- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-對象組命令
本章節下載: 05-對象組命令 (323.06 KB)
目 錄
1.1.3 display object-group host
1.1.5 network (IPv4 address object group view)
1.1.6 network (IPv6 address object group view)
1.1.7 network exclude (IPv4 address object group view)
1.1.8 network exclude (IPv6 address object group view)
1.1.14 service(service object group view)
description命令用來配置對象組的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
對象組未配置任何描述信息。
【視圖】
對象組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:表示對象組的描述信息,為1~127個字符的字符串,區分大小寫。
【舉例】
# 配置對象組的描述信息為“This is an IPv4 object-group”。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] description This is an IPv4 object-group
display object-group命令用來顯示對象組的內容。
【命令】
display object-group [ { { ip | ipv6 } address | mac-address | service } [ default ] [ name object-group-name ] | name object-group-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ip address:指定對象組類型為IPv4地址對象組。
ipv6 address:指定對象組類型為IPv6地址對象組。
mac-address:指定對象組類型為MAC地址對象組。
service:指定對象組類型為服務對象組。
default:指定默認對象組。
name:指定對象組名稱。
object-group-name:對象組的名稱,為1~63個字符的字符串,不區分大小寫。
【舉例】
# 顯示所有對象組。
<Sysname> display object-group
IP address object group obj1: 0 object(in use)
IP address object group obj2: 6 objects(out of use)
0 network host address 1.1.1.1
object 0 description this is a description for object 0
10 network host name host
object 10 description this is a description for object 10
20 network subnet 1.1.1.1 255.255.255.0
30 network range 1.1.1.1 1.1.1.2
40 network group-object obj1
50 network user-group group1
IPv6 address object-group obj3: 0 object(in use)
IPv6 address object-group obj4: 5 objects(out of use)
0 network host address 1::1:1
10 network host name host
20 network subnet 1::1:0 112
30 network range 1::1:1 1::1:2
40 network group-object obj3
Service object-group obj5: 0 object(in use)
Service object-group obj6: 6 objects(out of use)
0 service 200
10 service tcp source lt 50 destination range 30 40
20 service udp source range 30 40 destination gt 30
30 service icmp 20 20
40 service icmpv6 20 20
50 service group-object obj5
MAC object-group obj7: 0 object(in use)
MAC object-group obj8: 2 objects(out of use)
0 MAC address 0010-dc28-11ac
10 MAC group-object obj7
# 顯示名稱為obj2的對象組。
<Sysname> display object-group name obj2
IP address object-group obj2: 5 objects(out of use)
0 network host address 1.1.1.1
10 network host name host
20 network subnet 1.1.1.1 255.255.255.0
30 network range 1.1.1.1 1.1.1.2
40 network group-object obj1
# 顯示所有IPv4地址對象組。
<Sysname> display object-group ip address
IP address object-group obj1: 0 object(in use)
