Erweiterte ACLs und erweiterte ACL6s
Erweiterte ACLs und erweiterte ACL6s bieten Parameter und Aktionen, die mit einfachen ACLs nicht verfügbar sind. Sie können Daten basierend auf Parametern wie Quell-IP-Adresse, Quellport, Aktion und Protokoll filtern. Sie können Aufgaben angeben, um ein Paket zuzulassen, ein Paket zu verweigern oder ein Paket zu überbrücken.
Erweiterte ACLs und ACL6s können nach ihrer Erstellung geändert werden, und Sie können ihre Prioritäten neu nummerieren, um die Reihenfolge anzugeben, in der sie ausgewertet werden.
Hinweis: Wenn Sie sowohl einfache als auch erweiterte ACLs konfigurieren, haben einfache ACLs Vorrang vor erweiterten ACLs.
Die folgenden Aktionen können für erweiterte ACLs und ACL6s ausgeführt werden: Ändern, Anwenden, Deaktivieren, Aktivieren, Entfernen und Umnummerieren (Priorität). Sie können erweiterte ACLs und ACL6s anzeigen, um ihre Konfiguration zu überprüfen, und Sie können ihre Statistiken anzeigen.
Sie können den Citrix ADC so konfigurieren, dass Details für Pakete protokolliert werden, die einer erweiterten ACL entsprechen.
Anwenden erweiterter ACLs und erweiterter ACL6s: Im Gegensatz zu einfachen ACLs und ACL6s funktionieren erweiterte ACLs und ACL6s, die auf dem Citrix ADC erstellt wurden, erst dann, wenn sie angewendet werden. Wenn Sie Änderungen an einer erweiterten ACL oder ACL6 vornehmen, z. B. das Deaktivieren der ACLs, das Ändern einer Priorität oder das Löschen der ACLs, müssen Sie die erweiterten ACLs oder ACL6 erneut anwenden. Sie müssen sie erneut anwenden, nachdem Sie die Protokollierung aktiviert haben. Das Verfahren zum Anwenden erweiterter ACLs oder ACL6s wendet alle ACLs erneut an. Wenn Sie beispielsweise erweiterte ACL-Regeln 1 bis 10 angewendet haben und dann Regel 11 erstellen und anwenden, werden die ersten 10 Regeln neu angewendet.
Wenn eine Sitzung über eine DENY-ACL verfügt, wird diese Sitzung beendet, wenn Sie die ACLs anwenden.
Erweiterte ACLs und ACL6s sind standardmäßig aktiviert. Wenn sie angewendet werden, beginnt der Citrix ADC, eingehende Pakete mit ihnen zu vergleichen. Wenn Sie sie jedoch deaktivieren, werden sie erst verwendet, wenn Sie sie wieder aktivieren, selbst wenn sie erneut angewendet werden.
Neunummerierung der Prioritäten von Extended ACLs und Extended ACL6: Prioritätsnummern bestimmen die Reihenfolge, in der erweiterte ACLs oder ACL6 mit einem Paket abgeglichen werden. Eine ACL mit einer niedrigeren Prioritätsnummer hat eine höhere Priorität. Es wird vor ACLs mit höheren Prioritätsnummern (niedrigere Prioritäten) ausgewertet, und die erste ACL, die mit dem Paket übereinstimmt, bestimmt die auf das Paket angewendete Aktion.
Wenn Sie eine erweiterte ACL oder ACL6 erstellen, weist der Citrix ADC ihm automatisch eine Prioritätsnummer zu, die ein Vielfaches von 10 ist, sofern Sie nichts anderes angeben. Wenn beispielsweise zwei erweiterte ACLs Prioritäten von 20 bzw. 30 haben und Sie möchten, dass eine dritte ACL einen Wert zwischen diesen Zahlen hat, können Sie ihr einen Wert von 25 zuweisen. Wenn Sie später die Reihenfolge beibehalten möchten, in der die ACLs ausgewertet werden, aber ihre Nummerierung auf ein Vielfaches von 10 zurücksetzen möchten, können Sie die Neunummerierungsprozedur verwenden.
