Object-group极大帮助减少ACL条目,降低交换机CPU loading,具体配置范例参考如下:
Object-group network yournet
192.168.8.0 255.255.255.0
192.168.9.1 255.255.255.255
192.168.10.2 255.255.255.255
Object-group network dest
Host 10.10.1.15
10.10.2.0 255.255.255.0
Ip access-list extended Test
10 permit ip object-group yournet 10.10.1.0 0.0.0.255 #允许yournet group的地址访问10.10.1.0/24
20 deny ip object-group yournet 10.10.99.0 0.0.0.255 #拒绝yournet group的地址访问10.10.99.0/24
30 permit tcp object-group yournet host 10.10.1.15 #允许yournet group可以与10.10.1.15的任意端口建立TCP连接
40 permit tcp object-group yournet host 10.10.1.15 eq 443 #允許yournet group的地址可以建立与10.10.1.15的443 port的TCP连接
50 permit ip object-group yournet object-group dest #允许yournet group的地址可以访问dest group的地址
60 permit ip any object-group dest #允许所有可以访问dest group的地址