- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
24-对象组命令
本章节下载: 24-对象组命令 (231.24 KB)
目 录
1.1.3 display object-group host
1.1.4 display object-group kernel
1.1.5 network (IPv4 address object group view)
1.1.6 network (IPv6 address object group view)
1.1.9 port (port object group view)
description命令用来配置对象组的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
对象组未配置任何描述信息。
【视图】
对象组视图
【缺省用户角色】
network-admin
【参数】
text:表示对象组的描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 配置对象组的描述信息为“This is an IPv4 object-group”。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] description This is an IPv4 object-group
display object-group命令用来显示对象组的内容。
【命令】
display object-group [ ip address [ default ] [ name object-group-name ] | name object-group-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip address:指定对象组类型为IPv4地址对象组。
default:指定默认对象组。
name:指定对象组名称。
object-group-name:对象组的名称,为1~31个字符的字符串,不区分大小写。
【举例】
# 显示所有对象组。
<Sysname> display object-group
IP address object group obj1: 0 object(in use)
IP address object group obj2: 4 objects(out of use)
0 network host address 1.1.1.1
10 network host name host
20 network subnet 1.1.1.1 255.255.255.0
60 network host name host vpn-instance vpn1
# 显示名称为obj2的对象组。
<Sysname> display object-group name obj2
IP address object-group obj2: 4 objects(out of use)
0 network host address 1.1.1.1
10 network host name host
20 network subnet 1.1.1.1 255.255.255.0
50 network host name host vpn-instance vpn1
# 显示所有IPv4地址对象组。
<Sysname> display object-group ip address
IP address object-group obj1: 0 object(in use)
IP address object-group obj2: 4 objects(out of use)
0 network host address 1.1.1.1
10 network host name host
20 network subnet 1.1.1.1 255.255.255.0
50 network host name host vpn-instance vpn1
<Sysname> display object-group ipv6 address name obj4
IPv6 address object-group obj4: 5 objects(out of use)
0 network host address 1::1:1
10 network host name host
20 network subnet 1::1:0 112
表1-1 display object-group命令显示信息描述表
|
字段 |
描述 |
|
in use |
表明此对象组被引用,包括被ACL引用或被对象组嵌套引用 |
|
out of use |
表明此对象组没有被引用 |
display object-group host命令用来显示主机名对应IP地址的相关信息。
【命令】
display object-group { ip | ipv6 } host { object-group-name object-group-name | name host-name [ vpn-instance vpn-instance-name ] } * [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip:指定对象组类型为IPv4地址对象组。
ipv6:指定对象组类型为IPv6地址对象组。
object-group-name object-group-name:指定对象组的名称。为1~31个字符的字符串,不区分大小写。不指定该参数时,显示某一个对象组中指定主机名或排除主机名的对应IP地址。
name host-name:指定主机名称。host-name表示主机名称,为1~60字符,不区分大小写。不指定该参数时,显示指定对象组中所有主机名和排除主机名的对应IP地址。
vpn-instance vpn-instance-name:指定主机所属的VPN。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定此参数,则显示公网和所有VPN中主机名对应的IP地址。
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示所有成员设备。
【举例】
# 显示名称为group1的IPv4地址对象组中www.a.example.com主机名对应的地址。
<Sysname> display object-group ip host object-group-name group1 name www.a.example.com
Object group : group1
Object ID : 0
Host name : www.a.example.com