Konfigurieren von erweiterten ACLs und Extended ACL6s
Die Konfiguration einer erweiterten ACL oder ACL6 auf einem Citrix ADC besteht aus den folgenden Aufgaben.
- Erstellen Sie eine erweiterte ACL oder ACL6. Erstellen Sie eine erweiterte ACL oder ACL6, um ein Paket entweder zuzulassen, zu verweigern oder zu überbrücken. Sie können eine IP-Adresse oder einen Bereich von IP-Adressen angeben, die mit den Quell- oder Ziel-IP-Adressen der Pakete übereinstimmen. Sie können ein Protokoll angeben, das mit dem Protokoll eingehender Pakete übereinstimmt.
- (Optional) Ändern Sie eine erweiterte ACL oder ACL6. Sie können erweiterte ACLs oder ACL6s ändern, die Sie zuvor erstellt haben. Oder wenn Sie einen vorübergehend außer Betrieb nehmen möchten, können Sie ihn deaktivieren und später wieder aktivieren.
- Wenden Sie erweiterte ACLs oder ACL6san. Nachdem Sie eine erweiterte ACL oder ACL6 erstellt, geändert, deaktiviert oder erneut aktiviert oder gelöscht haben, müssen Sie die erweiterten ACLs oder ACL6 anwenden, um sie zu aktivieren.
- (Optional) Nummerieren Sie die Prioritäten von erweiterten ACLs oder ACL6neu. Wenn Sie ACLs mit Prioritäten konfiguriert haben, die kein Vielfaches von 10 sind und die Nummerierung auf ein Vielfaches von 10 wiederherstellen möchten, verwenden Sie die Neunummerierungsprozedur.
CLI-Verfahren
So erstellen Sie eine erweiterte ACL mit der CLI:
Geben Sie an der Eingabeaufforderung Folgendes ein:
-
**add ns acl** <aclname> <aclaction> [-**srcIP** [<operator>] <srcIPVal>] [-**srcPort** [<operator>] <srcPortVal>] [-**destIP** [<operator>] <destIPVal>] [-**destPort** [<operator>] <destPortVal>] [-**TTL** <positive_integer>] [-**srcMac** <mac_addr>] [(-**protocol** <protocol> [-established]) | -**protocolNumber** <positive_integer>] [-**vlan** <positive_integer>] [-**interface** <interface_name>] [-**icmpType** <positive_integer> [-**icmpCode** <positive_integer>]] [-**priority** <positive_integer>] [-**state** ( ENABLED | DISABLED )] [-**logstate** ( ENABLED | DISABLED ) [-**ratelimit** <positive_integer>]]
-
show ns acl [<aclName>]
So erstellen Sie eine erweiterte ACL6 mit der CLI:
Geben Sie an der Eingabeaufforderung Folgendes ein:
-
**add ns acl6** <acl6name> <acl6action> [-**srcIPv6** [<operator>] <srcIPv6Val>] [-**srcPort** [<operator>] <srcPortVal>] [-**destIPv6** [<operator>] <destIPv6Val>] [-**destPort** [<operator>] <destPortVal>] [-**TTL** <positive_integer>] [-**srcMac** <mac_addr>] [(-**protocol** <protocol> [-established]) | -**protocolNumber** <positive_integer>] [-**vlan** <positive_integer>] [-**interface** <interface_name>] [-**icmpType** <positive_integer> [-**icmpCode** <positive_integer>]] [-**priority** <positive_integer>] [-**state** ( ENABLED | DISABLED )]
-
show ns acl6 [<aclName>]
So ändern Sie eine erweiterte ACL mit der CLI:
Um eine erweiterte ACL zu ändern, geben Sie den Befehl set ns acl, den Namen der erweiterten ACL und die zu ändernden Parameter mit ihren neuen Werten ein.
So ändern Sie eine erweiterte ACL6 mit der CLI:
Um eine erweiterte ACL6 zu ändern, geben Sie den Befehl set ns acl6, den Namen des erweiterten ACL6 und die zu ändernden Parameter mit ihren neuen Werten ein.
