登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

10-安全命令参考

目录

16-对象组命令

本章节下载 16-对象组命令  (116.38 KB)

16-对象组命令

  录

1 对象组

1.1 对象组配置命令

1.1.1 description

1.1.2 display object-group

1.1.3 network (IPv4 address object group view)

1.1.4 network (IPv6 address object group view)

1.1.5 object-group

1.1.6 port (port object group view)

 

1 对象组

1.1  对象组配置命令

1.1.1  description

description命令用来配置对象组的描述信息。

undo description命令用来删除对象组的描述信息。

【命令】

description text

undo description

【缺省情况】

对象组没有任何描述信息。

【视图】

对象组视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

text:表示对象组的描述信息,为1~127个字符的字符串,区分大小写。

【使用指导】

【举例】

# 为IP地址对象组配置描述信息。

<Sysname> system-view

[Sysname] object-group ip address ipgroup

[Sysname-obj-grp-ip-ipgroup] description This is an IPv4 object-group

1.1.2  display object-group

display object-group命令用来显示对象组的内容。

【命令】

display object-group [ { { ip | ipv6 } address | port } [ default ] [ name object-group-name ] | name object-group-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

ip address:指定对象组类型为IPv4地址对象组。

ipv6 address:指定对象组类型为IPv6地址对象组。

port:指定对象组类型为端口对象组。

default:指定默认对象组。

name:指定对象组名称。

object-group-name:对象组的名称,为1~31个字符的字符串,不区分大小写。

【举例】

# 显示所有对象组。

<Sysname> display object-group

IP address object group obj1: 0 object(in use)

 

IP address object group obj2: 3 objects(out of use)

0 network host address 1.1.1.1

10 network host name host

20 network subnet 1.1.1.1 255.255.255.0

 

Ipv6 address object-group obj3: 0 object(in use)

 

Ipv6 address object-group obj4: 3 objects(out of use)

0 network host address 1::1:1

10 network host name host

20 network subnet 1::1:0 112

 

Port object-group obj5: 0 object(in use)

 

Port object-group obj6: 3 objects(out of use)

0 port lt 20

10 port range 20 30

# 显示名字为obj2的对象组。

<Sysname> display object-group name obj2

Ip address object-group obj2: 3 objects(out of use)

0 network host address 1.1.1.1

10 network host name host

20 network subnet 1.1.1.1 255.255.255.0

# 显示所有IPv4地址对象组。

<Sysname> display object-group ip address

Ip address object-group obj1: 0 object(in use)

 

Ip address object-group obj2: 3 objects(out of use)

0 network host address 1.1.1.1

10 network host name host

20 network subnet 1.1.1.1 255.255.255.0

# 显示名字为obj4的IPv6地址对象组。

<Sysname> display object-group ipv6 address name obj4

Ipv6 address object-group obj4: 3 objects(out of use)

0 network host address 1::1:1

10 network host name host

20 network subnet 1::1:0 112

表1-1 display object-group命令显示信息描述表

字段

描述

in use

表明此对象组被引用

out of use

表明此对象组没有被引用

 

1.1.3  network (IPv4 address object group view)

network命令用来创建一个IPv4地址对象。

undo network命令用来删除指定的IPv4地址对象。

【命令】

[ object-id ] network { host { address ip-address | name host-name } | subnet ip-address { mask-length | mask } }

undo network { host { address ip-address | name host-name } | subnet ip-address { mask-length | mask } }

undo object-id

【缺省情况】

没有配置IPv4地址对象。

【视图】

IPv4地址对象组视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

object-id:指定对象ID,取值范围为0~4294967294。若未指定本参数,系统将按照步长10从0开始,自动分配一个大于现有最大ID的最小ID。譬如现有对象的最大ID为22,那么自动分配的新ID将是30。

host:指定主机IPv4地址或主机名称。

address ip-address:指定主机IPv4地址。

name host-name:指定主机名称。host-name表示主机名称,为1~60字符,不区分大小写。

subnet ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,即掩码中连续“1”的个数,取值范围为0~32。mask表示接口IP地址相应的子网掩码,为点分十进制格式。

【使用指导】

·     使用subnet关键字,如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址对象配置。

·     创建对象时指定ID,如果指定ID的对象不存在,则创建一条新的对象;如果指定ID的对象已存在,则对原对象进行修改。

·     新创建或修改的对象不能与已有对象的内容完全相同,否则该命令执行失败,并提示出错。

【举例】

# 配置地址为192.168.0.1的IPv4主机地址对象。

<Sysname> system-view

[Sysname] object-group ip address ipgroup

[Sysname-obj-grp-ip-ipgroup] network host address 192.168.0.1

# 配置名字为pc3的IPv4主机地址对象。

<Sysname> system-view

[Sysname] object-group ip address ipgroup

[Sysname-obj-grp-ip-ipgroup] network host name pc3

# 配置地址为192.167.0.0,掩码长度为24的IPv4子网地址对象。

<Sysname> system-view

[Sysname] object-group ip address ipgroup

[Sysname-obj-grp-ip-ipgroup] network subnet 192.167.0.0 24

# 配置地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址对象。

<Sysname> system-view

[Sysname] object-group ip address ipgroup

[Sysname-obj-grp-ip-ipgroup] network subnet 192.166.0.0 255.255.0.0

1.1.4  network (IPv6 address object group view)

network命令用来创建一个IPv6地址对象。

undo network命令用来删除指定的IPv6地址对象。

【命令】

[ object-id ] network { host { address ipv6-address | name host-name } | subnet ipv6-address prefix-length }

undo network { host { address ipv6-address | name host-name } | subnet ipv6-address prefix-length }

undo object-id

【缺省情况】

没有配置IPv6地址对象。

【视图】

IPv6地址对象组视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

object-id:指定对象ID,取值范围为0~4294967294。若未指定本参数,系统将按照步长10从0开始,自动分配一个大于现有最大ID的最小ID。譬如现有对象的最大ID为22,那么自动分配的新ID将是30。

host:指定主机IPv6地址或主机名称。

address ipv6-address:指定主机IPv6地址。

name host-name:指定主机名称。host-name表示主机名称,为1~60字符,不区分大小写。

subnet ipv6-address prefix-length:指定子网IPv6地址。prefix-length:指定IPv6地址的前缀长度,取值范围为1~128。