IP address object-group obj2: 5 objects(out of use)
0 network host address 1.1.1.1
10 network host name host
20 network subnet 1.1.1.1 255.255.255.0
30 network range 1.1.1.1 1.1.1.2
40 network group-object obj1
# 顯示名稱為obj4的IPv6地址對象組。
<Sysname> display object-group ipv6 address name obj4
IPv6 address object-group obj4: 5 objects(out of use)
0 network host address 1::1:1
10 network host name host
20 network subnet 1::1:0 112
30 network range 1::1:1 1::1:2
40 network group-object obj3
表1-1 display object-group命令顯示信息描述表
|
字段 |
描述 |
|
in use |
表明此對象組被引用,包括被ACL引用或被對象組嵌套引用 |
|
out of use |
表明此對象組沒有被引用 |
display object-group host命令用來顯示主機名對應IP地址的相關信息。
【命令】
display object-group { ip | ipv6 } host { object-group-name object-group-name | name host-name [ vpn-instance vpn-instance-name ] } * [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ip:指定對象組類型為IPv4地址對象組。
ipv6:指定對象組類型為IPv6地址對象組。
object-group-name object-group-name:指定對象組的名稱。為1~63個字符的字符串,不區分大小寫。不指定該參數時,顯示某一個對象組中指定主機名或排除主機名的對應IP地址。
name host-name:指定主機名稱。host-name表示主機名稱,為1~60字符,不區分大小寫。不指定該參數時,顯示指定對象組中所有主機名和排除主機名的對應IP地址。
vpn-instance vpn-instance-name:指定主機所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。若不指定此參數,則表示指定公網的主機名稱。
本參數的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
F1000-AK9110、F1000-AK9210 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
slot slot-number:指定成員設備。slot-number為設備在IRF中的成員編號。如果不指定本參數,則表示所有成員設備。
本參數的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
F1000-AK9110、F1000-AK9210 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
【舉例】
# 顯示名稱為group1的IPv4地址對象組中www.a.example.com主機名對應的地址。
<Sysname> display object-group ip host object-group-name group1 name www.a.example.com
Object group : group1
Object ID : 0
Host name : www.a.example.com
VPN instance : -
Updated at : 2019-05-20 11:04:24
IP addresses :
169.0.0.10
169.0.0.11
# 顯示名稱為group1的IPv6地址對象組中所有主機名和排除主機名對應的地址。
<Sysname> display object-group ipv6 host object-group-name group1
Object group : group1
Object ID : 0
Host name : www.a.example.com
VPN instance : -
Updated at : 2019-05-20 11:04:24
IP addresses :
169:0::0:10
169:0::0:11
Object ID : 10
Host name : www.b.example.com
VPN instance : -
Updated at : 2019-05-20 11:04:24
IP addresses :
169:0::0:11
169:0::0:12
表1-2 display object-group host命令顯示信息描述表
|
字段 |
描述 |
|
Object group |
對象組的名稱 |
|
Object ID |
對象的ID |
|
Host name |
主機的名稱 |
|
VPN instance |
主機所屬的VPN |
|
Updated at |
最後一次更新該主機名對應IP地址的時間 |
|
IP addresses |
該主機名對應的IP地址 |
【相關命令】
· object-group
mac命令用來創建一個MAC地址對象。
undo mac命令用來刪除指定的MAC地址對象。
【命令】
[ object-id ] mac { mac-address | group-object object-group-name }
undo mac { mac-address | group-object object-group-name }
undo object-id
