- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-对象组命令
本章节下载: 03-对象组命令 (331.80 KB)
目 录
1.1.3 display object-group host
1.1.4 display object-group kernel
1.1.5 exclude (IPv4 address object group view)
1.1.6 exclude (IPv6 address object group view)
1.1.8 network (IPv4 address object group view)
1.1.9 network (IPv6 address object group view)
1.1.10 network exclude (IPv4 address object group view)
1.1.11 network exclude (IPv6 address object group view)
1.1.17 service(service object group view)
非缺省vSystem不支持本特性的部分命令,具体情况请见本文相关描述。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。
description命令用来配置对象组的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
对象组未配置任何描述信息。
【视图】
对象组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
text:表示对象组的描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 配置对象组的描述信息为“This is an IPv4 object-group”。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] description This is an IPv4 object-group
display object-group命令用来显示对象组的内容。
【命令】
display object-group [ { { ip | ipv6 } address | mac-address | service } [ default ] [ name object-group-name ] | name object-group-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
ip address:指定对象组类型为IPv4地址对象组。
ipv6 address:指定对象组类型为IPv6地址对象组。
ip address-yundi:指定对象组类型为云堤场景IPv4地址对象组。
ipv6 address-yundi:指定对象组类型为云堤场景IPv6地址对象组。
mac-address:指定对象组类型为MAC地址对象组。
service:指定对象组类型为服务对象组。
service-yundi:指定对象组类型为云堤场景服务对象组。
default:指定默认对象组。
name:指定对象组名称。
object-group-name:对象组的名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 显示所有对象组。
<Sysname> display object-group
IP address object group obj1: 0 object(in use)
IP address object group obj2: 6 objects(out of use)
0 network host address 1.1.1.1
10 network host name host
20 network subnet 1.1.1.1 255.255.255.0
30 network range 1.1.1.1 1.1.1.2
40 network group-object obj1
50 network user-group group1
60 network host name dns1 vpn-instance vpn1
IPv6 address object-group obj3: 0 object(in use)
IPv6 address object-group obj4: 5 objects(out of use)
0 network host address 1::1:1
10 network host name host
20 network subnet 1::1:0 112
30 network range 1::1:1 1::1:2
40 network group-object obj3
50 network host name dns2 vpn-instance vpn2
Service object-group obj5: 0 object(in use)
Service object-group obj6: 6 objects(out of use)
0 service 200
10 service tcp source lt 50 destination range 30 40
20 service udp source range 30 40 destination gt 30
30 service icmp 20 20
40 service icmpv6 20 20
50 service group-object obj5
MAC object-group obj7: 0 object(in use)
MAC object-group obj8: 2 objects(out of use)
0 MAC address 0010-dc28-11ac
10 MAC group-object obj7
# 显示名称为obj2的对象组。
<Sysname> display object-group name obj2
IP address object-group obj2: 5 objects(out of use)
0 network host address 1.1.1.1
10 network host name host
20 network subnet 1.1.1.1 255.255.255.0
30 network range 1.1.1.1 1.1.1.2
40 network group-object obj1
50 network host name a1 vpn-instance v1
# 显示所有IPv4地址对象组。
<Sysname> display object-group ip address
IP address object-group obj1: 0 object(in use)
IP address object-group obj2: 5 objects(out of use)
0 network host address 1.1.1.1
10 network host name host
20 network subnet 1.1.1.1 255.255.255.0
30 network range 1.1.1.1 1.1.1.2
40 network group-object obj1
