Hallo Leute,
bin neu im Forum & hoffe, dass dieses Thema nicht schon irgendwo breitgeschlagen wurde. Suche hat jedenfalls nichts ergeben.
In den "neueren" Cisco PIX 506E Softwares werden ja die object-groups unterstützt. Also ein neues Feature.
Deswegen folgende Fragen:
Ich benutze "object-group" zum definieren eines Containers ?
Ich benutze "group-object" zum Aufrufen eines Containers (zb. Cont. in Cont.)?
Allerdings werden in ACL's die Container mit object-group aufgerufen, was ich nicht verstehe !? Wenn mans so macht ist es ja ganz leicht :-)
Wo überall darf ich object-groups denn verwenden?
Ich würde z.B gerne Folgende Zeile verwenden:
"aaa authentication exclude any inside 192.X.X.0 255.255.255.0 object-group Exclude-net 0 RADIUS"
Fehler: bad c.faddr 76.X.253.0
Anmerkung: Die 76.X.253.0 ist mir unbekannt !!!
Das läuft halt nicht. Ich hab schon viele Varianten mit "host" mit & ohne Subnetz etc. durch. Weiß jemand wie die Zeile richtig heißen muss?
Exclude-net ist ein Container für network-object und weitere group-object.
Die Idee dabei ist, den ungehinderten Zugang zum automatischen Update von Microsoft und AntiVirus zu garantieren.
Zum Verständnis der weitere Context.
....
aaa authentication exclude tcp/123 inside 192.X.X.Y 255.255.255.255 0.0.0.0 0.0.0.0 RADIUS
aaa authentication exclude udp/123 inside 192.X.X.Y 255.255.255.255 0.0.0.0 0.0.0.0 RADIUS
aaa authentication exclude tcp/0 inside 192.X.X.Z 255.255.255.255 0.0.0.0 0.0.0.0 RADIUS
aaa authentication ssh console RADIUS LOCAL
aaa authentication include tcp/0 inside 192.X.X.0 255.255.255.0 0.0.0.0 0.0.0.0 RADIUS
.....
object-group network Microsoft-net
description: all IP needed for automatical update
network-object host 207.46.18.94
object-group network Exclude-net
description: all net to be excluded from AAA
group-object Microsoft-net
Bin für jede Hilfe dankbar, wenn Sie zum Thema gehört.
Gruss Matthias