【缺省情況】
不存在MAC地址對象。
【視圖】
MAC地址對象組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-id:指定對象ID,取值範圍為0~4294967294。若未指定本參數,係統將按照步長10從0開始,自動分配一個大於現有最大ID的最小ID。譬如現有對象的最大ID為22,那麼自動分配的新ID將是30。
mac-address:MAC地址,格式為H-H-H。
group-object object-group-name:指定引用MAC地址對象組。object-group-name表示MAC地址對象組名稱,為1~63字符,不區分大小寫。
【使用指導】
可通過多次執行本命令,在一個MAC地址對象組中配置多個MAC地址對象。
創建MAC地址對象時,需要注意的是:
· 如果指定ID的對象不存在,則表示創建一個新的對象。
· 如果指定ID的對象已存在,則表示對該對象進行修改。
在配置group-object參數時,需要注意的是:
· 如果指定名稱的對象組不存在,則係統會創建此名稱的MAC地址對象組。
· 如果指定名稱的對象組存在,則對象組類型必須為MAC地址對象組。
· 引用的MAC地址對象組不能形成循環嵌套,譬如MAC地址對象組a引用MAC地址對象組b,則MAC地址對象組b不能再引用MAC地址對象組a。
· 引用的MAC對象組最大嵌套層次為5層,譬如MAC地址對象組1、2、3、4分別引用MAC地址對象組2、3、4、5,則MAC地址對象組5不能再引用其他MAC地址對象組,MAC地址對象組1也不能再被其他MAC地址對象組引用。
【舉例】
# 為MAC地址對象組groupmac,創建一個MAC地址對象0010-dc28-a4e9。
<Sysname> system-view
[Sysname] object-group mac-address groupmac
[Sysname-obj-grp-mac-groupmac] mac 0010-dc28-a4e9
【相關命令】
· display object-group
· object-group
network命令用來創建一個IPv4地址對象。
undo network命令用來刪除指定的IPv4地址對象。
【命令】
[ object-id ] network { host { address ip-address | name host-name [ vpn-instance vpn-instance-name ] } | subnet ip-address { mask-length | mask | wildcard wildcard } | range ip-address1 ip-address2 | group-object object-group-name | user user-name [ domain domain-name ] | user-group user-group-name [ domain domain-name ] }
undo network { host { address ip-address | name host-name [ vpn-instance vpn-instance-name ] } | subnet ip-address { mask-length | mask | wildcard wildcard } | range ip-address1 ip-address2 | group-object object-group-name | user user-name [ domain domain-name ] | user-group user-group-name [ domain domain-name ] }
undo object-id
【缺省情況】
不存在IPv4地址對象。
【視圖】
IPv4地址對象組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-id:指定對象ID,取值範圍為0~4294967294。若未指定本參數,係統將按照步長10從0開始,自動分配一個大於現有最大ID的最小ID。譬如現有對象的最大ID為22,那麼自動分配的新ID將是30。
host:指定主機IPv4地址或主機名稱。
address ip-address:指定主機IPv4地址。
name host-name:指定主機名稱。host-name表示主機名稱,為1~60字符,不區分大小寫。支持模糊匹配主機名稱,輸入方式為*abc*或者*abc或者abc*,三種方式均表示主機名中包含指定的字符串即可。主機名稱中間不能帶“*”號。若輸入的主機名中不存在“*”號,則表示精確匹配所配置的主機名。
vpn-instance vpn-instance-name:指定主機所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。若不指定此參數,則表示指定公網的主機名稱。
本參數的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
F1000-AK9110、F1000-AK9210 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
subnet ip-address { mask-length | mask | wildcard wildcard }:指定子網IPv4地址。mask-length表示子網掩碼長度,即掩碼中連續“1”的個數,取值範圍為0~32。mask表示接口IPv4地址相應的子網掩碼,為點分十進製格式。wildcard wildcard表示IPv4地址的通配符掩碼(為0表示主機地址)。
range ip-address1 ip-address2:指定範圍IPv4地址。ip-address1表示範圍起始IPv4地址。ip-address2表示範圍結束IPv4地址。
group-object object-group-name:指定引用IPv4地址對象組。object-group-name表示IPv4地址對象組名稱,為1~63字符,不區分大小寫。