# 显示名称为obj4的IPv6地址对象组。
<Sysname> display object-group ipv6 address name obj4
IPv6 address object-group obj4: 5 objects(out of use)
0 network host address 1::1:1
10 network host name host
20 network subnet 1::1:0 112
30 network range 1::1:1 1::1:2
40 network group-object obj3
50 network host name host vpn-instance vpn1
表1-1 display object-group命令显示信息描述表
|
字段 |
描述 |
|
in use |
表明此对象组被引用,包括被ACL引用或被对象组嵌套引用 |
|
out of use |
表明此对象组没有被引用 |
display object-group host命令用来显示主机名对应IP地址的相关信息。
【命令】
(独立运行模式)
display object-group { ip | ipv6 } host { object-group-name object-group-name | name host-name [ vpn-instance vpn-instance-name ] } * [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display object-group { ip | ipv6 } host { object-group-name object-group-name | name host-name [ vpn-instance vpn-instance-name ] } * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip:指定对象组类型为IPv4地址对象组。
ipv6:指定对象组类型为IPv6地址对象组。
object-group-name object-group-name:指定对象组的名称。为1~63个字符的字符串,不区分大小写。不指定该参数时,显示某一个对象组中指定主机名或排除主机名的对应IP地址。
name host-name:指定主机名称。host-name表示主机名称,为1~60字符,不区分大小写。不指定该参数时,显示指定对象组中所有主机名和排除主机名的对应IP地址。
vpn-instance vpn-instance-name:指定主机所属的VPN。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定此参数,则表示指定公网的主机名称。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示所有单板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
非缺省vSystem不支持本命令。
【举例】
# 显示名称为group1的IPv4地址对象组中www.a.example.com主机名对应的地址。
<Sysname> display object-group ip host object-group-name group1 name www.a.example.com
Object group : group1
Object ID : 0
Host name : www.a.example.com
VPN instance : -
Updated at : 2019-05-20 11:04:24
IP addresses :
169.0.0.10
169.0.0.11
# 显示名称为group1的IPv6地址对象组中所有主机名和排除主机名对应的地址。
<Sysname> display object-group ipv6 host object-group-name group1
Object group : group1
Object ID : 0
Host name : www.a.example.com
VPN instance : -
Updated at : 2019-05-20 11:04:24
IP addresses :
169:0::0:10
169:0::0:11
Object ID : 10
Host name : www.b.example.com
VPN instance : -
Updated at : 2019-05-20 11:04:24
IP addresses :
169:0::0:11
169:0::0:12
表1-2 display object-group host命令显示信息描述表
|
字段 |
描述 |
|
Object group |
对象组的名称 |
|
Object ID |
对象的ID |
|
Host name |
主机的名称 |
|
VPN instance |
主机所属的VPN |
|
Updated at |
最后一次更新该主机名对应IP地址的时间 |
|
IP addresses |
该主机名对应的IP地址 |
【相关命令】
· object-group
display object-group kernel命令用来显示内核主机名对应IP地址的相关信息。
【命令】
(独立运行模式)
display object-group kernel { ip | ipv6 } host { object-group-name object-group-name | name host-name [ vpn-instance vpn-instance-name ] } * [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display object-group kernel { ip | ipv6 } host { object-group-name object-group-name | name host-name [ vpn-instance vpn-instance-name ] } * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip:指定对象组类型为IPv4地址对象组。
ipv6:指定对象组类型为IPv6地址对象组。
object-group-name object-group-name:指定对象组的名称。为1~63个字符的字符串,不区分大小写。不指定该参数时,显示某一个对象组中指定主机名或排除主机名的对应IP地址。
name host-name:指定主机名称。host-name表示主机名称,为1~60字符,不区分大小写。不指定该参数时,显示指定对象组中所有主机名和排除主机名的对应IP地址。
vpn-instance vpn-instance-name:指定主机所属的VPN。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定此参数,则表示指定公网的主机名称。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示所有单板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
非缺省vSystem不支持本命令。
