antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 14 Февраль , 2010

Если в вашей сети есть много схожих объектов (например, сетей пользователей, серверов с одинаковым набором сервисов и т.д.), то при настройке списков доступа вы обязательно столкнетесь с тем, что они становятся трудночитаемыми и плохо расширяемыми. Для упрощения написания больших списков доступа на ASA применяются так называемые объектные группы (object group). При помощи них можно группировать схожие элементы сети (протоколы, сети, сервисы, сообщения icmp).

object-group network {NAME}
network-object host {ip}
network-object {NET} {MASK}
!
object-group service {NAME} {tcp|udp}
port-object {operator} {port}
!
object-group protocol {NAME}
protocol-object {PROTOCOL}
!
object-group icmp {NAME}
icmp-object {icmp type}

Пример:
object-group network SERVERS
network-object host 192.168.100.100
network-object host 192.168.100.101
network-object host 192.168.100.102
!
object-group service WEBTCP tcp
Port-object eq 80
Port-object eq 443
Port-object eq 1494

Сами объектные группы применяются вместо явного указания однотипного элемента в списке доступа. Например, вместо адресов источника или назначения можно применить объектную группу сетевого типа (object-group network), а вместо явного указания сервиса TCP (ssh, http) можно применить группу типа сервис ТСР.
Пример:
access-list FROMOUTSIDE permit tcp any object-group SERVERS object-group WEBTCP

При этом ASA все равно развернет ваши группы в списках доступа построчно, но при этом все строки списка с объектной группой будут иметь один и тот же номер строки.

asa# show access-list FROMOUTSIDE
access-list FROMOUTSIDE line 1 permit tcp any object-group SERVERS object-group WEBTCP
access-list FROMOUTSIDE line 1 permit tcp any host 192.168.100.100 eq 80 (hit 5)
access-list FROMOUTSIDE line 1 permit tcp any host 192.168.100.100 eq 443
access-list FROMOUTSIDE line 1 permit tcp any host 192.168.100.100 eq 1494
access-list FROMOUTSIDE line 1 permit tcp any host 192.168.100.101 eq 80 (hit 2)
[output omitted]

Заметьте, что количество совпадений (hit) будет при этом у каждой строки, а не только общее количество совпадений.
Посмотреть объектные группы можно командой

show run object-group [{тип}]

Предыдущая статья SNAF <<< >>> Следующая статья SNAF

 

Метки: , , ,
Опубликовано: Безопасность cisco

 

» Оставить комментарий

Вы должны войти чтобы прокомментировать.