user user-name:指定用戶名稱,為1~55字符,區分大小寫。
user-group user-group-name:指定用戶組名稱,為1~32字符,不區分大小寫。
domain domain-name:表示用戶和用戶組所屬的身份識別域。domain-name是身份識別域的名稱,為1~255個字符的字符串,不區分大小寫,不能包括字符“?”。若不指定此參數,則表示用戶和用戶組不屬於任何身份識別域。
【使用指導】
創建對象時指定ID,如果指定ID的對象不存在,則創建一條新的對象;如果指定ID的對象已存在,則對原對象進行修改。
新創建或修改的對象不能與已有對象的內容完全相同,否則該命令執行失敗,並提示出錯。
在配置subnet參數時,如果指定mask-length為32或者mask為255.255.255.255,則該配置被視為主機地址對象配置。
在配置range參數時,需要注意的是:
· 如果指定的ip-address1和ip-address2相同,則該配置被視為主機地址對象配置。
· 如果指定的ip-address1和ip-address2是一個子網的起始地址和結束地址,則該配置被視為子網地址對象配置。
· 如果指定的ip-address1比ip-address2大,會自動調整範圍為[ ip-address2, ip-address1 ]。
在配置group-object參數時,需要注意的是:
· 如果指定名稱的對象組不存在,則係統會創建此名稱的IP地址對象組,相反對象組類型必須為IPv4地址對象組。
· 引用的IPv4地址對象組不能形成循環,譬如IP地址對象組a引用IPv4地址對象組b,則IP地址對象組b不能再引用IP地址對象組a。
· 引用的IPv4地址對象組最大嵌套層次為5層,譬如IP地址對象組1、2、3、4分別引用IP地址對象組2、3、4、5,則IP地址對象組5不能再引用其他IPv4地址對象組,IP地址對象組1也不能再被其他IP地址對象組引用。
【舉例】
# 配置地址為192.168.0.1的IPv4主機地址對象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network host address 192.168.0.1
# 配置匹配主機名稱為pc3的IPv4主機地址對象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network host name pc3
# 配置模糊匹配主機名稱為abc的IPv4主機地址對象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup1
[Sysname-obj-grp-ip-ipgroup1] network host name *abc*
# 配置地址為192.167.0.0,掩碼長度為24的IPv4子網地址對象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network subnet 192.167.0.0 24
# 配置地址為192.166.0.0,掩碼為255.255.0.0的IPv4子網地址對象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network subnet 192.166.0.0 255.255.0.0
# 配置地址範圍為192.165.0.100到192.165.0.200的IPv4範圍地址對象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network range 192.165.0.100 192.165.0.200
# 配置引用ipgroup2對象組的地址對象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network group-object ipgroup2
# 配置地址為192.168.x.1的不連續地址(通配符地址)對象,x表示的地址內容可變。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network subnet 192.168.0.1 wildcard 0.0.255.0
# 配置引用用戶名為user1,身份識別域為domain1的用戶。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network user user1 domain domain1
# 配置引用用戶組名為usergroup1,身份識別域為domain1的用戶組。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network user-group usergroup1 domain domain1
network命令用來創建一個IPv6地址對象。
undo network命令用來刪除指定的IPv6地址對象。
【命令】
[ object-id ] network { host { address ipv6-address | name host-name [ vpn-instance vpn-instance-name ] } | subnet ipv6-address prefix-length | range ipv6-address ipv6-address2 | group-object object-group-name | user user-name [ domain domain-name ] | user-group user-group-name [ domain domain-name ] }
