Kalabalık networkler üzerinde access-list veya access-list kullanan bir yapılandırma sağladığımızda (örn policy nat), her ip adresi için ayrı rule tanımlamaları (ACE) yapmalıyız.Böyle bir yapılandırma çoğu zaman zamanımızdan ciddi bir dilim çalabilmektedir.Sık kullandığımız veya aynı access-list’e maruz kalacak kaynaklar için gruplama işlemi yapılarak dinamik ve tek satırlık konfigurasyonlar yapılabilmektedir.Dinamik bir şekilde access-list’lerimizi belirtirken protokol, kaynak ip, hedef ip ve port numaraları kısımlarında bu gruplar kullanılabilir.
Host veya subnetlerimizi gruplamak için;
object-group network INSIDENETWORK
network-object 10.0.1.0 255.255.255.0
network-object host 10.0.1.10
network-object host 10.0.1.11
icmp paketlerimizi gruplamak için;
object-group icmp-type PING
icmp-object echo
icmp-object echo-reply
servislerimizi ve port aralıklarımızı bir arada gruplamak için;
object-group service SERVISLER
service-object icmp echo
service-object tcp eq www
service-object udp range 1002 1006
service-object tcp source range 2000 3000
belirli bir protokol üzerinden çalışan servisleri gruplamak için;
object-group service SERVER-SERVICES tcp
port-object eq https
port-object range 137 netbios-ssn
port-object eq http
komutları kullanılabilmektedir.
