ACS上对下载IP ACLs的配置数量进行了限制,如果需要配置更多数量的downloadable access control lists (ACLs) ,可以使用 object-group 命令,具体的设置方法如下描述:
在 PIX/ASA 上的配置:
name 192.6.x.x HOST_SERVER
object-group service SVC_GROUP tcp
port-object eq 12006
port-object eq 12031
port-object eq 12915
object-group network HOST_GROUP
network-object host 192.7.x.x
network-object host 192.8.x.x
network-object host 192.9.x.x
network-object host 192.5.x.x
network-object host 192.4.x.x
network-object host 192.3.x.x
network-object host HOST_SERVER
以下是在ACS上Downloadable IP ACLs的配置:
permit tcp any object-group HOST_GROUP object-group SVC_GROUP
通过使用 object-group 命令,可以突破ACS上对Downloadable IP ACLs 只能最大32KB的限制。