Updated at : 2019-05-20 11:04:24
IP addresses :
169.0.0.10
169.0.0.11
# 显示名称为group1的IPv6地址对象组中所有主机名和排除主机名对应的地址。
<Sysname> display object-group ipv6 host object-group-name group1
Object group : group1
Object ID : 0
Host name : www.a.example.com
Updated at : 2019-05-20 11:04:24
IP addresses :
169:0::0:10
169:0::0:11
Object ID : 10
Host name : www.b.example.com
Updated at : 2019-05-20 11:04:24
IP addresses :
169:0::0:11
169:0::0:12
表1-2 display object-group host命令显示信息描述表
|
字段 |
描述 |
|
Object group |
对象组的名称 |
|
Object ID |
对象的ID |
|
Host name |
主机的名称 |
|
Updated at |
最后一次更新该主机名对应IP地址的时间 |
|
IP addresses |
该主机名对应的IP地址 |
【相关命令】
· object-group
display object-group kernel命令用来显示内核主机名对应IP地址的相关信息。
【命令】
display object-group kernel { ip | ipv6 } host { object-group-name object-group-name | name host-name [ vpn-instance vpn-instance-name ] } * [ slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip:指定对象组类型为IPv4地址对象组。
ipv6:指定对象组类型为IPv6地址对象组。
object-group-name object-group-name:指定对象组的名称。为1~63个字符的字符串,不区分大小写。不指定该参数时,显示某一个对象组中指定主机名或排除主机名的对应IP地址。
name host-name:指定主机名称。host-name表示主机名称,为1~60字符,不区分大小写。不指定该参数时,显示指定对象组中所有主机名和排除主机名的对应IP地址。
vpn-instance vpn-instance-name:指定主机所属的VPN。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定此参数,则显示公网和所有VPN中主机名对应的IP地址。
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示所有成员设备。
【使用指导】
非缺省vSystem不支持本命令。
【举例】
# 显示名称为group1的IPv4地址对象组中a.example.com主机名对应的地址。
<Sysname> display object-group kernel ip host object-group-name group1 name a.example.com
Object group : group1
Object ID : 0
Host name : a.example.com
VPN instance : -
Updated at : 2019-05-20 11:04:24
IP addresses :
169.0.0.10
169.0.0.11
表1-3 display object-group kernel命令显示信息描述表
|
字段 |
描述 |
|
Object group |
对象组的名称 |
|
Object ID |
对象的ID |
|
Host name |
主机的名称 |
|
VPN instance |
主机所属的VPN |
|
Updated at |
最后一次更新该主机名对应IP地址的时间 |
|
IP addresses |
该主机名对应的IP地址 |
【相关命令】
· object-group
network命令用来创建一个IPv4地址对象。
undo network命令用来删除指定的IPv4地址对象。
【命令】
[ object-id ] network { host { address ip-address | name host-name [ vpn-instance vpn-instance-name ] } | subnet ip-address { mask-length | mask } | range ip-address1 ip-address2 }
undo network { host { address ip-address | name host-name [ vpn-instance vpn-instance-name ] } | subnet ip-address { mask-length | mask } | range ip-address1 ip-address2 }
undo object-id
【缺省情况】
不存在IPv4地址对象。
【视图】
IPv4地址对象组视图
【缺省用户角色】
network-admin
【参数】
object-id:指定对象ID,取值范围为0~4294967294。若未指定本参数,系统将按照步长10从0开始,自动分配一个大于现有最大ID的最小ID。譬如现有对象的最大ID为22,那么自动分配的新ID将是30。
host:指定主机IPv4地址或主机名称。
address ip-address:指定主机IPv4地址。
name host-name:指定主机名称。host-name表示主机名称,为1~60字符,不区分大小写。
vpn-instance vpn-instance-name:指定主机所属的VPN。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。
subnet ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,即掩码中连续“1”的个数,取值范围为0~32。mask表示接口IP地址相应的子网掩码,为点分十进制格式。
range ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址。ip-address2表示范围结束IPv4地址,仅在range参数时有效,和ip-address1没有大小限制。