So deaktivieren oder aktivieren Sie eine erweiterte ACL mit der CLI:
Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:
- disable ns acl <aclname>
- enable ns acl <aclname>
So deaktivieren oder aktivieren Sie eine erweiterte ACL6 über die CLI:
Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:
- disable ns acl6 <aclname>
- enable ns acl6 <aclname>
So wenden Sie erweiterte ACLs mit der CLIan:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- apply ns acls
So wenden Sie erweiterte ACL6s über die CLI an:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- apply ns acls6
So nummerieren Sie die Prioritäten erweiterter ACLs über die CLIneu:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- ns acls neu nummerieren
So nummerieren Sie die Prioritäten erweiterter ACL6s über die CLI neu:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- renumber ns acls6
GUI-Verfahren
So konfigurieren Sie eine erweiterte ACL mit der GUI:
- Navigieren Sie zu System > Netzwerk > ACLs und fügen Sie auf der Registerkarte Erweiterte ACLs eine neue erweiterte ACL hinzu oder bearbeiten Sie eine vorhandene erweiterte ACL. Um eine vorhandene erweiterte ACL zu aktivieren oder zu deaktivieren, wählen Sie sie aus und wählen Sie dann Aktivieren oder Deaktivieren aus der Aktionsliste aus.
So konfigurieren Sie eine erweiterte ACL6s mit der GUI:
- Navigieren Sie zu System > Netzwerk > ACLs und fügen Sie auf der Registerkarte Erweiterte ACL6s eine neue erweiterte ACL6 hinzu oder bearbeiten Sie eine vorhandene erweiterte ACL6. Um eine vorhandene erweiterte ACL6 zu aktivieren oder zu deaktivieren, wählen Sie es aus und wählen Sie dann Aktivieren oder Deaktivieren aus der Aktionsliste aus.
So wenden Sie erweiterte ACLs mit der GUI an:
- Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie auf der Registerkarte Erweiterte ACLs in der Liste Aktion auf Anwenden.
So wenden Sie erweiterte ACL6s mit der GUI an:
- Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie auf der Registerkarte Erweiterte ACL6s in der Liste Aktion auf Anwenden.
So nummerieren Sie die Prioritäten erweiterter ACLs mithilfe der GUI neu:
- Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie auf der Registerkarte Erweiterte ACLs in der Liste Aktion auf Priorität(n) neu nummerieren.
So nummerieren Sie die Prioritäten von erweiterten ACL6s mithilfe der GUI neu:
- Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie auf der Registerkarte Erweiterte ACL6s in der Liste Aktion auf Priorität(n) neu nummerieren.
Beispielkonfigurationen
Die folgende Tabelle zeigt Beispiele für die Konfiguration erweiterter ACL-Regeln über die Befehlszeilenschnittstelle: ACLS-Beispielkonfigurationen.
Protokollieren von erweiterten ACLs
Sie können den Citrix ADC so konfigurieren, dass Details für Pakete protokolliert werden, die erweiterten ACLs entsprechen.
Zusätzlich zum ACL-Namen enthalten die protokollierten Details paketspezifische Informationen wie Quell- und Ziel-IP-Adressen. Die Informationen werden je nach Art der aktivierten globalen Protokollierung (syslog or nslog
) entweder in der Syslog-Datei oder in der Datei nslog
gespeichert.
Die Protokollierung muss sowohl auf globaler Ebene als auch auf ACL-Ebene aktiviert sein. Die globale Einstellung hat Vorrang.
Um die Protokollierung zu optimieren, werden, wenn mehrere Pakete aus demselben Flow mit einer ACL übereinstimmen, nur die Details des ersten Pakets protokolliert, und der Zähler wird für jedes Paket, das zum selben Flow gehört, inkrementiert. Ein Flow ist definiert als eine Reihe von Paketen, die dieselben Werte für die Quell-IP-Adresse, die Ziel-IP-Adresse, den Quellport, den Zielport und die Protokollparameter aufweisen. Um eine Überschwemmung von Protokollmeldungen zu vermeiden, führt der Citrix ADC eine interne Ratenbegrenzung durch, sodass Pakete, die zum selben Flow gehören, nicht wiederholt protokolliert werden. Die Gesamtzahl der verschiedenen Flows, die zu einem bestimmten Zeitpunkt protokolliert werden können, ist auf 10.000 begrenzt.