【举例】
# 显示名称为group1的IPv4地址对象组中www.a.example.com主机名对应的地址。
<Sysname> display object-group kernel ip host object-group-name group1 name www.a.example.com
Object group : group1
Object ID : 0
Host name : www.a.example.com
VPN instance : -
Updated at : 2019-05-20 11:04:24
IP addresses :
169.0.0.10
169.0.0.11
表1-3 display object-group kernel命令显示信息描述表
|
字段 |
描述 |
|
Object group |
对象组的名称 |
|
Object ID |
对象的ID |
|
Host name |
主机的名称 |
|
VPN instance |
主机所属的VPN |
|
Updated at |
最后一次更新该主机名对应IP地址的时间 |
|
IP addresses |
该主机名对应的IP地址 |
【相关命令】
· object-group
exclude命令用来配置地址对象组排除的IPv4地址。
undo exclude命令用来恢复缺省情况。
【命令】
exclude { host ip-address | range ip-address1 ip-address2 | subnet ip-address { mask-length | mask } }
undo exclude { host ip-address | range ip-address1 ip-address2 | subnet ip-address {mask-length | mask } }
【缺省情况】
地址对象组不存在排除的IPv4地址。
【视图】
IPv4地址对象组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
host ip-address:指定主机IPv4地址。
range ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址,ip-address2表示范围结束IPv4地址。
subnet ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,取值范围为0~32。mask表示接口IPv4地址相应的子网掩码,为点分十进制格式。
【使用指导】
多次执行本命令,可在某个地址对象组中排除多个IPv4地址、子网或范围,但之间不允许存在重叠,否则无法配置成功。
【举例】
# 为地址对象组ipgroup排除IPv4地址192.166.0.10。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] exclude host 192.166.0.10
# 为地址对象组ipgroup排除IPv4子网地址192.166.1.0/24。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] exclude subnet 192.166.1.0 24
# 为地址对象组ipgroup排除IPv4地址范围192.166.0.10到192.166.0.60。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] exclude range 192.166.0.10 192.166.0.60
exclude命令用来配置地址对象组排除的IPv6地址。
undo exclude命令用来恢复缺省情况。
【命令】
exclude { host ipv6-address | range ipv6-address1 ipv6-address2 | subnet ipv6-address prefix-length }
undo exclude { host ipv6-address | range ipv6-address1 ipv6-address2 | subnet ipv6-address prefix-length }
【缺省情况】
地址对象组不存在排除的IPv6地址。
【视图】
IPv6地址对象组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
host ipv6-address:指定主机IPv6地址。
subnet ipv6-address prefix-length:指定子网IPv6地址。prefix-length表示子网前缀长度,取值范围为1~128。
range ipv6-address1 ipv6-address2:指定范围IPv6地址。ipv6-address1表示范围起始IPv6地址,ipv6-address2表示范围结束IPv6地址。
【使用指导】
多次执行本命令,可在某个地址对象组中排除多个IPv6地址、子网或范围,但之间不允许存在重叠,否则无法配置成功。
【举例】
# 为地址对象组ipv6group排除IPv6地址1:1:1::10。排除的IPv6子网地址为1:1:1::2:0,前缀长度为112。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] exclude 1:1:1::10
# 为地址对象组ipv6group排除IPv6子网地址1:1:1::2:0/112。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] exclude subnet 1:1:1::2:0 112
# 为地址对象组ipv6group排除IPv6地址范围1:1:1::10到1:1:1::60。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] exclude range 1:1:1::10 1:1:1::60
mac命令用来创建一个MAC地址对象。
undo mac命令用来删除指定的MAC地址对象。
【命令】
[ object-id ] mac { mac-address | group-object object-group-name }
undo mac { mac-address | group-object object-group-name }
undo object-id
【缺省情况】
不存在MAC地址对象。
【视图】
MAC地址对象组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
object-id:指定对象ID,取值范围为0~4294967294。若未指定本参数,系统将按照步长10从0开始,自动分配一个大于现有最大ID的最小ID。譬如现有对象的最大ID为22,那么自动分配的新ID将是30。
mac-address:MAC地址,格式为H-H-H。
group-object object-group-name:指定引用MAC地址对象组。object-group-name表示MAC地址对象组名称,为1~63字符,不区分大小写。
【使用指导】
可通过多次执行本命令,在一个MAC地址对象组中配置多个MAC地址对象。
创建MAC地址对象时,需要注意的是:
· 如果指定ID的对象不存在,则表示创建一个新的对象。