【使用指导】
创建对象时指定ID,如果指定ID的对象不存在,则创建一条新的对象;如果指定ID的对象已存在,则对原对象进行修改。
新创建或修改的对象不能与已有对象的内容完全相同,否则该命令执行失败,并提示出错。
在配置subnet参数时,如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址对象配置。
【举例】
# 配置地址为192.168.0.1的IPv4主机地址对象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network host address 192.168.0.1
# 配置名称为pc3的IPv4主机地址对象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network host name pc3
# 配置VPN实例名称为vpn1,主机名称为pc1的IPv4地址对象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network host name pc1 vpn-instance vpn1
# 配置地址为192.167.0.0,掩码长度为24的IPv4子网地址对象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network subnet 192.167.0.0 24
# 配置地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址对象。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
[Sysname-obj-grp-ip-ipgroup] network subnet 192.166.0.0 255.255.0.0
network命令用来创建一个IPv6地址对象。
undo network命令用来删除指定的IPv6地址对象。
【命令】
[ object-id ] network { host { address ipv6-address | name host-name [ vpn-instance vpn-instance-name ] } | subnet ipv6-address prefix-length | range ipv6-address1 ipv6-address2 }
undo network { host { address ipv6-address | name host-name [ vpn-instance vpn-instance-name ] } | subnet ipv6-address prefix-length | range ipv6-address1 ipv6-address2 }
undo object-id
【缺省情况】
不存在IPv6地址对象。
【视图】
IPv6地址对象组视图
【缺省用户角色】
network-admin
【参数】
object-id:指定对象ID,取值范围为0~4294967294。若未指定本参数,系统将按照步长10从0开始,自动分配一个大于现有最大ID的最小ID。譬如现有对象的最大ID为22,那么自动分配的新ID将是30。
host:指定主机IPv6地址或主机名称。
address ipv6-address:指定主机IPv6地址。
name host-name:指定主机名称。host-name表示主机名称,为1~60字符,不区分大小写。
vpn-instance vpn-instance-name:指定主机所属的VPN。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定此参数,则表示指定公网的主机名称。
subnet ipv6-address prefix-length:指定子网IPv6地址。prefix-length:指定IPv6地址的前缀长度,取值范围为1~128。
range ipv6-address1 ipv6-address2:指定范围IPv6地址。ipv6-address1表示范围起始IPv6地址。ipv6-address2表示范围结束IPv6地址,仅在range参数时有效,和ipv6-address1没有大小限制。
【使用指导】
创建对象时指定ID,如果指定ID的对象不存在,则创建一条新的对象;如果指定ID的对象已存在,则对原对象进行修改。
新创建或修改的对象不能与已有对象的内容完全相同,否则该命令执行失败,并提示出错。
在配置subnet参数时,如果指定掩码长度为128,则该配置被视为主机地址对象配置。
在配置range参数时,需要注意的是:
· 如果指定的ipv6-address1和ipv6-address2相同,则该配置被视为主机地址对象配置。
· 如果指定的ipv6-address1和ipv6-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址对象配置。
· 如果指定的ipv6-address1比ipv6-address2大,会自动调整范围为[ ipv6-address2, ipv6-address1 ]。
【举例】
# 配置地址为1::1的IPv6主机地址对象。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network host address 1::1
# 配置名称为pc3的IPv6主机地址对象。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network host name pc3
# 配置地址为1:1:1::1,前缀长度为24的IPv6子网地址对象。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ip v6group] network subnet 1:1:1::1 24
# 配置地址范围为1:1:1::1到1:1:1::100 的IPv6范围地址对象。
<Sysname> system-view
[Sysname] object-group ipv6 address ipv6group
[Sysname-obj-grp-ipv6-ipv6group] network range 1:1:1::1 1:1:1::100
object-group命令用来创建一个对象组,并进入对象组视图。如果指定的对象组已经存在且类型一致,则直接进入对象组视图。
undo object-group命令用来删除指定的对象组。
【命令】
object-group { { ip | ipv6 } address | port } object-group-name
