Hướng dẫn cấu hình thêm đối trượng trong Cisco 5500 Series

Cấu hình thêm đối tượng ASA5500

Cấu hình thêm đối trượng Cisco ASA5500 Series

Tiếp tục Series bài viêt tìm hiểu về dòng thiết bị tường lửa Cisco ASA5500 Series trong bài viết dưới đây CiscoData sẽ hướng dẫn các bạn cách cấu hình đối tượng 5500 Series.

Cấu hình thêm đối trượng Cisco ASA5500
Hình ảnh: Cấu hình thêm đối tượng ASA5500

Các đối tượng là các thành phần có thể tái sử dụng để sử dụng trong cấu hình của bạn. Chúng có thể được định nghĩa và sử dụng trong cấu hình ASA thay cho địa chỉ IP nội tuyến. Các đối tượng giúp dễ dàng duy trì cấu hình của bạn vì bạn có thể sửa đổi một đối tượng ở một nơi và nó được phản ánh trong tất cả các nơi khác đang tham chiếu đến nó.

Nếu không có các đối tượng, bạn sẽ phải sửa đổi các tham số cho mọi đối tượng khi được yêu cầu, thay vì chỉ một lần. Ví dụ, nếu một đối tượng mạng định nghĩa một địa chỉ IP và mặt nạ mạng con, và bạn muốn thay đổi địa chỉ, bạn chỉ cần thay đổi nó trong định nghĩa đối tượng, không phải trong mọi tính năng đề cập đến địa chỉ IP đó.

Ở phần đối tượng chúng ta có thể tóm tắt với các ý chính như:

Cấu hình các đối tượng và nhóm
Định cấu hình cụm từ thông dụng
Lập lịch kích hoạt danh sách truy cập mở rộng
Cấu hình các đối tượng và nhóm tối tượng

Thông tin về đối tượng

Các đối tượng được tạo và sử dụng bởi ASA ở vị trí của một địa chỉ IP nội tuyến trong bất kỳ cấu hình cụ thể nào. Bạn có thể định nghĩa một đối tượng với một địa chỉ IP cụ thể và cặp netmask hoặc một giao thức (và, tùy chọn, một cổng) và sử dụng đối tượng này trong một số cấu hình. Ưu điểm là bất cứ khi nào bạn muốn sửa đổi các cấu hình được tạo cho địa chỉ IP hoặc giao thức này, bạn không cần phải sửa đổi tất cả các quy tắc trong cấu hình đang chạy.

Bạn có thể sửa đổi đối tượng và sau đó thay đổi sẽ tự động áp dụng cho tất cả các quy tắc sử dụng đối tượng được chỉ định. Bạn có thể cấu hình hai loại đối tượng: đối tượng mạng và đối tượng dịch vụ. Các đối tượng này có thể được sử dụng trong dịch địa chỉ mạng (NAT), danh sách truy cập và nhóm đối tượng.

Thông tin về nhóm đối tượng

Bằng cách nhóm các đối tượng giống nhau, bạn có thể sử dụng nhóm đối tượng trong ACE thay vì phải nhập ACE cho từng đối tượng riêng biệt. Bạn có thể tạo các kiểu nhóm đối tượng sau:
• Giao thức
• Mạng lưới
• Dịch vụ
• Loại ICMP

Ví dụ, hãy xem xét ba nhóm đối tượng sau:
• MyServices — Bao gồm số cổng TCP và UDP của các yêu cầu dịch vụ được phép truy cập vào mạng nội bộ.
• TrustedHosts — Bao gồm địa chỉ máy chủ và mạng cho phép truy cập vào phạm vi dịch vụ và máy chủ lớn nhất.
• PublicServers — Bao gồm các địa chỉ host của các máy chủ mà truy cập lớn nhất được cung cấp.

Sau khi tạo các nhóm này, bạn có thể sử dụng một ACE duy nhất để cho phép máy chủ đáng tin cậy thực hiện yêu cầu dịch vụ cụ thể cho một nhóm máy chủ công cộng. Bạn cũng có thể lồng các nhóm đối tượng trong các nhóm đối tượng khác.