undo network { host { address ipv6-address | name host-name [ vpn-instance vpn-instance-name ] } | subnet ipv6-address prefix-length | range ipv6-address1 ipv6-address2 | group-object object-group-name | user user-name [ domain domain-name ] | user-group user-group-name [ domain domain-name ] }
undo object-id
【缺省情況】
不存在IPv6地址對象。
【視圖】
IPv6地址對象組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-id:指定對象ID,取值範圍為0~4294967294。若未指定本參數,係統將按照步長10從0開始,自動分配一個大於現有最大ID的最小ID。譬如現有對象的最大ID為22,那麼自動分配的新ID將是30。
host:指定主機IPv6地址或主機名稱。
address ipv6-address:指定主機IPv6地址。
name host-name:指定主機名稱。host-name表示主機名稱,為1~60字符,不區分大小寫。支持模糊匹配主機名稱,輸入方式為*abc*或者*abc或者abc*,三種方式均表示主機名中包含指定的字符串即可。主機名稱中間不能帶“*”號。若輸入的主機名中不存在“*”號,則表示精確匹配所配置的主機名。
vpn-instance vpn-instance-name:指定主機所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。若不指定此參數,則表示指定公網的主機名稱。
本參數的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
F1000-AK9110、F1000-AK9210 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
subnet ipv6-address prefix-length:指定子網IPv6地址。prefix-length:指定IPv6地址的前綴長度,取值範圍為1~128。
range ipv6-address1 ipv6-address2:指定範圍IPv6地址。ipv6-address1表示範圍起始IPv6地址。ipv6-address2表示範圍結束IPv6地址。
group-object object-group-name:指定引用IPv6地址對象組。object-group-name表示IPv6地址對象組名稱,為1~63字符,不區分大小寫。
user user-name:指定用戶名稱,為1~55字符,區分大小寫。
user-group user-group-name:指定用戶組名稱,為1~32字符,不區分大小寫。
domain domain-name:表示用戶和用戶組所屬的身份識別域。domain-name是身份識別域的名稱,為1~255個字符的字符串,不區分大小寫,不能包括字符“?”。若不指定此參數,則表示用戶和用戶組不屬於任何身份識別域。
【使用指導】
創建對象時指定ID,如果指定ID的對象不存在,則創建一條新的對象;如果指定ID的對象已存在,則對原對象進行修改。
新創建或修改的對象不能與已有對象的內容完全相同,否則該命令執行失敗,並提示出錯。
在配置subnet參數時,如果指定掩碼長度為128,則該配置被視為主機地址對象配置。
在配置range參數時,需要注意的是:
· 如果指定的ipv6-address1和ipv6-address2相同,則該配置被視為主機地址對象配置。
· 如果指定的ipv6-address1和ipv6-address2是一個子網的起始地址和結束地址,則該配置被視為子網地址對象配置。
· 如果指定的ipv6-address1比ipv6-address2大,會自動調整範圍為[ ipv6-address2, ipv6-address1 ]。
在配置group-object參數時,需要注意的是:
· 如果指定名稱的對象組不存在,則係統會創建此名稱的IPv6地址對象組。
· 如果指定名稱的對象組存在,則對象組類型必須為IPv6地址對象組。
· 引用的IPv6地址對象組不能形成循環,譬如IPv6地址對象組a引用IPv6地址對象組b,則IPv6地址對象組b不能再引用IPv6地址對象組a。
· 引用的IPv6地址對象組最大嵌套層次為5層,譬如IPv6地址對象組1、2、3、4分別引用IPv6地址對象組2、3、4、5,則IPv6地址對象組5不能再引用其他IPv6地址對象組,IPv6地址對象組1也不能再被其他IPv6地址對象組引用。
【舉例】
# 配置地址為1::1的IPv6主機地址對象。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network host address 1::1
# 配置匹配主機名稱為pc3的IPv6主機地址對象。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network host name pc3
# 配置模糊匹配主機名稱為abc的IPv6主機地址對象。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group1
[Sysname-obj-grp-ipv6-ipv6group1] network host name *abc*
# 配置地址為1:1:1::1,前綴長度為24的IPv6子網地址對象。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network subnet 1:1:1::1 24
# 配置地址範圍為1:1:1::1到1:1:1::100 的IPv6範圍地址對象。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network range 1:1:1::1 1:1:1::100
# 配置引用ipv6group2對象組的地址對象。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network group-object ipv6group2
# 配置引用用戶名為user1,身份識別域為domain1的用戶。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network user user1 domain domain1
# 配置引用用戶組名為usergroup1,身份識別域為domain1的用戶組。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network user-group usergroup1 domain domain1
network exclude命令用來配置地址對象中排除的IPv4地址。
