Команда object-group service позволяет задать группу сервисов.
No-форма этой команды удаляет ранее созданную группу.
Синтаксис object-group service name no object-group service name |
|
name |
имя группы сервисов. |
Значение по умолчанию |
отсутствует |
Режимы команды |
Global configuration |
Рекомендации по использованию |
Команда object-group service name задает группу сервисов. Далее перечисляются записи следующего формата: • Сначала задается протокол в одном из следующих видов: • Весь IP-трафик: ip • Номер протокола в виде числа от 0 до 255 • Если для протокола присутствует текстовое обозначение (см. ниже), по show running-config будет выдано именно оно. Текстовое обозначение. Аналогично имени и номеру протокола для списков доступа (см. Таблица 11). Специальное обозначение для протоколов, которые работают как поверх TCP, так и поверх UDP - tcp-udp. Для протоколов udp, tcp и специального обозначения tcp-udp опционально могут задаваться порты-источники и порты-приемники. Номер порта допустимо задавать как в виде числа в диапазоне от 0 до 65535, так и в текстовом обозначении (аналогично именам портов TCP и UDP для списков доступа (см.Таблица 12, Таблица 13). Если есть возможность, по show running-config будет выдано текстовое имя порта. Если присутствует порт-источник, то сначала пишется слово source. После этого следует один из следующих вариантов: • Слово eq, обозначающее точное равенство с последующим номером порта. • Слово gt, обозначающее диапазон портов, больший, чем последующий номер порта. • Слово lt, обозначающее диапазон портов, меньший, чем последующий номер порта. • Слово range, после которого пишется диапазон портов. • Если сначала задать порт с большим номером, порты автоматически поменяются местами. • Если задать запись: range 0 65535, она проигнорируется. • Если задать два одинаковых порта, запись автоматически преобразуется в eq. • Если задать диапазон от 0, данная запись автоматически преобразуется в lt. Например: tcp source range 0 1000 преобразуется в tcp source lt 1001. • Если задать диапазон до 65535, данная запись автоматически преобразуется в gt. Например: udp source range 2000 65535 преобразуется в udp source gt 1999. • Допускается сразу задавать номер или обозначение порта. Эта запись эквивалентна записи, начинающейся со слова eq. По show running-config будет выдано слово eq. • Если присутствует порт-приемник, он далее пишется без дополнительных слов. • Если присутствует как порт-источник, так и порт-приемник, порт-источник (с пометкой source) должен быть описан обязательно до порта-приемника. • Может присутствовать ссылка на другую группу сервисов: group-object <name>. • Если группа сервисов с данным именем отсутствует, будет выдано сообщение об ошибке: Object group <name> is not configured • Если данное имя принадлежит группе объектов сети, будет выдано сообщение об ошибке: Object group type mismatch • Если сослаться на данную группу либо на группу, которая прямо или косвенно ссылается на данную группу, будет выдано сообщение об ошибке: Circular object group is not allowed
• Описание группы сервисов: description <line>, где <line> - произвольная строка описания. Примеры записей: object-group service srv1 tcp-udp source range 2000 3000 eq 4000 tcp source 1234 udp gt 40000 ahp esp group-object srv2 • Если при создании группы сервисов под этим именем уже существует группа объектов сети, то будет выдано сообщение об ошибке: Policy group : <name> already exists of type : network • Удаление группы сервисов выполняется командой: no object-group service <name>. • Если группы с таким именем не существует, будет выдано сообщение: Object group(<name>) not exist • Если <name> принадлежит группе объектов сети, будет выдано сообщение об ошибке: Object group type mismatch • До удаления группы необходимо удалить все ссылки на нее. В противном случае будет выдано сообщение вида: Object group(<name>) is in use |