Hinweis: Sie müssen ACLs anwenden, nachdem Sie die Protokollierung aktiviert haben.
CLI-Verfahren
So konfigurieren Sie die erweiterte ACL-Protokollierung mit der CLI:
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Protokollierung zu konfigurieren und die Konfiguration zu überprüfen:
- **set ns acl** <aclName> [-**logState** (ENABLED | DISABLED)] [-**rateLimit** <positive_integer>]
- apply acls
- show ns acl [<aclName>]
GUI-Verfahren
So konfigurieren Sie die erweiterte ACL-Protokollierung mit der GUI:
- Navigieren Sie zu System > Netzwerk > ACLs und öffnen Sie auf der Registerkarte Erweiterte ACLs die erweiterte ACL.
- Legen Sie die folgenden Parameter fest:
-
Protokollstatus— Aktiviert oder deaktiviert die Protokollierung von Ereignissen, die sich auf die erweiterte ACL-Regel beziehen. Die Protokollmeldungen werden auf dem konfigurierten
syslog or auditlog
Server gespeichert. - Log Rate Limit— Maximale Anzahl von Protokollmeldungen, die pro Sekunde generiert werden sollen. Wenn Sie diesen Parameter festlegen, müssen Sie den Parameter Log State aktivieren.
-
Protokollstatus— Aktiviert oder deaktiviert die Protokollierung von Ereignissen, die sich auf die erweiterte ACL-Regel beziehen. Die Protokollmeldungen werden auf dem konfigurierten
Beispielkonfiguration
> set ns acl restrict -logstate ENABLED -ratelimit 120
Warning: ACL modified, apply ACLs to activate change
> apply ns acls
Done
<!--NeedCopy-->
Protokollieren von erweiterten ACL6s
Sie können die Citrix ADC-Appliance so konfigurieren, dass Details für Pakete protokolliert werden, die einer erweiterten ACL6-Regel entsprechen. Zusätzlich zum ACL6-Namen enthalten die protokollierten Details paketspezifische Informationen wie Quell- und Ziel-IP-Adressen. Die Informationen werden entweder in einem Syslog oder einer nslog
Datei gespeichert, abhängig von der Art der Protokollierung (syslog or nslog
), die Sie in der Citrix ADC-Appliance konfiguriert haben.
Wenn mehrere Pakete aus demselben Flow mit einer ACL6 übereinstimmen, werden nur die Details des ersten Pakets protokolliert, um die Protokollierung zu optimieren. Der Zähler wird für jedes andere Paket erhöht, das zum selben Flow gehört. Ein Flow ist definiert als eine Reihe von Paketen, die dieselben Werte für die folgenden Parameter haben:
- Quell-IP
- Ziel-IP
- Quell-Port
- Destination port
- Protokoll (TCP oder UDP)
Wenn ein eingehendes Paket nicht aus demselben Flow stammt, wird ein neuer Flow erstellt. Die Gesamtzahl der verschiedenen Flows, die zu einem bestimmten Zeitpunkt protokolliert werden können, ist auf 10.000 begrenzt.
CLI-Verfahren
So konfigurieren Sie die Protokollierung für eine erweiterte aCl6-Regel mit der CLI:
-
Um die Protokollierung beim Hinzufügen der erweiterten ACL6-Regel zu konfigurieren, geben Sie an der Eingabeaufforderung Folgendes ein:
- **add acl6** <acl6Name> <acl6action> [-**logState** (ENABLED | DISABLED)] [-**rateLimit** <positive_integer>]
- apply acls6
- show acl6 [<acl6Name>]
-
Um die Protokollierung für eine vorhandene erweiterte ACL6-Regel zu konfigurieren, geben Sie an der Eingabeaufforderung Folgendes ein:
- **set acl6** <acl6Name> [-**logState** (ENABLED | DISABLED)] [-**rateLimit** <positive_integer>]
- show acl6 [<acl6Name>]
- apply acls6
GUI-Verfahren
So konfigurieren Sie die erweiterte ACL6-Protokollierung mit der GUI:
- Navigieren Sie zu System > Netzwerk > ACLs und klicken Sie dann auf die Registerkarte Extended ACL6s .
- Legen Sie die folgenden Parameter fest, während Sie eine vorhandene erweiterte ACL6-Regel hinzufügen oder ändern.
-
Protokollstatus — Aktivieren oder deaktivieren Sie die Protokollierung von Ereignissen im Zusammenhang mit der erweiterten ACL6s-Regel. Die Protokollmeldungen werden im konfigurierten Syslog oder im
auditlog
des Servers gespeichert. - Log Rate Limit— Maximale Anzahl von Protokollmeldungen, die pro Sekunde generiert werden sollen. Wenn Sie diesen Parameter festlegen, müssen Sie den Parameter Log State aktivieren.
-
Protokollstatus — Aktivieren oder deaktivieren Sie die Protokollierung von Ereignissen im Zusammenhang mit der erweiterten ACL6s-Regel. Die Protokollmeldungen werden im konfigurierten Syslog oder im
Beispielkonfiguration
> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120
Done
> apply acls6
Done
<!--NeedCopy-->
Anzeigen erweiterter ACLs und erweiterter ACL6s-Statistiken
Sie können Statistiken zu erweiterten ACLs und ACL6s anzeigen.
In der folgenden Tabelle sind die Statistiken aufgeführt, die mit erweiterten ACLs und ACL6s verknüpft sind, sowie deren Beschreibungen.
Statistik | Gibt an |
---|---|
ACL-Übereinstimmungen zulassen | Pakete, die ACLs entsprechen, wobei der Verarbeitungsmodus auf Allow festgelegt ist. Citrix ADC verarbeitet diese Pakete. |
NAT ACL Begegnungen | Pakete, die mit einer NAT-ACL übereinstimmen, was zu einer NAT-Sitzung führt. |
ACL-Spiele verweigern | Pakete wurden gelöscht, weil sie ACLs mit dem Verarbeitungsmodus auf DENY festgelegt sind. |
Bridge ACL Übereinstimmungen | Pakete, die einer Bridge-ACL entsprechen, die im transparenten Modus die Dienstverarbeitung umgeht. |
ACL-Übereinstimmungen | Pakete, die mit einer ACL übereinstimmen. |
ACL verpasst | Pakete, die keiner ACL entsprechen. |
ACL-Anzahl | Gesamtzahl der von Benutzern konfigurierten ACL-Regeln. |
Effektive ACL-Anzahl | Gesamtzahl der intern konfigurierten effektiven ACL. Für eine erweiterte ACL mit einer Reihe von IP-Adressen erstellt die Citrix ADC-Appliance intern eine erweiterte ACL für jede IP-Adresse. Für eine erweiterte ACL mit 1000 IPv4-Adressen (Bereich oder Datensatz) hat der Citrix ADC beispielsweise intern 1000 erweiterte ACLs erstellt. |
CLI-Verfahren
So zeigen Sie die Statistiken aller erweiterten ACLs mit der CLI an:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- stat ns acl
So zeigen Sie die Statistiken aller erweiterten ACL6s mit der CLI an:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- stat ns acl6
GUI-Verfahren
So zeigen Sie die Statistiken einer erweiterten ACL mithilfe der GUI an:
- Navigieren Sie zu System > Netzwerk > ACLs, wählen Sie auf der Registerkarte Erweiterte ACLs die erweiterte ACL aus und klicken Sie auf Statistik.
So zeigen Sie die Statistiken einer erweiterten ACL6 mithilfe der GUI an:
- Navigieren Sie zu System > Netzwerk > ACLs, wählen Sie auf der Registerkarte Erweiterte ACL6s die erweiterte ACL aus und klicken Sie auf Statistik.
