如何在不覆盖现有成员的情况下将主机添加到 ASA 中现有的对象组?请建议
例如:
对象组 TEST 有 2 个成员,我想再向 TEST 添加一台主机(192.168.10.10),下面是添加一台主机还是用新主机替换现有的 2 台主机
ASA (config)#object-group network TEST
ASA (config-network)#network-object host 192.168.10.10
ASA (config-network)# exit
如何将主机添加到 ASA 中现有的对象组
网络工程
思科
2021-07-18 03:36:17
4个回答
这种类型的对象组称为网络对象组,因此要创建一个包含三个管理员 IP 地址的网络组,例如,输入以下命令:
hostname (config)# object-group network admins
hostname (config-protocol)# description Administrator Addresses
hostname (config-protocol)# network-object host 10.1.1.4
hostname (config-protocol)# network-object host 10.1.1.78
hostname (config-protocol)# network-object host 10.1.1.34
将任何条目添加到同一个退出对象组没有问题,它不会删除任何现有条目
顺便说一下,ASDM将在这样的防火墙配置中发挥作用,并将为您提供更好的可见性。
您的示例是将主机添加到对象组。这不会删除任何现有条目。要删除主机,您需要执行以下操作:
object-group network TEST
no network-object <object-to-be-removed>
Java 7 版本 45 和 63 使用 asdm 为我工作,将您的 Java 安全设置降低到中等并将 ASA 的 IP/主机名列入白名单。
指定对象组,然后添加网络对象主机,后跟所需的 IP。
这两个链接几乎涵盖了您可能遇到的任何问题……祝您好运!
http://www.winsysadminblog.com/2016/01/log-asdm-cisco-asa-get-unable-launch-device-manager-error/
创建对象组的更好方法是完全采用面向对象的编程:
创建对象
object network test
host 1.1.1.1
object network test2
host 2.2.2.2
将对象添加到对象组
object-group network testing
network-object object test
在访问列表中使用对象组
access-list test_acl extended permit ip object test2 object-group testing
访问列表将如下所示:
ciscoasa# sh access-list test_acl
access-list test_acl; 1 elements; name hash: 0x71b1e4a4
access-list test_acl line 1 extended permit ip object test2 object-group testing (hitcnt=0) 0x4398ab6a
access-list testing line 1 extended permit ip host 2.2.2.2 host 1.1.1.1 (hitcnt=0) 0xf5676f24
如果您需要更改对象“test”的 ip,您只需在一个地方更改它,而不是挖掘对象组
添加其他对象很容易,只需使用上述相同步骤创建另一个对象并将其添加到组中。
ciscoasa(config)# object network test4
ciscoasa(config-network-object)# host 3.3.3.3
ciscoasa(config-network-object)# object-group network testing
ciscoasa(config-network-object-group)# network-object object test4
ciscoasa(config-network-object-group)# end
ciscoasa# sh access-list test_acl
access-list test_acl; 2 elements; name hash: 0x71b1e4a4
access-list test_acl line 1 extended permit ip object test2 object-group testing (hitcnt=0) 0x4398ab6a
access-list test_acl line 1 extended permit ip host 2.2.2.2 host 1.1.1.1 (hitcnt=0) 0xf5676f24
access-list test_acl line 1 extended permit ip host 2.2.2.2 host 3.3.3.3 (hitcnt=0) 0x0be1c62a