undo network exclude命令用來恢複缺省情況。
【命令】
object-id network exclude ip-address
undo object-id network exclude ip-address
【缺省情況】
地址對象中不存在排除的IPv4地址。
【視圖】
IPv4地址對象組
【缺省用戶角色】
network-admin
context-admin
【參數】
object-id:指定對象ID,取值範圍為0~4294967294,此對象ID必須已存在。
ip-address:表示地址對象中排除的IPv4地址。
【使用指導】
多次執行本命令,可在某個地址對象中排除多個IPv4地址或子網,但之間不允許存在重疊,否則無法配置成功。
【舉例】
# 配置地址為192.166.0.0,掩碼為255.255.0.0的IPv4子網地址對象,並配置此地址對象排除的IPv4地址為192.166.0.10,排除的IPv4子網地址為192.166.1.0/24。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] 10 network subnet 192.166.0.0 255.255.0.0
[Sysname-obj-grp-ip-ipgroup] 10 network exclude 192.166.0.10
network exclude命令用來配置地址對象中排除的IPv6地址。
undo network exclude命令用來恢複缺省情況。
【命令】
object-id network exclude { ipv6-address | subnet ipv6-address prefix-length }
undo object-id network exclude { ipv6-address | subnet ipv6-address prefix-length }
【缺省情況】
地址對象中不存在排除的IPv6地址。
【視圖】
IPv6地址對象組
【缺省用戶角色】
network-admin
context-admin
【參數】
object-id:指定對象ID,取值範圍為0~4294967294,此對象ID必須已存在。
ipv6-address:表示地址對象中排除的IPv6地址。
subnet ipv6-address prefix-length:指定子網IPv6地址。prefix-length:表示IPv6地址的前綴長度,取值範圍為1~128。
【使用指導】
多次執行本命令,可在某個地址對象中排除多個IPv6地址或子網,但之間不允許存在重疊,否則無法配置成功。
【舉例】
# 配置地址為1:1:1::1,前綴長度為24的IPv6子網地址對象,並配置此地址對象排除的IPv6地址為1:1:1::10,排除的IPv6子網地址為1:1:1::2:0,前綴長度為112。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] 10 network subnet 1:1:1::1 24
[Sysname-obj-grp-ipv6-ipv6group] 10 network exclude 1:1:1::10
[Sysname-obj-grp-ipv6-ipv6group] 10 network exclude subnet 1:1:1::2:0 112
object description命令用來配置對象的描述信息。
undo object description命令用來恢複缺省情況。
【命令】
object object-id description text
undo object object-id description
【缺省情況】
對象未配置任何描述信息。
【視圖】
對象組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-id:指定對象ID,取值範圍為0~4294967294,此對象ID必須已存在。
text:表示對象的描述信息,為1~127個字符的字符串,區分大小寫。
【舉例】
# 配置對象0的描述信息為“This is a description for object 0”。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] 0 network host address 1.2.3.4
[Sysname-obj-grp-ip-ipgroup] object 0 description This is a description for object 0
【相關命令】
object-group命令用來創建一個對象組,並進入對象組視圖。如果指定的對象組已經存在且類型一致,則直接進入對象組視圖。
undo object-group命令用來刪除指定的對象組。
【命令】
object-group { { ip | ipv6 } address | mac-address | port | service } object-group-name
undo object-group { { ip | ipv6 } address | mac-address | port | service } object-group-name
【缺省情況】