【使用指导】

·     使用subnet命令,如果指定掩码长度为128,则该配置被视为主机地址对象配置。

·     创建对象时指定ID,如果指定ID的对象不存在,则创建一条新的对象;如果指定ID的对象已存在,则对原对象进行修改。

·     新创建或修改的对象不能与已有对象的内容完全相同,否则该命令执行失败,并提示出错。

【举例】

# 配置地址为1::1的IPv6主机地址对象。

<Sysname> system-view

[Sysname] object-group ipv6 address ipv6group

[Sysname-obj-grp-ipv6-ipv6group] network host address 1::1

# 配置名字为pc3的IPv6主机地址对象。

<Sysname> system-view

[Sysname] object-group ipv6 address ipv6group

[Sysname-obj-grp-ipv6-ipv6group] network host name pc3

# 配置地址为1:1:1::1,前缀长度为24的IPv6子网地址对象。

<Sysname> system-view

[Sysname] object-group ipv6 address ipv6group

[Sysname-obj-grp-ipv6-ip v6group] network subnet 1:1:1::1 24

1.1.5  object-group

object-group命令用来创建一个对象组,并进入对象组视图。

undo object-group命令用来删除指定的对象组。

【命令】

object-group { { ip | ipv6 } address | port } object-group-name

undo object-group { { ip | ipv6 } address | port } object-group-name

【缺省情况】

每种对象组都有一个名称为any默认对象组

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ip address:指定对象组类型为IP地址对象组。

ipv6 address:指定对象组类型为IPv6地址对象组。

port:指定对象组类型为端口对象组。

object-group-name:对象组的名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

·     使用object-group命令时,如果指定名字的对象组不存在,则创建对象组并进入其视图;如果指定名字的对象组存在且类型一致,则直接进入其视图;如果指定名字的对象组存在但类型不一致,命令执行失败,并提示出错。

·     使用undo object-group命令时,如果指定名字的对象组不存在,处理结束。如果指定名字的对象组存在但类型不一致,则命令执行失败,并提示出错。

·     要删除的对象组被ACL引用,命令执行失败,并提示出错。

·     系统默认对象组不能被删除。

【举例】

# 配置名称为ipgroup的IP地址对象组。

<Sysname> system-view

[Sysname] object-group ip address ipgroup

# 配置名称为ipv6group的IPv6地址对象组。

<Sysname> system-view

[Sysname] object-group ipv6 address ipv6group

# 配置名称为portgroup的端口对象组。

<Sysname> system-view

[Sysname] object-group port portgroup

1.1.6  port (port object group view)

port命令用来创建一个端口对象。

undo port命令用来删除指定的端口对象。

【命令】

[ object-id ] port { { eq | lt | gt } port | range port1 port2 }

undo port { { eq | lt | gt } port | range port1 port2 }

undo object-id

【缺省情况】

没有配置端口对象。

【视图】

端口对象组视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

object-id:指定对象ID,取值范围为0~4294967294。若未指定本参数,系统将按照步长10从0开始,自动分配一个大于现有最大ID的最小ID。譬如现有对象的最大ID为22,那么自动分配的新ID将是30。

eq:等于指定的端口号。

lt:小于指定的端口号。

gt:大于指定的端口号。

port:指定端口号,取值范围为0~65535。

range port1 port2:指定端口在两个端口号范围内。port1表示起始端口号,取值范围为0~65535。port2表示结束端口号,取值范围为0~65535,只在指定range参数时有效,和port1没有大小关系。

【使用指导】

·     使用lt命令,不能指定port为0;如果指定port为1,则该配置被视为eq 0。

·     使用gt命令,不能指定port为65535;如果指定port为65534,该配置被视为eq 65535。

·     使用range命令,如果指定的port1port2相同,则该配置被视为等于指定的端口号。如果指定port1为0,则该配置被视为lt配置,譬如配置range 0 999,被视为lt 1000;如果指定port2为65535,则该配置被视为gt配置,譬如配置range 50001 65535,被视为gt 50000。

·     如果指定的port1port2大,会自动调整范围为[ port2, port1 ]。

·     创建对象时指定ID,如果指定ID的对象不存在,则创建一条新的对象;如果指定ID的对象已存在,则对旧对象进行修改。

·     新创建或修改的对象不能与已有对象的内容完全相同,否则该命令执行失败,并提示出错。

【举例】

# 配置端口号等于100的端口对象。

<Sysname> system-view

[Sysname] object-group port portgroup

[Sysname-obj-grp-port-portgroup] port eq 100

# 配置端口号小于20的端口对象。

<Sysname> system-view

[Sysname] object-group port portgroup

[Sysname-obj-grp-port-portgroup] port lt 20

# 配置端口号大于60000的端口对象。

<Sysname> system-view

[Sysname] object-group port portgroup

[Sysname-obj-grp-port-portgroup] port gt 60000

# 配置端口号范围为1000到2000的端口对象。

<Sysname> system-view

[Sysname] object-group port portgroup

[Sysname-obj-grp-port-portgroup] port range 1000 2000

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们