Cấu hình một đối tượng mạng

Một đối tượng mạng chứa một cặp địa chỉ IP / mặt nạ duy nhất. Các đối tượng mạng có thể có ba loại: máy chủ, mạng con hoặc phạm vi. Bạn cũng có thể cấu hình NAT tự động như một phần của định nghĩa đối tượng.

Chi tiết các bước thực hiện

Step 1

object network obj_name
Example:
hostname(config)# object-network OBJECT1
Step 2

{host ip_addr | subnet net_addr net_mask |
range ip_addr_1 ip_addr_2}
Example:
hostname(config-network-object)# host
10.2.2.2
Step 3

description text
Example:
hostname(config-network-object)#
description Engineering Network

Cấu hình một đối tượng dịch vụ

Step 1

object service obj_name
Example:
hostname(config)# object-service
SERVOBJECT1
Step 2

service {protocol | icmp icmp-type | icmp6
icmp6-type | {tcp | udp} [source operator
port] [destination operator port]}
Example:
hostname(config-service-object)# service
tcp source eq www destination eq ssh
Example

hostname (config)# object service SERVOBJECT1
hostname (config-service-object)# service tcp source eq www destination eq ssh

Cấu hình nhóm đối tượng

• Thêm một nhóm đối tượng giao thức
• Thêm một nhóm đối tượng mạng
• Thêm một nhóm đối tượng dịch vụ
• Thêm một nhóm đối tượng kiểu ICMP
• Nhóm đối tượng lồng nhau
• Loại bỏ các nhóm đối tượng

Để thêm hoặc thay đổi nhóm đối tượng giao thức, hãy thực hiện các bước trong phần này. Sau khi bạn thêm nhóm, bạn có thể thêm các đối tượng khác theo yêu cầu bằng cách làm theo quy trình này một lần nữa cho cùng một tên nhóm và chỉ định các đối tượng bổ sung. Bạn không cần phải nhập lại các đối tượng hiện có; các lệnh bạn đã đặt vẫn được giữ nguyên trừ khi bạn xóa chúng bằng lệnh không có .

Step 1

object-group protocol obj_grp_id
Example:
hostname(config)# object-group protocol
tcp_udp_icmp
Step 2

description text
Example:
hostname(config-protocol)# description New
Group
Step 3

protocol-object protocol
Example:
hostname(config-protocol)# protocol-object
tcp
Example

hostname (config)# object-group protocol tcp_udp_icmp
hostname (config-protocol)# protocol-object tcp
hostname (config-protocol)# protocol-object udp
hostname (config-protocol)# protocol-object icmp

Thêm nhóm đối tượng mạng

Nhóm đối tượng mạng hỗ trợ địa chỉ IPv4 và IPv6.
Để thêm hoặc thay đổi nhóm đối tượng mạng, hãy thực hiện các bước trong phần này. Sau khi bạn thêm nhóm, bạn có thể thêm các đối tượng khác theo yêu cầu bằng cách làm theo quy trình này một lần nữa cho cùng một tên nhóm và chỉ định các đối tượng bổ sung.

Bạn không cần phải nhập lại các đối tượng hiện có, các lệnh bạn đã đặt vẫn được giữ nguyên trừ khi bạn xóa chúng bằng lệnh không có.

Step 1

object-group network grp_id
Example:
hostname(config)# object-group network
admins
Step 2

description text
Example:
hostname(config-network)# Administrator
Addresses
Step 3

network-object {object name | host
ip_address | ip_address mask}
Example:
hostname(config-network)# network-object
host 10.2.2.4
Example

hostname (config)# object-group network admins
hostname (config-protocol)# description Administrator Addresses
hostname (config-protocol)# network-object host 10.2.2.4
hostname (config-protocol)# network-object host 10.2.2.78
hostname (config-protocol)# network-object host 10.2.2.34