undo object-group ip address object-group-name
【缺省情况】
每类对象组都有一个名称为any的默认对象组。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip address:指定对象组类型为IP地址对象组。
ipv6 address:指定对象组类型为IPv6地址对象组。
object-group-name:对象组的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
在配置object-group命令时,需要注意的是:
· 如果指定名称的对象组不存在,则创建对象组并进入其视图。
· 如果指定名称的对象组存在但类型不一致,命令执行失败,并提示出错。
在配置undo object-group命令时,需要注意的是:
· 如果指定名称的对象组不存在,系统不提示。
· 如果指定名称的对象组存在但类型不一致,则命令执行失败,并提示出错。
· 要删除的对象组被ACL、对象策略或者其他对象组引用,命令执行失败,并提示出错。
· 系统默认对象组不能被删除。
【举例】
# 配置名称为ipgroup的IP地址对象组。
<Sysname> system-view
[Sysname] object-group ip address ipgroup
object-group dns-aging命令用来开启主机名对应IP地址的老化功能。
undo object-group dns-aging命令用来关闭主机名对应IP地址的老化功能。
【命令】
object-group dns-aging [ time aging-time ]
undo object-group dns-aging
【缺省情况】
主机名对应IP地址的老化功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time aging-time:主机名对应IP地址的老化时间,取值范围为1~70000000,单位为分钟,缺省值为120。
【使用指导】
在同一主机名对应多个IP地址的负载均衡场景中,DNS解析主机名获得的IP地址会在多个IP地址之间进行不断切换。缺省情况下,每次切换,对象组模块都会通告相关策略变更IP地址,会造成相关策略频繁提交加速,大量耗费设备内存,此时可通过开启主机名对应IP地址的老化功能解决此问题。
开启该功能后,对象组针对每个主机名维护一个IP地址组。当通过DNS解析该主机名获得的IP地址不在该组内,会将新的IP地址添加至组内,并将该组新的IP地址范围告知相关策略;当获得的IP地址在该组内,则不会告知相关策略,并更新该IP地址的老化时间。若组内某个IP地址达到老化时间,则会将其从组内删除,并告知相关策略。从而减少相关策略加速次数,降低设备内存占用。
建议所配置主机名对应IP地址的老化时间大于DNS服务器上配置的解析记录生存时间(TTL)。
【举例】
# 配置主机名对应IP地址的老化时间为5分钟。
<Sysname> system-view
[Sysname] object-group dns-aging
[Sysname] object-group dns-aging time 5
port命令用来创建一个端口对象。
undo port命令用来删除指定的端口对象。
【命令】
[ object-id ] port { { eq | lt | gt } port | range port1 port2 }
undo port { { eq | lt | gt } port | range port1 port2 }
undo object-id
【缺省情况】
不存在端口对象。
【视图】
端口对象组视图
【缺省用户角色】
network-admin
【参数】
object-id:指定对象ID,取值范围为0~4294967294。若未指定本参数,系统将按照步长10从0开始,自动分配一个大于现有最大ID的最小ID。譬如现有对象的最大ID为22,那么自动分配的新ID将是30。
eq:等于指定的端口号。
lt:小于指定的端口号。
gt:大于指定的端口号。
port:指定端口号,取值范围为0~65535。
range port1 port2:指定端口在两个端口号范围内。port1表示起始端口号,取值范围为0~65535。port2表示结束端口号,取值范围为0~65535。
【使用指导】
在配置lt参数时,需要注意的是:
· 不能指定port为0。
· 如果指定port为1,则该配置被视为eq 0。
· 如果指定port为2~65535,则实际生效的端口号为[ 0, port-1 ]。
在配置gt参数时,需要注意的是:
· 不能指定port为65535。
· 如果指定port为65534,该配置被视为eq 65535。
· 如果指定port为0~65533,则实际生效的端口号为[ port+1, 65535 ]。
在配置range参数时,需要注意的是:
· 如果指定的port1和port2相同,则该配置被视为等于指定的端口号。
· 如果指定port1为0,则该配置被视为lt配置,譬如配置range 0 999,被视为lt 1000。
· 如果指定port2为65535,则该配置被视为gt配置,譬如配置range 50001 65535,被视为gt 50000。
· 如果指定的port1比port2大,会自动调整范围为[ port2, port1 ]。
【举例】
# 配置端口号等于100的端口对象。
<Sysname> system-view
[Sysname] object-group port portgroup
[Sysname-obj-grp-port-portgroup] port eq 100
# 配置端口号小于20的端口对象。
<Sysname> system-view
[Sysname] object-group port portgroup
[Sysname-obj-grp-port-portgroup] port lt 20
# 配置端口号大于60000的端口对象。
<Sysname> system-view
[Sysname] object-group port portgroup
[Sysname-obj-grp-port-portgroup] port gt 60000
# 配置端口号范围为1000到2000的端口对象。
<Sysname> system-view
[Sysname] object-group port portgroup
[Sysname-obj-grp-port-portgroup] port range 1000 2000
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