· 如果指定ID的对象已存在,则表示对该对象进行修改。
在配置group-object参数时,需要注意的是:
· 如果指定名称的对象组不存在,则系统会创建此名称的MAC地址对象组。
· 如果指定名称的对象组存在,则对象组类型必须为MAC地址对象组。
· 引用的MAC地址对象组不能形成循环嵌套,譬如MAC地址对象组a引用MAC地址对象组b,则MAC地址对象组b不能再引用MAC地址对象组a。
· 引用的MAC对象组最大嵌套层次为5层,譬如MAC地址对象组1、2、3、4分别引用MAC地址对象组2、3、4、5,则MAC地址对象组5不能再引用其他MAC地址对象组,MAC地址对象组1也不能再被其他MAC地址对象组引用。
【举例】
# 为MAC地址对象组groupmac,创建一个MAC地址对象0010-dc28-a4e9。
<Sysname> system-view
[Sysname] object-group mac-address groupmac
[Sysname-obj-grp-mac-groupmac] mac 0010-dc28-a4e9
【相关命令】
· display object-group
· object-group
network命令用来创建一个IPv4地址对象。
undo network命令用来删除指定的IPv4地址对象。
【命令】
[ object-id ] network { host { address ip-address | name host-name [ vpn-instance vpn-instance-name ] } | subnet ip-address { mask-length | mask | wildcard wildcard } | range ip-address1 ip-address2 | group-object object-group-name | user user-name [ domain domain-name ] | user-group user-group-name [ domain domain-name ] }
undo network { host { address ip-address | name host-name [ vpn-instance vpn-instance-name ] } | subnet ip-address { mask-length | mask | wildcard wildcard } | range ip-address1 ip-address2 | group-object object-group-name | user user-name [ domain domain-name ] | user-group user-group-name [ domain domain-name ] }
undo object-id
【缺省情况】
不存在IPv4地址对象。
【视图】
IPv4地址对象组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
object-id:指定对象ID,取值范围为0~4294967294。若未指定本参数,系统将按照步长10从0开始,自动分配一个大于现有最大ID的最小ID。譬如现有对象的最大ID为22,那么自动分配的新ID将是30。
host:指定主机IPv4地址或主机名称。
address ip-address:指定主机IPv4地址。
name host-name:指定主机名称。host-name表示主机名称,为1~60字符,不区分大小写。支持模糊匹配主机名称,输入方式为*abc*或者*abc或者abc*,三种方式均表示主机名中包含指定的字符串即可。主机名称中间不能带“*”号。若输入的主机名中不存在“*”号,则表示精确匹配所配置的主机名。
vpn-instance vpn-instance-name:指定主机所属的VPN。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定此参数,则表示指定公网的主机名称。
subnet ip-address { mask-length | mask | wildcard wildcard }:指定子网IPv4地址。mask-length表示子网掩码长度,即掩码中连续“1”的个数,取值范围为0~32。mask表示接口IPv4地址相应的子网掩码,为点分十进制格式。wildcard wildcard表示IPv4地址的通配符掩码(为0表示主机地址)。
range ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址。ip-address2表示范围结束IPv4地址。
group-object object-group-name:指定引用IPv4地址对象组。object-group-name表示IPv4地址对象组名称,为1~63字符,不区分大小写。
user user-name:指定用户名称,为1~55字符,区分大小写。
user-group user-group-name:指定用户组名称,为1~32字符,不区分大小写。
domain domain-name:表示用户和用户组所属的身份识别域。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括字符“?”。若不指定此参数,则表示用户和用户组不属于任何身份识别域。
【使用指导】
创建对象时指定ID,如果指定ID的对象不存在,则创建一条新的对象;如果指定ID的对象已存在,则对原对象进行修改。
新创建或修改的对象不能与已有对象的内容完全相同,否则该命令执行失败,并提示出错。
在配置subnet参数时,如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址对象配置。
在配置range参数时,需要注意的是:
· 如果指定的ip-address1和ip-address2相同,则该配置被视为主机地址对象配置。
· 如果指定的ip-address1和ip-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址对象配置。
· 如果指定的ip-address1比ip-address2大,会自动调整范围为[ ip-address2, ip-address1 ]。
在配置group-object参数时,需要注意的是:
· 如果指定名称的对象组不存在,则系统会创建此名称的IP地址对象组,相反对象组类型必须为IPv4地址对象组。
· 引用的IPv4地址对象组不能形成循环,譬如IP地址对象组a引用IPv4地址对象组b,则IP地址对象组b不能再引用IP地址对象组a。
· 引用的IPv4地址对象组最大嵌套层次为5层,譬如IP地址对象组1、2、3、4分别引用IP地址对象组2、3、4、5,则IP地址对象组5不能再引用其他IPv4地址对象组,IP地址对象组1也不能再被其他IP地址对象组引用。
【举例】
# 配置地址为192.168.0.1的IPv4主机地址对象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network host address 192.168.0.1
# 配置匹配主机名称为pc3的IPv4主机地址对象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network host name pc3
# 配置模糊匹配主机名称为abc的IPv4主机地址对象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup1
[Sysname-obj-grp-ip-ipgroup1] network host name *abc*
