配置服务和服务组-CLI（介绍通过命令行配置服务和服务组的步骤。）

配置自定义服务

通过指定协议类型、源端口、目的端口等信息可以定义一个服务。在一个服务中可以创建一个或若干个服务。

1. 执行命令system-view，进入系统视图。
2. 执行命令ip service-set service-set-name type object [ vpn-instance vpn-instance-name ]，创建自定义服务并进入服务视图。
    注意：

   service-set-name不能取名为“any”或“ip”。

   创建服务时需要指定type参数，服务创建完毕之后进入服务视图时不需要选择type参数。

    

3. 添加成员。可以重复执行下述命令，添加多个成员。
   • 执行命令service [ id ] protocol { udp | tcp } [ [ source-port { src-port-number-1 [ to src-port-number-2 ] } &<1-64> ] | [ destination-port { dst-port-number-1 [ to dst-port-number-2 ] } &<1-64> ] ] * [ descriptiondescription ]，通过端口号范围指定TCP/UDP协议的协议类型。
   • 执行命令service [ id ] protocol { icmp | icmpv6 } [ { icmp-type | icmpv6-type } { icmp-name | icmp-type-number icmp-code-number } ] [ description description ]，通过ICMP/ICMPv6报文类型名称或代码字段指定ICMP/ICMPv6协议报文类型。
   • 执行命令service [ id ] protocol protocol-number [ description description ]，通过IP报文首部的协议字段取值指定协议类型。

    

4. 可选：执行命令description text，配置服务的描述信息。

   为一个服务添加描述信息虽然是可选操作，但是恰当的描述信息将非常有助于管理员后续的维护和管理。

    

配置服务组

在服务组中，可以引用预定义服务和自定义服务，便于进行安全策略的管理和配置。

1. 执行命令system-view，进入系统视图。
2. 执行命令ip service-set service-set-name type group [ vpn-instance vpn-instance-name ]，创建服务组并进入服务组视图。

    

    注意：

   service-set-name不能取名为“any”或“ip”。

   创建服务组时需要指定type参数，服务组创建完毕之后进入服务组视图时不需要选择type参数。

    

3. 执行命令service [ id ] service-set service-set-name [ description description ]，为服务组添加成员。可重复执行本命令添加多个成员。
4. 可选：执行命令description text，配置服务组的描述信息。

    

   添加描述信息虽然是可选操作，但是恰当的描述信息将非常有助于管理员后续的维护和管理。

 

配置实例：

配置服务组：

ip service-set unturst_dmz type group 0

 service 0 service-set http

 service 1 service-set https

 service 2 service-set ftp

 

调用服务组：

security-policy

 rule name trust_to_dmz

  service unturst_dmz