存在係統默認對象組。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip address:指定對象組類型為IP地址對象組。
ipv6 address:指定對象組類型為IPv6地址對象組。
mac-address:指定對象組類型為MAC地址對象組。
service:指定對象組類型為服務對象組。
object-group-name:對象組的名稱,為1~63個字符的字符串,不區分大小寫,且對象組的名稱必須全局唯一。
【使用指導】
在配置object-group命令時,需要注意的是:
· 如果指定名稱的對象組不存在,則創建對象組並進入其視圖。
· 如果指定名稱的對象組存在但類型不一致,命令執行失敗,並提示出錯。
在配置undo object-group命令時,需要注意的是:
· 如果指定名稱的對象組不存在,處理結束。
· 如果指定名稱的對象組存在但類型不一致,則命令執行失敗,並提示出錯。
· 要刪除的對象組被ACL或者其他對象組引用,命令執行失敗,並提示出錯。
· 係統默認對象組不能被刪除。
【舉例】
# 配置名稱為ipgroup的IP地址對象組。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
# 配置名稱為ipv6group的IPv6地址對象組。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
# 創建名稱為groupmac的MAC地址對象組。
<Sysname> system-view
[Sysname] object-group mac-address groupmac
# 配置名稱為servicegroup的服務對象組。
<Sysname> system-view
[Sysname] object-group service servicegroup
object-group dns-aging命令用來開啟主機名對應IP地址的老化功能。
undo object-group dns-aging命令用來關閉主機名對應IP地址的老化功能。
【命令】
object-group dns-aging [ time aging-time ]
undo object-group dns-aging
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
【缺省情況】
主機名對應IP地址的老化功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
time aging-time:主機名對應IP地址的老化時間,取值範圍為1~70000000,單位為分鍾,缺省值為120。
【使用指導】
在同一主機名對應多個IP地址的負載均衡場景中,DNS解析主機名獲得的IP地址會在多個IP地址之間進行不斷切換。缺省情況下,每次切換,對象組模塊都會通告相關策略(如安全策略)變更IP地址,會造成相關策略頻繁提交加速,大量耗費設備內存,此時可通過開啟主機名對應IP地址的老化功能解決此問題。
開啟該功能後,對象組針對每個主機名維護一個IP地址組。當通過DNS解析該主機名獲得的IP地址不在該組內,會將新的IP地址添加至組內,並將該組新的IP地址範圍告知相關策略;當獲得的IP地址在該組內,則不會告知相關策略,並更新該IP地址的老化時間。若組內某個IP地址達到老化時間,則會將其從組內刪除,並告知相關策略。從而減少相關策略加速次數,降低設備內存占用。
建議所配置主機名對應IP地址的老化時間大於DNS服務器上配置的解析記錄生存時間(TTL)。
【舉例】
# 配置主機名對應IP地址的老化時間為5分鍾。
<Sysname> system-view
[Sysname] object-group dns-aging
[Sysname] object-group dns-aging time 5
object-group rename命令用來重命名對象組。
【命令】
object-group rename old-object-group-name new-object-group-name
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
old-object-group-name:被重命名對象組的名稱,為1~63個字符的字符串,不區分大小寫。
new-object-group-name:重命名後的對象組名稱,為1~63個字符的字符串,不區分大小寫,且對象組的名稱必須全局唯一。
【使用指導】
隻能對用戶創建的對象組進行重命名,係統缺省的對象組不能被重命名。
【舉例】
# 重命名IPv4地址對象組ipgroup1的名稱為ipgroup2。
<Sysname> system-view
[Sysname] object-group rename ipgroup1 ipgroup2
【相關命令】
· object-group
security-zone命令用來配置地址對象組所屬的安全域。
undo security-zone命令用來恢複缺省情況。
【命令】
security-zone security-zone-name
【缺省情況】
未配置地址對象組所屬的安全域。
【視圖】
IPv4地址對象組
IPv6地址對象組
【缺省用戶角色】
network-admin
context-admin
【參數】
security-zone-name:安全域的名稱,為1~31個字符的字符串,不區分大小寫,不能包含字符“-”,不能是字符串“any”。
【使用指導】
將地址對象組加入安全域後,在使用Web方式配置安全策略的源/目的IP地址過濾條件時,隻能從屬於此次安全域和不屬於任何安全域的地址對象組中選取,可達到快速選擇地址對象組的目的。
一個對象組隻能屬於一個安全域。
【舉例】
# 配置IPv4地址對象組1所屬的安全域為Local。
<Sysname> system-view
[Sysname] object-group ip address 1
[Sysname-obj-grp-ip-1] security-zone Local
【相關命令】
· object-group
service命令用來創建一個服務對象。