# 配置地址为192.167.0.0,掩码长度为24的IPv4子网地址对象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network subnet 192.167.0.0 24
# 配置地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址对象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network subnet 192.166.0.0 255.255.0.0
# 配置地址范围为192.165.0.100到192.165.0.200的IPv4范围地址对象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network range 192.165.0.100 192.165.0.200
# 配置引用ipgroup2对象组的地址对象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network group-object ipgroup2
# 配置地址为192.168.x.1的不连续地址(通配符地址)对象,x表示的地址内容可变。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network subnet 192.168.0.1 wildcard 0.0.255.0
# 配置引用用户名为user1,身份识别域为domain1的用户。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network user user1 domain domain1
# 配置引用用户组名为usergroup1,身份识别域为domain1的用户组。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network user-group usergroup1 domain domain1
network命令用来创建一个IPv6地址对象。
undo network命令用来删除指定的IPv6地址对象。
【命令】
[ object-id ] network { host { address ipv6-address | name host-name [ vpn-instance vpn-instance-name ] } | subnet ipv6-address prefix-length | range ipv6-address ipv6-address2 | group-object object-group-name | user user-name [ domain domain-name ] | user-group user-group-name [ domain domain-name ] }
undo network { host { address ipv6-address | name host-name [ vpn-instance vpn-instance-name ] } | subnet ipv6-address prefix-length | range ipv6-address1 ipv6-address2 | group-object object-group-name | user user-name [ domain domain-name ] | user-group user-group-name [ domain domain-name ] }
undo object-id
【缺省情况】
不存在IPv6地址对象。
【视图】
IPv6地址对象组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
object-id:指定对象ID,取值范围为0~4294967294。若未指定本参数,系统将按照步长10从0开始,自动分配一个大于现有最大ID的最小ID。譬如现有对象的最大ID为22,那么自动分配的新ID将是30。
host:指定主机IPv6地址或主机名称。
address ipv6-address:指定主机IPv6地址。
name host-name:指定主机名称。host-name表示主机名称,为1~60字符,不区分大小写。支持模糊匹配主机名称,输入方式为*abc*或者*abc或者abc*,三种方式均表示主机名中包含指定的字符串即可。主机名称中间不能带“*”号。若输入的主机名中不存在“*”号,则表示精确匹配所配置的主机名。
vpn-instance vpn-instance-name:指定主机所属的VPN。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定此参数,则表示指定公网的主机名称。
subnet ipv6-address prefix-length:指定子网IPv6地址。prefix-length:指定IPv6地址的前缀长度,取值范围为1~128。
range ipv6-address1 ipv6-address2:指定范围IPv6地址。ipv6-address1表示范围起始IPv6地址。ipv6-address2表示范围结束IPv6地址。
group-object object-group-name:指定引用IPv6地址对象组。object-group-name表示IPv6地址对象组名称,为1~63字符,不区分大小写。
user user-name:指定用户名称,为1~55字符,区分大小写。
user-group user-group-name:指定用户组名称,为1~32字符,不区分大小写。
domain domain-name:表示用户和用户组所属的身份识别域。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括字符“?”。若不指定此参数,则表示用户和用户组不属于任何身份识别域。
【使用指导】
创建对象时指定ID,如果指定ID的对象不存在,则创建一条新的对象;如果指定ID的对象已存在,则对原对象进行修改。
新创建或修改的对象不能与已有对象的内容完全相同,否则该命令执行失败,并提示出错。
在配置subnet参数时,如果指定掩码长度为128,则该配置被视为主机地址对象配置。
在配置range参数时,需要注意的是:
· 如果指定的ipv6-address1和ipv6-address2相同,则该配置被视为主机地址对象配置。
· 如果指定的ipv6-address1和ipv6-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址对象配置。
· 如果指定的ipv6-address1比ipv6-address2大,会自动调整范围为[ ipv6-address2, ipv6-address1 ]。
在配置group-object参数时,需要注意的是:
· 如果指定名称的对象组不存在,则系统会创建此名称的IPv6地址对象组。
· 如果指定名称的对象组存在,则对象组类型必须为IPv6地址对象组。
