Команда object-group network позволяет задать группу объектов сети. No-форма этой команды удаляет ранее созданную группу.
Синтаксис object-group network name no object-group network name |
|
name |
имя группы объектов сети. |
Значение по умолчанию |
отсутствует |
Режимы команды |
Global configuration |
Рекомендации по использованию |
Команда object-group network name задает группу объектов сети. Далее перечисляются записи одного из следующих форматов: • Вся сеть: any При указании any будут создаваться «широкие» SA (по всему адресному пространству). • Вся сеть. Задействовать механизм «узких» SA-ев (отдельный SA будет строиться для трафика до каждого хоста сети): each Имеет специальный смысл только при ссылке на данную группу в качестве адреса приемника списка доступа, связанного с записью криптокарты (команда match address). В других ситуациях (адрес источника списка доступа, связанного с криптокартой, фильтрация, классификация) не отличается от any. Значение, специфичное для cs_console. В Cisco IOS отсутствует. • Конкретный хост: host <host-ip> где <host-ip> - адрес хоста. Если ввести адрес, не соответствующий синтаксису IP-адреса, выдается сообщение об ошибке: % Bad host address • Подсеть: <ip> <mask> где <ip> - адрес подсети, <mask> - маска подсети (именно маска, а не wildcard как в списках доступа). Допускается один из двух вариантов задания маски: • Аналогично IP -адресу. Пример: 255.255.255.0 • В виде длины префикса. Начинается с прямого слэша (/). Пример: /24 • Обязателен пробел между IP-адресом и маской. Запись вида 192.168.10.0/24 не допускается. • По show running-config запись будет показана в первом варианте. Если задать адрес более узкий, чем маска, он будет скорректирован по маске. Пример: Введена подсеть: 192.168.10.14 /24 По show running-config будет выдано:192.168.10.0 255.255.255.0 Не допускается ввод «рваной» маски, например, 192.168.1.1 255.0.255.0. Будет выдано сообщение: Mask 255.0.255.0 is not supported Аналогичное сообщение будет выдано и при других нарушениях синтаксиса. Пример: Mask 255.255/255.255 is not supported Если ввести маску 0.0.0.0 (или /0), запись будет преобразована в any с выдачей сообщения: Mask 0.0.0.0 will be treated as any Если ввести маску 255.255.255.255 (или /32), запись будет преобразована в хост с выдачей сообщения: Mask 255.255.255.255 will be treated as host • Диапазон IP-адресов: range <ip1> <ip2> где <ip1> и <ip2> - краевые адреса диапазона. Если <ip1> больше <ip2>- адреса автоматически поменяются местами. Если <ip1> равен <ip2> данная запись будет преобразована в хост с выдачей сообщения: Equal ip addresses, consider as host Если задать команду: range 0.0.0.0 255.255.255.255, то данная запись будет преобразована в any с выдачей сообщения: Range 0.0.0.0 to 255.255.255.255 will be treated as any • Ссылка на другую группу объектов сети: group-object <name> • Если группа объектов сети с данным именем отсутствует, будет выдано сообщение об ошибке: Object group <name> is not configured • Если данное имя принадлежит группе сервисов, будет выдано сообщение об ошибке: Object group type mismatch • Если сослаться на данную группу либо на группу, которая прямо или косвенно ссылается на данную группу, будет выдано сообщение об ошибке: Circular object group is not allowed • Описание группы объектов сети: description <line> где <line> - произвольная строка описания. • Если присоздании группы объектов сети под этим именем уже существует группа сервисов, то будет выдано сообщение об ошибке: Policy group : <name> already exists of type : service • Удаление группы объектов сети выполняется командой no object-group network <name> • Если группы с таким именем не существует, будет выдано сообщение: Object group(<name>) not exist • Если <name> принадлежит группе сервисов, будет выдано сообщение об ошибке: Object group type mismatch • До удаления группы необходимо удалить все ссылки на нее. В противном случае будет выдано сообщение вида: Object group(<name>) is in use |