我有一个类型为“tcp-udp”的服务对象组。在基于此创建 ACL 时,我没有“tcp-udp”类型的选项。我试图弄清楚 tcp-udp 组的意义是什么,如果在一天结束时您仍然必须制作两个 ACL,一个用于 tcp,一个用于 udp。有没有办法为这种性质的组创建一个 ACL .. 例如:
access-list crypto_1 extended permit ip any any object-group APP_tcp_udp_group
如何在单个 ACL 中使用 tcp-udp 对象?
网络工程
思科
思科
防火墙
ACL
2021-07-03 05:09:43
1个回答
如果您使用 Cisco PIX 6.2(2) 及更高版本或 ASA 7.0 及更高版本作为防火墙,您可以执行以下操作:
创建一个对象组服务,但不要在命名后指定 tcp-udp。
按 Enter 键后,您将能够使用 service-object 命令来定义所需的 udp、tcp 或 tcp-udp 端口,以及它是源端口还是目标端口。
然后,您可以在创建 ACL 时在 permit/deny 命令之后使用该对象组。
这是我在实验室中的设置:
object-group service LabTest
service-object udp destination eq domain
service-object tcp-udp destination eq www
access-list TestACL extended permit object-group LabTest any any
当您执行“show access-list TestACL”时,将显示以下内容:
access-list TestACL line 1 extended permit object-group LabTest any any (hitcnt=0)
access-list TestACL line 1 extended permit udp any any eq domain (hitcnt=0)
access-list TestACL line 1 extended permit tcp any any eq www (hitcnt=0)
access-list TestACL line 1 extended permit udp any any eq www (hitcnt=0)
由于我的目标 www 服务对象是 tcp-udp,它在我的 ACL 中创建了 2 行。
我使用以下链接来帮助创建我的实验室: 使用和配置 PIX/ASA/FWSM 对象组
其它你可能感兴趣的问题