Thêm nhóm đối tượng dịch vụ

Step 1

object-group service grp_id {tcp | udp |
tcp-udp}
Example:
hostname(config)# object-group service
services1 tcp-udp
Step 2

description text
Example:
hostname(config-service)# description DNS
Group
Step 3

port-object {eq port | range begin_port
end_port}
Example:
hostname(config-service)# port-object eq
domain
Example
To create service groups that include DNS (TCP/UDP), LDAP (TCP), and RADIUS (UDP), enter the following commands:

hostname (config)# object-group service services1 tcp-udp
hostname (config-service)# description DNS Group
hostname (config-service)# port-object eq domain
hostname (config)# object-group service services2 udp
hostname (config-service)# description RADIUS Group
hostname (config-service)# port-object eq radius
hostname (config-service)# port-object eq radius-acct
hostname (config)# object-group service services3 tcp
hostname (config-service)# description LDAP Group
hostname (config-service)# port-object eq ldap

Nhóm đối tượng lồng nhau

Bạn có thể lồng các nhóm đối tượng theo thứ tự sao cho một nhóm đối tượng có thể chứa các nhóm đối tượng khác cùng loại và bạn có thể trộn và kết hợp các đối tượng nhóm lồng nhau và các đối tượng thông thường trong một nhóm đối tượng. Tuy nhiên, ASA không hỗ trợ các nhóm đối tượng lồng nhau IPv6, do đó bạn không thể nhóm một đối tượng với các thực thể IPv6 trong một nhóm đối tượng IPv6 khác.

Để lồng một nhóm đối tượng trong một nhóm đối tượng khác cùng loại, trước tiên hãy tạo nhóm mà bạn muốn lồng vào (xem phần “Định cấu hình nhóm đối tượng” ), và sau đó thực hiện các bước trong phần này.

Step 1

object-group group {{protocol | network |
icmp-type} grp_id |service grp_id {tcp |
udp | tcp-udp}}
Example:
hostname(config)# object-group network
Engineering_group
Step 2

group-object group_id
Example:
hostname(config-network)# group-object
Engineering_groups
Examples
Create network object groups for privileged users from various departments by entering the following commands:

hostname (config)# object-group network eng
hostname (config-network)# network-object host 10.1.1.5
hostname (config-network)# network-object host 10.1.1.9
hostname (config-network)# network-object host 10.1.1.89
hostname (config)# object-group network hr
hostname (config-network)# network-object host 10.1.2.8
hostname (config-network)# network-object host 10.1.2.12
hostname (config)# object-group network finance
hostname (config-network)# network-object host 10.1.4.89
hostname (config-network)# network-object host 10.1.4.100
You then nest all three groups together as follows:

hostname (config)# object-group network admin
hostname (config-network)# group-object eng
hostname (config-network)# group-object hr
hostname (config-network)# group-object finance
You only need to specify the admin object group in your ACE as follows:

hostname (config)# access-list ACL_IN extended permit ip object-group admin host
209.165.201.29

Xóa nhóm đối tượng

Bạn có thể loại bỏ một nhóm đối tượng cụ thể hoặc loại bỏ tất cả các nhóm đối tượng của một loại được chỉ định; tuy nhiên, bạn không thể loại bỏ một nhóm đối tượng hoặc tạo một nhóm đối tượng trống nếu nó được sử dụng trong một danh sách truy cập.

Step 1:
no object-group grp_id

Example:
hostname(config)# no object-group
Engineering_host
clear object-group [protocol | network |
services | icmp-type]
Example:
hostname(config)# clear-object group network

Giám sát các đối tượng và nhóm

show access-list
show running-config object-group
show running-config object-group grp_id
show running-config object-group grp_type

Mọi thắc mắc cần giải đáp xin vui lòng liên hệ với chúng tôi theo các số Hotline trên Website để được tư vấn giải đáp và hỗ trợ tốt nhất.

Tham khảo:

Cấu hình giao diện Cisco 5510 và các loại cao hơn

Cấu hình cơ bản Firewall Cisco

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *