静力学 vs。动态地址对象组

详细

在 PAN OS 中, 我们可以创建地址对象, 可以进一步将其分组到地址组中。最常用的方法是使用 "静态" 类型地址组. 但是, "动态" 类型地址组允许轻松管理以及可伸缩性.

查看地址对象列表下面的示例:

注意某些对象上的标记。这将与稍后相关。

现在, 如果我们要创建一个静态地址对象, 我们会选择我们要添加的.  

在策略中使用这一点非常好, 但想象一下, 必须管理成百上千个 (如果不是数以千计) 的地址对象, 并不断添加/删除等。

注意: 对于添加/删除的每个地址对象, 您必须在每个地址组中包括/排除该地址对象将使用的位置. 这可能很容易变得繁琐, 并使配置容易 (手动) 错误。

这就是 "动态" 地址组可以发光的地方.

在定义地址对象时使用标记, 我们可以为创建地址组执行简单的匹配条件。这是更灵活的, 因为任何添加/删除只需要更改地址对象的一部分。这些团体可以保持不变!

让我们来看看下面的演示。

使用与以前相同的地址对象列表, 我们将创建一个动态地址组.

提交更改, 然后单击组中的条目 "更多":

只有指定为 "Intranet" 标记的对象才包含在该组中

这就是标记变得有用的地方。对于动态地址组的此实现, 请确保创建一个地址对象 (或组, 如果您希望在另一个组中使用组) 使用一个或多个标记。

可以使用下拉选项键入新标签或选择已创建的标记。

您可以创建标签的苍蝇, (见以上图像) 或通过对象-> 标签

此外, 除了添加/删除/编辑对象本身之外, 我们还可以有嵌套的地址组, 几乎没有额外的开销。

希望本文档帮助您进行更智能、更高效的配置设计。