Tecnologia y Redes
Synapex - Consultoria y Soluciones Tecnologicas
GNUTransfer GPL WebHosting

Regresar   Foros Tecnología&Redes > Guias y Noticias - Secciones Moderadas - > Tutoriales y Articulos > Cisco
Recargar página Guía Creacion de object-groups
Registrarse Glosario Invita a tus Amigos Lista de usuarios Calendario Herramientas Buscar Posts de hoy Marcar foros como leído

Cisco Todo lo relacionado con Cisco Systems y sus carreras. (CCNA-CCNP-CCSP-etc).
ESTA SECCION ES MODERADA

Responder
 
Herramientas
Anterior 06-Aug-2009   #1
mariano
Administrador
Asiduo
Owner
 
Avatar de mariano
 
Registrado: October-2008
Ubicación: Argentina
Edad: 39
Posts: 348
Agradecimientos: 3
Agradecido 17 veces en 17 Posts
Reputación: 10
mariano Camino a la fama
Actividad Longevidad
3/20 20/20
Hoy Posts
ssssss348
Cisco Creacion de object-groups
Pregunta: Cuantos Object-Group se pueden crear en un ASA?
Respuesta: No tengo idea.
Aclaracion: A nadie le importa. (Salvo a Cristian claro...)


Uso de los object-group en PIX y ASA

Los object-group agrupan objectos similares permitiendo manejarlos como un solo objeto. Esto hace mucho mas ordenado el codigo y mas simple el debug.
De esta manera si, por ejemplo, tengo un grupo de PCs agrupadas en un object group al cual les doy salida irrestricta a internet, cuando necesite dar salida a otra PC simplemente la agrego al grupo y hereda todos sus permisos.


Se pueden crear los siguientes tipos de object-group:
*Protocol
*Network
*Service
*ICMP type

El set de comandos para object-group es:
object-group grp_id
object-group description description_text
group-object object_grp_name

object-group icmp-type grp_id
icmp-object icmp_type

object-group network grp_id
network-object host host_addr
network-object net_addr netmask
object-group protocol grp_id
protocol-object protocol

object-group service grp_id {tcp|udp|tcp-udp}
port-object eq service
port-object range begin_service end_service


Por ejemplo, para permitir a determinadas IPs salir libremente a internet se pueden agrupar en un object-group y permitir la salida de este sin necesidad de permitirlas una a una en una ACL.

Código:
(config)#object-group network my_obj
(config-network)#description IPs con Salida Libre
(config-network)#network-object host 192.168.1.14
(config-network)#network-object host 192.168.1.15
(config-network)#network-object host 192.168.1.18
(config-network)#network-object 192.168.2.0 255.255.255.0
(config-network)#exit
(config)#access-list acl_free permit ip object-group my_obj any
(config)#access-group acl_free in interface outside

Los object-group de tipo ICMP se usan para especificar tipos de ICMP en una ACL
Código:
(config)#object-group icmp-type icmp_allowed
(config-icmp-type)#icmp-object echo 
(config-icmp-type)#icmp-object time-exceeded
(config-icmp-type)#exit
(config)#access-list acl_icmp permit icmp any any object-group icmp_allowed
Para crear grupos de servicio que incluyan DNS (TCP/UDP), LDAP (TCP), and RADIUS (UDP) pueden configurar lo siguiente:

Código:
hostname(config)# object-group service services1 tcp-udp
hostname(config-service)# description DNS Group
hostname(config-service)# port-object eq domain

hostname(config)# object-group service services2 udp
hostname(config-service)# description RADIUS Group
hostname(config-service)# port-object eq radius
hostname(config-service)# port-object eq radius-acct

hostname(config)# object-group service services3 tcp
hostname(config-service)# description LDAP Group
hostname(config-service)# port-object eq ldap
Tambien se pueden agrupar objet-groups para por ejemplo permisos compartidos por distintas areas de una empresa.
Código:
hostname(config)# object-group network Area-Marketing
hostname(config-network)# network-object host 192.168.1.5
hostname(config-network)# network-object host 192.168.1.9
hostname(config-network)# network-object host 192.168.1.89

hostname(config)# object-group network Area-Pagos
hostname(config-network)# network-object host 192.168.2.8
hostname(config-network)# network-object host 192.168.2.12

hostname(config)# object-group network Area-Jefes
hostname(config-network)# network-object host 192.168.4.89
hostname(config-network)# network-object host 192.168.4.100
Con esto puede agrupar los 3 grupos correspondientes a las areas citadas:
Código:
hostname(config)# object-group network permisos-compartidos
hostname(config-network)# group-object Area-Marketing
hostname(config-network)# group-object Area-Pagos
hostname(config-network)# group-object Area-Jefes
Los subcomandos para object-group son:

object-group icmp-type grp_id
description Texto de Descripcion
icmp-object icmp_type
group-object grp_id


object-group network grp_id
description Texto de Descripcion
network-object host host_addr
network-object host_addr netmask
group-object grp_id


object-group protocol grp_id
description Texto de Descripcion
protocol-object protocol
group-object grp_id


object-group service grp_id {tcp | udp | tcp-udp}
description Texto de Descripcion
port-object range begin_service end_service
port-object eq service
group-object grp_id


Por supuesto que siendo cisco los object-group se pueden ver con el comando "show" y con el comando "clear" borrarlos asi como con el uso del "no".

no object-group icmp-type grp_id
no object-group network grp_id
no object-group protocol grp_id
no object-group service grp_id {tcp | udp | tcp-udp}
clear object-group [grp_type]
show object-group [id grp_id | grp_type]
__________________
"…y sobre todo, sean siempre capaces de sentir en lo más hondo cualquier injusticia cometida contra cualquiera en cualquier parte del mundo."...El Che
___________

Telecentro...El peor ISP del mundo. Pero no el unico malo.
mariano está desconectado   Citar y responder
Responder

Etiquetas
(sin prefijo), creación, Guía, objectgroup, objectgroups

« Discusión anterior | Siguiente discusión »

Personas en esta discusión: 1 (0 usuario(s) y 1 invitado(s))
 
Herramientas

Reglas del foro
No puedes publicar nuevas discusiones
No puedes responder a discusiones
No puedes publicar archivos adjuntos
No puedes editar tus posts
BB code is activado
Emotíconos está activado
El código [IMG] está activado
El código HTML está activado
Ir a

Discusiones similares
Discusión Autor de la discusión Foro Respuestas Último post
Tutorial Creación de Instantaneas...para salvar archivos en red mariano Tutoriales y Articulos 0 29-Dec-2008 02:30 AM


Todas las horas son GMT -3. La hora es 12:46 AM.

Contáctanos - Tecnología&Redes - Sitemap - Ir arriba

Forum SEO by Zoints
Tecnologia&Redes