请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 387|回复: 2

关于交换机上的object-group问题

[复制链接]
发表于 2017-7-3 10:45:23 | 显示全部楼层 |阅读模式
0可用金钱
最近在做ACL的时候发现4506-E上有object network命令
版本是:Version 03.03.02.XO RELEASE SOFTWARE (fc1)  ||  ROM: 15.1(1r)SG5

但是在用的时候发现个问题,不知道是版本BUG还是命令有误,完全跟想象的不一样,有没有大神知道这个用法……

环境是某集团公司有多个子公司,每个子公司都有各自的网段,还有各自的服务器
然后需要实现 A 公司中的几个IP地址 只能访问 B公司中的几个IP地址,而不能访问其他网段

假设A公司的几个IP地址为 192.168.1.200-205
假设B公司的几个IP地址为  172.16.1.10    172.16.1.20-30
然后配置如下
object-group network 192
range 192.168.1.200 192.168.1.205
object-group network 172
host 172.16.1.10
range 172.16.1.20 172.16.1.30

ip access ex per192_172
10 permit ip object 192 object 172
100 deny ip any any
然后挂在相应192段的svi接口in方向

配置和实际的不一样,大致都是这个意思
然后看似可以简化配置,实际上这么配置以后,不仅目标172网段的几个IP可以通,其他所有的IP都可以通了

如果目标网段不使用object-group,而是使用实际的IP地址,比如10 permit ip object 192 host 172.16.1.10
只有把目标段的IP地址全都一条条写出来而不是用object-group就可以实现只能访问172段的部分IP,而不通其他网段

查过了官方文档,目标段的IP也是可以用object配置的,不知道到底问题出在什么地方
http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_acl/configuration/15-2mt/sec-object-group-acl.html#GUID-BE5C124C-CCE0-423A-B147-96C33FA18C66


点评

感谢您的提问!稍后会有小伙伴为您解答的!  发表于 2017-7-3 16:29
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-7-7 08:43:54 | 显示全部楼层
我在模拟器上测试你的方法是没有问题的,目的使用object也是可以起到访问控制的效果的。版本是adventerprisek9-15.4.1T.b,有可能就是IOS有问题,既然这样目的地就写IP吧。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-7-7 13:44:48 | 显示全部楼层
在 ip access ex per192_172 里加一条
90 deny ip any object 172
试试有没有用
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2017-10-17 10:09 , Processed in 0.087645 second(s), 33 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表