Stateful-ACLs
Eine statusbehaftete ACL-Regel erstellt eine Sitzung, wenn eine Anforderung mit der Regel übereinstimmt, und erlaubt die resultierenden Antworten, auch wenn diese Antworten mit einer Ablehnungs-ACL-Regel in der Citrix ADC-Appliance übereinstimmen. Eine stateful ACL entlastet die Arbeit, mehr ACL-Regeln/Weiterleitungssitzungsregeln zu erstellen, um diese spezifischen Antworten zuzulassen.
Stateful ACLs können am besten in einer Edge-Firewall-Bereitstellung einer Citrix ADC-Appliance verwendet werden, die folgende Anforderungen erfüllt:
- Die Citrix ADC-Appliance muss Anfragen zulassen, die von internen Clients initiiert wurden, und die zugehörigen Antworten aus dem Internet.
- Die Appliance muss die Pakete aus dem Internet löschen, die nicht mit Clientverbindungen zusammenhängen.
Voraussetzungen
Bevor Sie statusbehaftete ACL-Regeln konfigurieren, beachten Sie die folgenden Punkte:
- Die Citrix ADC-Appliance unterstützt statusbehaftete ACL-Regeln und stateful ACL6-Regeln.
- In einem Hochverfügbarkeitssetup werden die Sitzungen für eine statusbehaftete ACL-Regel nicht mit dem sekundären Knoten synchronisiert.
- Sie können eine ACL-Regel nicht als stateful konfigurieren, wenn die Regel an eine Citrix ADC NAT-Konfiguration gebunden ist. Einige Beispiele für Citrix ADC NAT-Konfigurationen sind:
- RNAT
- Large Scale NAT (Großmaßstab NAT44, DS-Lite, Großmaßstab NAT64)
- NAT64
- Weiterleitungssitzung
- Sie können eine ACL-Regel nicht als statusbehaftet konfigurieren, wenn TTL und Established Parameter für diese ACL-Regel festgelegt sind.
- Die für eine stateful ACL-Regel erstellten Sitzungen existieren unabhängig von den folgenden ACL-Operationen bis zum Timeout weiterhin:
- ACL entfernen
- Deaktivieren Sie ACL
- Löschen Sie ACL
- Stateful-ACLs werden für die folgenden Protokolle nicht unterstützt:
- Aktiv FTP
- TFTP
Konfigurieren von stateful IPv4-ACL-Regeln
Die Konfiguration einer stateful ACL-Regel besteht darin, den stateful Parameter einer ACL-Regel zu aktivieren.
So aktivieren Sie den stateful Parameter einer ACL-Regel mithilfe der CLI:
-
Um den statusbehafteten Parameter beim Hinzufügen einer ACL-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:
- add acl <lname> ALLOW -stateful (ENABLED | DISABLED)
- apply acls
- show acl <name>
-
Um den statusbehafteten Parameter einer vorhandenen ACL-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:
- set acl <name> -stateful (ENABLED | DISABLED)
- apply acls
- show acl <name>
So aktivieren Sie den stateful Parameter einer ACL-Regel mithilfe der GUI:
-
Navigieren Sie zu System > Netzwerk > ACLs und auf der Registerkarte Erweiterte ACLs.
-
Aktivieren Sie den Stateful-Parameter, während Sie eine vorhandene ACL-Regel hinzufügen oder ändern.
Beispielkonfiguration
> add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes
Done
> apply acls
Done
> show acl
1) Name: ACL-1
Action: ALLOW Hits: 0
srcIP = 1.1.1.1
destIP
srcMac:
Protocol:
Vlan: Interface:
Active Status: ENABLED Applied Status: NOTAPPLIED
Priority: 10 NAT: NO
TTL:
Log Status: DISABLED
Forward Session: NO
Stateful: YES
<!--NeedCopy-->
Konfigurieren Sie stateful ACL6-Regeln
Die Konfiguration einer stateful ACL6-Regel besteht darin, den stateful Parameter einer ACL6-Regel zu aktivieren.
