- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
17-对象组
本章节下载: 17-对象组 (241.71 KB)
本帮助主要介绍以下内容:
· 特性简介
○ 对象组
○ 时间段
○ NAT地址组
○ AFT地址组
○ DNS老化
对象组定义了一系列报文匹配规则,可以被其他业务模块等引用,作为匹配报文的条件。
对象组由一条或多条对象组成,每条对象定义了一个报文匹配规则。报文只要满足对象组中一条对象的匹配规则,则该报文匹配该对象组。
对象组分为以下几种:
· IPv4地址对象组:包含IPv4地址对象,用于匹配报文中的IPv4地址。
· IPv6地址对象组:包含IPv6地址对象,用于匹配报文中的IPv6地址。
· MAC地址对象组:包含MAC地址对象,用于匹配报文中的MAC地址。
· 服务对象组:包含服务对象,用于匹配报文中的协议类型以及协议的特性(如TCP或UDP的源端口/目的端口、ICMP协议的消息类型/消息码等)。
为了简化配置,对象组还支持多级嵌套功能,即一个对象组可以引用另一个对象组,从而复用该对象组中的报文匹配规则。
时间段(Time Range)定义了一个时间范围。用户通过创建一个时间段并在某业务中将其引用,就可使该业务在此时间段定义的时间范围内生效。但如果一个业务所引用的时间段尚未配置或已被删除,该业务将不会生效。
在一个时间段中,可以使用以下两种方式定义时间范围:
· 周期时间段:表示以一周为周期(如每周一的8至12点)循环生效的时间段。
· 绝对时间段:表示在指定时间范围内(如2015年1月1日8点至2015年1月3日18点)生效的时间段。
每个时间段都以一个名称来标识,用户最多可创建1024个不同名称的时间段。一个时间段内可包含一或多个周期时间段(最多32个)和绝对时间段(最多12个),当一个时间段内包含有多个周期时间段和绝对时间段时,系统将先分别取各周期时间段的并集和各绝对时间段的并集,再取这两个并集的交集作为该时间段最终生效的时间范围。
NAT地址组由一个或多个IP地址段和端口范围组成,可以被NAT模块引用,用于NAT动态转换。
· 对于采用PAT模式的NAT动态转换,需要配置地址组成员和端口范围。此外,对于NAT444动态转换方案,还需配置端口块大小和增量端口块数。
· 对于采用NO-PAT模式的NAT动态转换,仅需配置地址组成员。
NAT地址组检测功能用于检测NAT地址组中地址的可用性,是通过在地址池中引用NQA模板来实现的,详细过程如下:
1. NAT地址组引用NQA探测模板后,设备会周期性的向NQA模板中指定的目的地址依次发送探测报文,其中探测报文的源IP地址是地址池中的IP地址。
2. 若设备没有收到NQA探测应答报文,则将探测报文的源IP地址从地址池中排除,暂时禁止该IP地址用于地址转换。
3. 被排除的IP地址还会继续作为探测报文的源IP地址对目的IP地址在下个探测周期进行探测,如果收到回应报文,则允许该IP地址重新用于地址转换。
AFT地址组由一个或多个IP地址段组成,可以被AFT模块引用,用于AFT(NAT64)动态转换。
AFT地址组的支持情况与设备型号有关,请以设备的实际情况为准。
在同一主机名对应多个IP地址的负载均衡场景中,DNS解析主机名获得的IP地址会在多个IP地址之间进行不断切换。缺省情况下,每次切换,对象组模块都会通告相关策略(如安全策略)变更IP地址,会造成相关策略频繁提交加速,大量耗费设备内存,此时可通过开启主机名对应IP地址的老化功能解决此问题。
开启DNS老化功能后,对象组针对每个主机名维护一个IP地址组。当通过DNS解析该主机名获得的IP地址不在该组内,会将新的IP地址添加至组内,并将该组新的IP地址范围告知相关策略;当获得的IP地址在该组内,则不会告知相关策略,并更新该IP地址的老化时间。若组内某个IP地址达到老化时间,则会将其从组内删除,并告知相关策略。从而减少相关策略加速次数,降低设备内存占用。
DNS老化功能的支持情况与设备型号有关,请以设备的实际情况为准。
· 对象组的嵌套层次最大为5层,譬如对象组1、2、3、4分别引用对象组2、3、4、5,则对象组5不能再引用其他对象组,对象组1也不能再被其他对象组引用。
· 嵌套的对象组不能形成循环。
· NAT地址组可以引用多个NQA探测模板。当引用多个NQA探测模板时,只要有一个NQA探测模板探测成功,则表示该地址可用于地址转换。
· NQA探测模板不能配置源IP地址。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