· 引用的IPv6地址对象组不能形成循环,譬如IPv6地址对象组a引用IPv6地址对象组b,则IPv6地址对象组b不能再引用IPv6地址对象组a。
· 引用的IPv6地址对象组最大嵌套层次为5层,譬如IPv6地址对象组1、2、3、4分别引用IPv6地址对象组2、3、4、5,则IPv6地址对象组5不能再引用其他IPv6地址对象组,IPv6地址对象组1也不能再被其他IPv6地址对象组引用。
【举例】
# 配置地址为1::1的IPv6主机地址对象。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network host address 1::1
# 配置匹配主机名称为pc3的IPv6主机地址对象。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network host name pc3
# 配置模糊匹配主机名称为abc的IPv6主机地址对象。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group1
[Sysname-obj-grp-ipv6-ipv6group1] network host name *abc*
# 配置地址为1:1:1::1,前缀长度为24的IPv6子网地址对象。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network subnet 1:1:1::1 24
# 配置地址范围为1:1:1::1到1:1:1::100 的IPv6范围地址对象。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network range 1:1:1::1 1:1:1::100
# 配置引用ipv6group2对象组的地址对象。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network group-object ipv6group2
# 配置引用用户名为user1,身份识别域为domain1的用户。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network user user1 domain domain1
# 配置引用用户组名为usergroup1,身份识别域为domain1的用户组。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network user-group usergroup1 domain domain1
network exclude命令用来配置地址对象中排除的IPv4地址。
undo network exclude命令用来恢复缺省情况。
【命令】
object-id network exclude ip-address
undo object-id network exclude ip-address
【缺省情况】
地址对象中不存在排除的IPv4地址。
【视图】
IPv4地址对象组
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
object-id:指定对象ID,取值范围为0~4294967294,此对象ID必须已存在。
ip-address:表示地址对象中排除的IPv4地址。
【使用指导】
多次执行本命令,可在某个地址对象中排除多个IPv4地址,但之间不允许存在重叠,否则无法配置成功。
【举例】
# 配置地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址对象,并配置此地址对象排除的IPv4地址为192.166.0.10。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] 10 network subnet 192.166.0.0 255.255.0.0
[Sysname-obj-grp-ip-ipgroup] 10 network exclude 192.166.0.10
network exclude命令用来配置地址对象中排除的IPv6地址。
undo network exclude命令用来恢复缺省情况。
【命令】
object-id network exclude ipv6-address
undo object-id network exclude ipv6-address
【缺省情况】
地址对象中不存在排除的IPv6地址。
【视图】
IPv6地址对象组
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
object-id:指定对象ID,取值范围为0~4294967294,此对象ID必须已存在。
ipv6-address:表示地址对象中排除的IPv6地址。
【使用指导】
多次执行本命令,可在某个地址对象中排除多个IPv6地址,但之间不允许存在重叠,否则无法配置成功。
【举例】
# 配置地址为1:1:1::1,前缀长度为24的IPv6子网地址对象,并配置此地址对象排除的IPv6地址为1:1:1::10。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] 10 network subnet 1:1:1::1 24
[Sysname-obj-grp-ipv6-ipv6group] 10 network exclude 1:1:1::10
object description命令用来配置对象的描述信息。
undo object description命令用来恢复缺省情况。
【命令】
object object-id description text
undo object object-id description
【缺省情况】
对象未配置任何描述信息。
【视图】
对象组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
object-id:指定对象ID,取值范围为0~4294967294,此对象ID必须已存在。
text:表示对象的描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 配置对象0的描述信息为“This is a description for object 0”。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] 0 network host address 1.2.3.4
[Sysname-obj-grp-ip-ipgroup] object 0 description This is a description for object 0
【相关命令】
object-group命令用来创建一个对象组,并进入对象组视图。如果指定的对象组已经存在且类型一致,则直接进入对象组视图。
undo object-group命令用来删除指定的对象组。
【命令】
object-group { { ip | ipv6 } { address | address-yundi } | mac-address | port | service | service-yundi } object-group-name