So aktivieren Sie den stateful Parameter einer ACL6-Regel mithilfe der CLI:
-
Um den statusbehafteten Parameter beim Hinzufügen einer ACL6-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:
- add acl6 <name> ALLOW -stateful ( ENABLED | DISABLD )
- apply acls6
- show acl6 <name>
-
Um den statusbehafteten Parameter einer vorhandenen ACL6-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:
- set acl6 <name> -stateful ( ENABLED | DISABLED )
- apply acls6
- show acl6 <name>
So aktivieren Sie den stateful Parameter einer ACL6-Regel mithilfe der GUI:
- Navigieren Sie zu System > Netzwerk > ACLs und auf der Registerkarte Erweiterte ACL6s .
- Aktivieren Sie den Stateful-Parameter, während Sie eine vorhandene ACL6-Regel hinzufügen oder ändern.
Beispielkonfiguration
> add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes
Done
> apply acls6
Done
> show acl6
1) Name: ACL6-1
Action: ALLOW Hits: 0
srcIPv6 = 1000::1
destIPv6
srcMac:
Protocol:
Vlan: Interface:
Active Status: ENABLED Applied Status: NOTAPPLIED
Priority: 10 NAT: NO
TTL:
Forward Session: NO
Stateful: YES
<!--NeedCopy-->
Dataset-basierte erweiterte ACLs
Viele ACLs sind in einem Unternehmen erforderlich. Das Konfigurieren und Verwalten vieler ACLs ist schwierig und umständlich, wenn sie häufige Änderungen erfordern.
Eine Citrix ADC-Appliance unterstützt Datensätze in erweiterten ACLs. Dataset ist ein vorhandenes Feature einer Citrix ADC-Appliance. Ein Datensatz ist ein Array von indizierten Mustern von Typen: Zahl (Ganzzahl), IPv4-Adresse oder IPv6-Adresse.
Die Unterstützung von Datensätzen in erweiterten ACLs ist nützlich, um mehrere ACL-Regeln zu erstellen, die gemeinsame ACL-Parameter erfordern.
Während Sie eine ACL-Regel erstellen, können Sie anstelle der allgemeinen Parameter ein Dataset angeben, das diese allgemeinen Parameter enthält.
Alle am Datensatz vorgenommenen Änderungen werden automatisch in den ACL-Regeln wiedergegeben, die diesen Datensatz verwenden. ACLs mit Datensätzen sind einfacher zu konfigurieren und zu verwalten. Sie sind auch kleiner und einfacher zu lesen als die herkömmlichen ACLs.
Derzeit unterstützt die Citrix ADC-Appliance nur das Dataset des IPv4-Adresstyps für erweiterte ACLs.
Voraussetzungen
Beachten Sie vor dem Konfigurieren von datensatzbasierten erweiterten ACL-Regeln die folgenden Punkte:
- Stellen Sie sicher, dass Sie mit der Dataset-Funktion einer Citrix ADC-Appliance vertraut sind. Weitere Informationen zu Datensätzen finden Sie unter Mustersätze und Datensätze.
- Die Citrix ADC-Appliance unterstützt Datasets nur für erweiterte IPv4-ACLs.
- Die Citrix ADC-Appliance unterstützt nur die IPv4-Datasets für erweiterte ACLs.
- Die Citrix ADC-Appliance unterstützt Dataset-basierte erweiterte ACLs für alle Setups: Standalone, Hochverfügbarkeit und Cluster.
-
Für eine erweiterte ACL mit einer Reihe von IP-Adressen erstellt die Citrix ADC-Appliance intern eine erweiterte ACL für jede IP-Adresse. Für eine auf IPv4-Datensatz basierende erweiterte ACL mit 1000 IPv4-Adressen, die an den Datensatz gebunden sind, erstellte die Citrix ADC-Appliance intern 1000 erweiterte ACLs.
-
Die Citrix ADC-Appliance unterstützt maximal 10K erweiterte ACLs. Für eine IPv4-Dataset-basierte erweiterte ACL mit einer Reihe von IP-Adressen, die an den Datensatz gebunden sind, erstellt die Citrix ADC-Appliance keine internen ACLs, sobald die Gesamtzahl der erweiterten ACLs die maximale Grenze erreicht hat.
