最近在做ACL的时候发现4506-E上有object network命令
版本是：Version 03.03.02.XO RELEASE SOFTWARE (fc1) || ROM: 15.1(1r)SG5
但是在用的时候发现个问题，不知道是版本BUG还是命令有误，完全跟想象的不一样，有没有大神知道这个用法……
环境是某集团公司有多个子公司，每个子公司都有各自的网段，还有各自的服务器
然后需要实现 A 公司中的几个IP地址 只能访问 B公司中的几个IP地址，而不能访问其他网段
假设A公司的几个IP地址为 192.168.1.200-205
假设B公司的几个IP地址为 172.16.1.10 172.16.1.20-30
然后配置如下
object-group network 192
range 192.168.1.200 192.168.1.205
object-group network 172
host 172.16.1.10
range 172.16.1.20 172.16.1.30
ip access ex per192_172
10 permit ip object 192 object 172
100 deny ip any any
然后挂在相应192段的svi接口in方向
配置和实际的不一样，大致都是这个意思
然后看似可以简化配置，实际上这么配置以后，不仅目标172网段的几个IP可以通，其他所有的IP都可以通了
如果目标网段不使用object-group，而是使用实际的IP地址，比如10 permit ip object 192 host 172.16.1.10
只有把目标段的IP地址全都一条条写出来而不是用object-group就可以实现只能访问172段的部分IP，而不通其他网段
查过了官方文档，目标段的IP也是可以用object配置的，不知道到底问题出在什么地方
http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_acl/configuration/15-2mt/sec-object-group-acl.html#GUID-BE5C124C-CCE0-423A-B147-96C33FA18C66