undo object-group { { ip | ipv6 } { address | address-yundi } | mac-address | port | service | service-yundi } object-group-name
【缺省情况】
存在系统默认对象组。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ip address:指定对象组类型为IP地址对象组。
ipv6 address:指定对象组类型为IPv6地址对象组。
ip address-yundi:指定对象组类型为云堤场景IPv4地址对象组。
ipv6 address-yundi:指定对象组类型为云堤场景IPv6地址对象组。
mac-address:指定对象组类型为MAC地址对象组。
service:指定对象组类型为服务对象组。
service-yundi:指定对象组类型为云堤场景服务对象组。
object-group-name:对象组的名称,为1~63个字符的字符串,不区分大小写,且对象组的名称必须全局唯一。
【使用指导】
在配置object-group命令时,需要注意的是:
· 如果指定名称的对象组不存在,则创建对象组并进入其视图。
· 如果指定名称的对象组存在但类型不一致,命令执行失败,并提示出错。
在配置undo object-group命令时,需要注意的是:
· 如果指定名称的对象组不存在,处理结束。
· 如果指定名称的对象组存在但类型不一致,则命令执行失败,并提示出错。
· 要删除的对象组被ACL、对象策略或者其他对象组引用,命令执行失败,并提示出错。
· 系统默认对象组不能被删除。
云堤场景类型的对象组仅可引用其他已创建的对象组,不可创建对象。
【举例】
# 配置名称为ipgroup的IP地址对象组。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
# 配置名称为ipv6group的IPv6地址对象组。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
# 创建名称为groupmac的MAC地址对象组。
<Sysname> system-view
[Sysname] object-group mac-address groupmac
# 配置名称为servicegroup的服务对象组。
<Sysname> system-view
[Sysname] object-group service servicegroup
object-group dns-aging命令用来开启主机名对应IP地址的老化功能。
undo object-group dns-aging命令用来关闭主机名对应IP地址的老化功能。
【命令】
object-group dns-aging [ time aging-time ]
undo object-group dns-aging
【缺省情况】
主机名对应IP地址的老化功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
time aging-time:主机名对应IP地址的老化时间,取值范围为1~70000000,单位为分钟,缺省值为120。
【使用指导】
非缺省vSystem不支持本命令。
在同一主机名对应多个IP地址的负载均衡场景中,DNS解析主机名获得的IP地址会在多个IP地址之间进行不断切换。缺省情况下,每次切换,对象组模块都会通告相关策略(如安全策略)变更IP地址,会造成相关策略频繁提交加速,大量耗费设备内存,此时可通过开启主机名对应IP地址的老化功能解决此问题。
开启该功能后,对象组针对每个主机名维护一个IP地址组。当通过DNS解析该主机名获得的IP地址不在该组内,会将新的IP地址添加至组内,并将该组新的IP地址范围告知相关策略;当获得的IP地址在该组内,则不会告知相关策略,并更新该IP地址的老化时间。若组内某个IP地址达到老化时间,则会将其从组内删除,并告知相关策略。从而减少相关策略加速次数,降低设备内存占用。
建议所配置主机名对应IP地址的老化时间大于DNS服务器上配置的解析记录生存时间(TTL)。
【举例】
# 配置主机名对应IP地址的老化时间为5分钟。
<Sysname> system-view
[Sysname] object-group dns-aging
[Sysname] object-group dns-aging time 5
# 配置名称为ipyundi的云堤场景IP地址对象组。
<Sysname> system-view
[Sysname] object-group ip address-yundi ipyundi
#配置名称为ipv6yundi的云堤场景IPv6地址对象组。
<Sysname> system-view
[Sysname] object-group ipv6 address-yundi ipv6yundi
# 配置名称为serviceyundi的云堤场景服务对象组。
<Sysname> system-view
[Sysname] object-group service-yundi serviceyundi
object-group rename命令用来重命名对象组。
【命令】
object-group rename old-object-group-name new-object-group-name
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
old-object-group-name:被重命名对象组的名称,为1~63个字符的字符串,不区分大小写。
new-object-group-name:重命名后的对象组名称,为1~63个字符的字符串,不区分大小写,且对象组的名称必须全局唯一。
【使用指导】
只能对用户创建的对象组进行重命名,系统缺省的对象组不能被重命名。
【举例】
# 重命名IPv4地址对象组ipgroup1的名称为ipgroup2。
<Sysname> system-view
[Sysname] object-group rename ipgroup1 ipgroup2
【相关命令】
· object-group
security-zone命令用来配置地址对象组所属的安全域。
undo security-zone命令用来恢复缺省情况。
【命令】
security-zone security-zone-name
【缺省情况】
未配置地址对象组所属的安全域。
【视图】
IPv4地址对象组
IPv6地址对象组
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
security-zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”,不能是字符串“any”。
【使用指导】
将地址对象组加入安全域后,在使用Web方式配置安全策略的源/目的IP地址过滤条件时,只能从属于此次安全域和不属于任何安全域的地址对象组中选取,可达到快速选择地址对象组的目的。
一个对象组只能属于一个安全域。
【举例】
# 配置IPv4地址对象组1所属的安全域为Local。
<Sysname> system-view
[Sysname] object-group ip address 1
[Sysname-obj-grp-ip-1] security-zone Local
【相关命令】
· object-group
service命令用来创建一个服务对象。