-
Die folgenden Zähler sind im Rahmen der erweiterten ACL-Statistik vorhanden:
- ACL-Zählung. Gesamtzahl der von Benutzern konfigurierten ACL-Regeln.
- Effektive ACL-Anzahl. Gesamtzahl der effektiven ACL-Regeln, die die Citrix ADC-Appliance intern konfiguriert.
Weitere Informationen finden Sie unter Anzeigen von erweiterten ACL und erweiterten ACL6s-Statistiken.
-
- Die Citrix ADC-Appliance unterstützt keine Vorgänge
set
undunset
zum Verbinden/Dissoziieren von Datensätzen mit den Parametern einer erweiterten ACL. Sie können die ACL-Parameter nur während des Vorgangsadd
auf ein Dataset einstellen.
Konfigurieren von datensatzbasierten erweiterten ACLs
Das Konfigurieren einer auf Dataset basierenden erweiterten ACL-Regel besteht aus den folgenden Aufgaben:
-
Fügen Sie einen Datensatz hinzu. Ein Datensatz ist ein Array von indizierten Mustern von Typen: Zahl (Ganzzahl), IPv4-Adresse oder IPv6-Adresse. In dieser Aufgabe erstellen Sie einen Datasetyp, z. B. einen Datensatz vom Typ IPv4.
-
Binden Sie Werte an das Dataset. Geben Sie einen Wert oder einen Wertebereich für das Dataset an. Die angegebenen Werte müssen vom gleichen Typ wie der Dataset-Typ sein. Sie können beispielsweise eine IPv4-Adresse oder einen Bereich von IPv4-Adressen für den Datensatz vom Typ IPv4 angeben.
-
Fügen Sie eine erweiterte ACL hinzu und legen Sie ACL-Parameter für das Dataset fest. Fügen Sie eine erweiterte ACL hinzu und legen Sie die erforderlichen ACL-Parameter für den Datensatz fest. Diese Einstellung führt dazu, dass die Parameter auf die im Datensatz angegebenen Werte festgelegt sind.
-
Wenden Sie erweiterte ACLs an. Wenden Sie die ACLs an, um neue oder geänderte erweiterte ACLs zu aktivieren.
So fügen Sie ein Richtlinien-Dataset mit der CLI hinzu:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- add policy dataset <name> <type>
- show policy dataset
So binden Sie ein Muster mit der CLI an den Datensatz:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- bind policy dataset <name> <value> [-endRange <string>]
- show policy dataset
So fügen Sie eine erweiterte ACL hinzu und legen die ACL-Parameter über die Befehlszeilenschnittstelle auf das Dataset fest:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- add ns acl <aclname> <aclaction> [-srcIP [<operator>] <srcIPVal>] [-srcPort [<operator>] <srcPortVal>] [-destIP [<operator>] <destIPVal>] [-destPort [<operator>] <destPortVal>] …
- show acls
So wenden Sie erweiterte ACLs mit der CLI an:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- apply acls
Beispielkonfiguration
In der folgenden Beispielkonfiguration einer datensatzbasierten erweiterten ACL wird ein IPv4-Dataset DATASET-ACL-1 erstellt. Zwei IPv4-Adressen: 192.0.2.30 und 192.0.2.60 und zwei IPv4-Adressbereiche: (198.51.100.15 - 45) und (203.0.113.60-90) sind an DATASET-ACL-1 gebunden. DATASET-ACL-1 wird dann für die srCIP- und DestIP-Parameter der erweiterten ACL ACL-1 angegeben.
add policy dataset DATASET-ACL-1 IPV4
bind dataset DATASET-ACL-1 192.0.2.30
bind dataset DATASET-ACL-1 192.0.2.60
bind dataset DATASET-ACL-1 198.51.100.15 -endrange 198.51.100.45
bind dataset DATASET-ACL-1 203.0.113.60 -endrange 203.0.113.90
add ns acl ACL-1 ALLOW -srcIP DATASET-ACL-1 -destIP DATASET-ACL-1
apply acls
<!--NeedCopy-->