undo service命令用來刪除指定的服務對象。
【命令】
[ object-id ] service { protocol [ { source { { eq | lt | gt } port | range port1 port2 } | destination { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ] | group-object object-group-name }
undo service { protocol [ { source { { eq | lt | gt } port | range port1 port2 } | destination { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ] | group-object object-group-name }
undo object-id
【缺省情況】
不存在服務對象。
【視圖】
服務對象組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-id:指定對象ID,取值範圍為0~4294967294。若未指定本參數,係統將按照步長10從0開始,自動分配一個大於現有最大ID的最小ID。譬如現有對象的最大ID為22,那麼自動分配的新ID將是30。
protocol:協議類型,可輸入的形式如下:
· 數字:取值範圍為0~255;
· 名稱:可選取tcp(6)、udp(17)、icmp(1)或icmpv6(58)。
source:指定源端口。隻在protocol為tcp或udp時有效。
destination:指定目的端口。隻在protocol為tcp或udp時有效。
eq:等於指定的端口號。
lt:小於指定的端口號。
gt:大於指定的端口號。
port:指定端口號,取值範圍為0~65535。
range port1 port2:在指定的兩個端口號範圍內。port1表示端口號1,取值範圍為0~65535。port2表示端口號2,取值範圍為0~65535。
icmp-type:ICMP消息類型,取值範圍為0~255,隻在protocol為icmp時有效。
icmp-code:ICMP消息碼,取值範圍為0~255。
icmpv6-type:ICMPv6消息類型,取值範圍為0~255,隻在protocol為icmpv6時有效。
icmpv6-code:ICMPv6消息碼,取值範圍為0~255。
group-object:指定引用服務對象組。object-group-name表示服務對象組名稱,為1~63字符,不區分大小寫。
【使用指導】
創建對象時指定ID,如果指定ID的對象不存在,則創建一條新的對象;如果指定ID的對象已存在,則對舊對象進行修改。
新創建或修改的對象不能與已有對象的內容完全相同,否則該命令執行失敗,並提示出錯。
在配置lt參數時,需要注意的是:
· 不能指定port為0。
· 如果指定port為1,則該配置被視為eq 0。
· 如果指定port為2~65535,則實際生效的端口號為[ 0, port-1 ]。
在配置gt參數時,需要注意的是:
· 不能指定port為65535。
· 如果指定port為65534,該配置被視為eq 65535。
· 如果指定port為0~65533,則實際生效的端口號為[ port+1, 65535 ]。
在配置range參數時,需要注意的是:
· 如果指定的port1和port2相同,則該配置被視為等於指定的端口號。
· 如果指定port1為0,則該配置被視為lt配置,譬如配置range 0 999,被視為lt 1000。
· 如果指定port2為65535,則該配置被視為gt配置,譬如配置range 50001 65535,被視為gt 50000。
· 如果指定的port1比port2大,會自動調整範圍為[ port2, port1 ]。
在配置group-object參數時,需要注意的是:
· 如果指定名稱的對象組不存在,則係統會創建此名稱的服務對象組。
· 如果指定名稱的對象組存在,則對象組類型必須為服務對象組。
· 引用的服務對象組不能形成循環,譬如服務對象組a引用服務對象組b,則服務對象組b不能再引用服務對象組a。
· 引用的服務對象組最大嵌套層次為5層,譬如服務對象組1、2、3、4分別引用服務對象組2、3、4、5,則服務對象組5不能再引用其他服務對象組,服務對象組1也不能再被其他服務對象組引用。
【舉例】
# 配置協議號等於100的服務對象。
<Sysname> system-view
[Sysname] object-group service servicegroup
[Sysname-obj-grp-service-servicegroup] service 100
# 配置指定源端口和目的端口的tcp協議報文的服務對象。
<Sysname> system-view
[Sysname] object-group service servicegroup
[Sysname-obj-grp-service-servicegroup] service tcp source eq 100 destination range 10 100
# 配置icmp協議的服務對象。
<Sysname> system-view
[Sysname] object-group service servicegroup
[Sysname-obj-grp-service-servicegroup] service icmp 100 150
# 配置引用servicegroup2對象組的服務對象。
<Sysname> system-view
[Sysname] object-group service servicegroup
[Sysname-obj-grp-service-servicegroup] service group-object servicegroup2
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