undo service命令用来删除指定的服务对象。
【命令】
[ object-id ] service { protocol [ { source { { eq | lt | gt } port | range port1 port2 } | destination { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ] | group-object object-group-name }
undo service { protocol [ { source { { eq | lt | gt } port | range port1 port2 } | destination { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ] | group-object object-group-name }
undo object-id
【缺省情况】
不存在服务对象。
【视图】
服务对象组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
object-id:指定对象ID,取值范围为0~4294967294。若未指定本参数,系统将按照步长10从0开始,自动分配一个大于现有最大ID的最小ID。譬如现有对象的最大ID为22,那么自动分配的新ID将是30。
protocol:协议类型,可输入的形式如下:
· 数字:取值范围为0~255;
· 名称:可选取tcp(6)、udp(17)、sctp(132)、icmp(1)或icmpv6(58)。
source:指定源端口。只在protocol为tcp、udp或sctp时有效。
destination:指定目的端口。只在protocol为tcp、udp或sctp时有效。
eq:等于指定的端口号。
lt:小于指定的端口号。
gt:大于指定的端口号。
port:指定端口号,取值范围为0~65535。
range port1 port2:在指定的两个端口号范围内。port1表示端口号1,取值范围为0~65535。port2表示端口号2,取值范围为0~65535。
icmp-type:ICMP消息类型,取值范围为0~255,只在protocol为icmp时有效。
icmp-code:ICMP消息码,取值范围为0~255。
icmpv6-type:ICMPv6消息类型,取值范围为0~255,只在protocol为icmpv6时有效。
icmpv6-code:ICMPv6消息码,取值范围为0~255。
group-object:指定引用服务对象组。object-group-name表示服务对象组名称,为1~63字符,不区分大小写。
【使用指导】
创建对象时指定ID,如果指定ID的对象不存在,则创建一条新的对象;如果指定ID的对象已存在,则对旧对象进行修改。
新创建或修改的对象不能与已有对象的内容完全相同,否则该命令执行失败,并提示出错。
在配置lt参数时,需要注意的是:
· 不能指定port为0。
· 如果指定port为1,则该配置被视为eq 0。
· 如果指定port为2~65535,则实际生效的端口号为[ 0, port-1 ]。
在配置gt参数时,需要注意的是:
· 不能指定port为65535。
· 如果指定port为65534,该配置被视为eq 65535。
· 如果指定port为0~65533,则实际生效的端口号为[ port+1, 65535 ]。
在配置range参数时,需要注意的是:
· 如果指定的port1和port2相同,则该配置被视为等于指定的端口号。
· 如果指定port1为0,则该配置被视为lt配置,譬如配置range 0 999,被视为lt 1000。
· 如果指定port2为65535,则该配置被视为gt配置,譬如配置range 50001 65535,被视为gt 50000。
· 如果指定的port1比port2大,会自动调整范围为[ port2, port1 ]。
在配置group-object参数时,需要注意的是:
· 如果指定名称的对象组不存在,则系统会创建此名称的服务对象组。
· 如果指定名称的对象组存在,则对象组类型必须为服务对象组。
· 引用的服务对象组不能形成循环,譬如服务对象组a引用服务对象组b,则服务对象组b不能再引用服务对象组a。
· 引用的服务对象组最大嵌套层次为5层,譬如服务对象组1、2、3、4分别引用服务对象组2、3、4、5,则服务对象组5不能再引用其他服务对象组,服务对象组1也不能再被其他服务对象组引用。
【举例】
# 配置协议号等于100的服务对象。
<Sysname> system-view
[Sysname] object-group service servicegroup
[Sysname-obj-grp-service-servicegroup] service 100
# 配置指定源端口和目的端口的tcp协议报文的服务对象。
<Sysname> system-view
[Sysname] object-group service servicegroup
[Sysname-obj-grp-service-servicegroup] service tcp source eq 100 destination range 10 100
# 配置icmp协议的服务对象。
<Sysname> system-view
[Sysname] object-group service servicegroup
[Sysname-obj-grp-service-servicegroup] service icmp 100 150
# 配置引用servicegroup2对象组的服务对象。
<Sysname> system-view
[Sysname] object-group service servicegroup
[Sysname-obj-grp-service-servicegroup] service group-object servicegroup2
yundi alias命令用来配置云堤组网场景对象组的别名和所属租户的ID。
undo yundi alias命令用来恢复缺省情况。
【命令】
yundi alias alias tenant tenant-id
undo yundi alias alias tenant tenant-id
【缺省情况】
不存在对象组所属租户的ID和别名。
【视图】
对象组视图。
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
alias:表示对象组的别名,为1~63个字符的字符串,不区分大小写。
tenant tenant-id:表示对象组所属租户的ID,为1~63个字符的字符串,不区分大小写。
【使用指导】
在云堤组网场景中,租户在控制器上创建对象组,然后由控制器向设备下发配置。别名和租户ID分别用于标识租户创建对象组时指定的名称和该租户的ID,通常由控制器下发,因此不建议在设备上手工设置本功能。
【举例】
# 为IPv4地址对象组ipgroup配置别名和租户ID分别为alias1和tenant1。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] yundi alias alias1 tenant tenant1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
