 會話列表”，查看對應的會話信息。

組網需求

如圖-10所示，Host 1所在網絡的出口處部署了一台Device，安全策略通過引用服務對象組實現Host 1可以訪問Host 2的特定服務（本例中為ICMPv6訪問）。

圖-10 服務對象組配置組網圖

 

使用版本

本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。

配置步驟

1.     配置接口的IPv6地址

# 選擇“網絡 > 接口 > 接口”，進入接口配置頁麵。

# 單擊接口GE1/0/2右側的<編輯>按鈕，配置如下：

·     安全域：Untrust

·     選擇“IPv6地址”頁簽，配置IPv6地址/前綴長度：30:1:1::1/112

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/1，配置如下。

·     加入到安全域：Trust

·     IPv6地址/前綴長度：20:1:1::1/112

·     其他配置項使用缺省值

2.     配置對象組

# 選擇“對象 > 對象組 > 服務對象組”，進入服務對象組頁麵。

# 單擊<新建>按鈕，進入新建服務對象組頁麵，配置對象組名稱為test-fa。

圖-11 新建服務對象組頁麵

 

# 在新建服務對象組頁麵單擊<添加>按鈕，進入新建服務對象頁麵，進行如下配置：

·     對象：協議類型（名稱）

·     類型：ICMPv6

圖-12 新建服務對象頁麵

 

# 在新建服務對象頁麵，單擊<確定>按鈕，完成對象的添加。

# 在新建服務對象組頁麵，單擊<確定>按鈕，完成服務對象組的創建。

3.     配置安全策略

# 選擇“策略 > 安全策略> 安全策略”，單擊<新建>按鈕，選擇新建策略，進入新建安全策略頁麵。

# 新建安全策略，並進行如下配置：

·     名稱：test-fa

·     源安全域：Trust

·     目的安全域：Untrust

·     類型：IPv6

·     動作：允許

·     服務對象組：test-fa

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成安全策略的配置。

驗證配置

1.     Host1主機可以Ping通Host2。

C:\Users\abc> ping 30:1:1::10

正在 Ping 30:1:1::10 具有 32 字節的數據:

來自30:1:1::10 的回複: 字節=32 時間<1ms TTL=254

來自30:1:1::10 的回複: 字節=32 時間<1ms TTL=254

來自30:1:1::10 的回複: 字節=32 時間<1ms TTL=254

來自30:1:1::10 的回複: 字節=32 時間<1ms TTL=254

30:1:1::10 的 Ping 統計信息:

    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，

往返行程的估計時間(以毫秒為單位):

    最短 = 0ms，最長 = 0ms，平均 = 0ms

2.     在Device上，選擇“監控 > 會話列表”，查看IPv6對應的會話信息。

組網需求

如圖-13所示，Host 1所在網絡的出口處部署了一台Device。域間策略通過引用服務對象組和時間段實現Host 1可以在特定時間內訪問Host 2的特定服務（本例中為ICMPv6訪問）。

圖-13 時間段配置組網圖

 

使用版本

本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。

配置步驟

1.     配置接口的IPv6地址

# 選擇“網絡 > 接口 > 接口”，進入接口配置頁麵。

# 單擊接口GE1/0/2右側的<編輯>按鈕，配置如下：

·     安全域：Untrust

·     選擇“IPv6地址”頁簽，配置IPv6地址/前綴長度：30:1:1::1/112

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/1，配置如下。

·     加入到安全域：Trust

·     IPv6地址/前綴長度：20:1:1::1/112

·     其他配置項使用缺省值

2.     配置對象組

# 選擇“對象 > 對象組 > 服務對象組”，進入服務對象組頁麵。

# 單擊<新建>按鈕，進入新建服務對象組頁麵，配置對象組名稱為test-fa。

圖-14 新建服務對象組頁麵

 

# 在新建服務對象組頁麵單擊<添加>按鈕，進入新建服務對象頁麵，進行如下配置：

·     對象：協議類型（名稱）

·     類型：ICMPv6

圖-15 新建服務對象頁麵

 

# 在新建服務對象頁麵，單擊<確定>按鈕，完成對象的添加。

# 在新建服務對象組頁麵，單擊<確定>按鈕，完成服務對象組的創建。

3.     配置時間段

# 選擇“對象 > 對象組 > 時間段”，進入時間段頁麵。

# 單擊<新建>按鈕，進入新建時間段頁麵，進行如下配置：

·     名稱：test-time

·     單擊周期時間段的<新建>按鈕，進入添加周期時間段，進行如下配置：

¡     開始時間：08:10

¡     結束時間：17:10

¡     生效日期：周一到周五

圖-16 添加周期時間段頁麵

 

# 在添加周期時間段頁麵，單擊<確定>按鈕，完成周期時間段的添加。

# 在新建時間段頁麵，單擊<確定>按鈕，完成時間段的創建。

4.     配置安全策略

# 選擇“策略 > 安全策略> 安全策略”，單擊<新建>按鈕，選擇新建策略，進入新建安全策略頁麵。

# 新建安全策略，並進行如下配置：

·     名稱：test-time

·     源安全域：Trust

·     目的安全域：Untrust

·     類型：IPv6

·     動作：允許

·     服務對象組：test-fa

·     時間段：test-time

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成安全策略的配置。

驗證配置

1.     在設定的時間段範圍內，Host1主機可以Ping通Host2。

C:\Users\abc> ping 30:1:1::10

正在 Ping 30:1:1::10 具有 32 字節的數據:

來自30:1:1::10 的回複: 字節=32 時間<1ms TTL=254

來自30:1:1::10 的回複: 字節=32 時間<1ms TTL=254

來自30:1:1::10 的回複: 字節=32 時間<1ms TTL=254

來自30:1:1::10 的回複: 字節=32 時間<1ms TTL=254

30:1:1::10 的 Ping 統計信息:

    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，

往返行程的估計時間(以毫秒為單位):

    最短 = 0ms，最長 = 0ms，平均 = 0ms

2.     在設定的時間段範圍外，Host1主機無法Ping通Host2，設備會話信息中沒有對應會話。