Erweiterte ACLs und erweiterte ACL6s
Erweiterte ACLs und erweiterte ACL6s bieten Parameter und Aktionen, die mit einfachen ACLs nicht verfügbar sind. Sie können Daten basierend auf Parametern wie Quell-IP-Adresse, Quellport, Aktion und Protokoll filtern. Sie können Aufgaben angeben, um ein Paket zuzulassen, ein Paket zu verweigern oder ein Paket zu überbrücken.
Erweiterte ACLs und ACL6s können nach ihrer Erstellung geändert werden, und Sie können ihre Prioritäten neu nummerieren, um die Reihenfolge anzugeben, in der sie ausgewertet werden.
Hinweis: Wenn Sie sowohl einfache als auch erweiterte ACLs konfigurieren, haben einfache ACLs Vorrang vor erweiterten ACLs.
Die folgenden Aktionen können für erweiterte ACLs und ACL6s ausgeführt werden: Ändern, Anwenden, Deaktivieren, Aktivieren, Entfernen und Umnummerieren (Priorität). Sie können erweiterte ACLs und ACL6s anzeigen, um ihre Konfiguration zu überprüfen, und Sie können ihre Statistiken anzeigen.
Sie können den NetScaler so konfigurieren, dass Details für Pakete protokolliert werden, die einer erweiterten ACL entsprechen.
Anwenden erweiterter ACLs und erweiterter ACL6s: Im Gegensatz zu einfachen ACLs und ACL6s funktionieren erweiterte ACLs und ACL6s, die auf dem NetScaler erstellt wurden, erst dann, wenn sie angewendet werden. Wenn Sie Änderungen an einer erweiterten ACL oder ACL6 vornehmen, z. B. das Deaktivieren der ACLs, das Ändern einer Priorität oder das Löschen der ACLs, müssen Sie die erweiterten ACLs oder ACL6 erneut anwenden. Sie müssen sie erneut anwenden, nachdem Sie die Protokollierung aktiviert haben. Das Verfahren zum Anwenden erweiterter ACLs oder ACL6s wendet alle ACLs erneut an. Wenn Sie beispielsweise erweiterte ACL-Regeln 1 bis 10 angewendet haben und dann Regel 11 erstellen und anwenden, werden die ersten 10 Regeln neu angewendet.
Wenn eine Sitzung über eine DENY-ACL verfügt, wird diese Sitzung beendet, wenn Sie die ACLs anwenden.
Erweiterte ACLs und ACL6s sind standardmäßig aktiviert. Wenn sie angewendet werden, beginnt der NetScaler, eingehende Pakete mit ihnen zu vergleichen. Wenn Sie sie jedoch deaktivieren, werden sie erst verwendet, wenn Sie sie wieder aktivieren, selbst wenn sie erneut angewendet werden.
Neunummerierung der Prioritäten von Extended ACLs und Extended ACL6: Prioritätsnummern bestimmen die Reihenfolge, in der erweiterte ACLs oder ACL6 mit einem Paket abgeglichen werden. Eine ACL mit einer niedrigeren Prioritätsnummer hat eine höhere Priorität. Es wird vor ACLs mit höheren Prioritätsnummern (niedrigere Prioritäten) ausgewertet, und die erste ACL, die mit dem Paket übereinstimmt, bestimmt die auf das Paket angewendete Aktion.
Wenn Sie eine erweiterte ACL oder ACL6 erstellen, weist der NetScaler ihm automatisch eine Prioritätsnummer zu, die ein Vielfaches von 10 ist, sofern Sie nichts anderes angeben. Wenn beispielsweise zwei erweiterte ACLs Prioritäten von 20 bzw. 30 haben und Sie möchten, dass eine dritte ACL einen Wert zwischen diesen Zahlen hat, können Sie ihr einen Wert von 25 zuweisen. Wenn Sie später die Reihenfolge beibehalten möchten, in der die ACLs ausgewertet werden, aber ihre Nummerierung auf ein Vielfaches von 10 zurücksetzen möchten, können Sie die Neunummerierungsprozedur verwenden.
Konfigurieren von erweiterten ACLs und Extended ACL6s
Die Konfiguration einer erweiterten ACL oder ACL6 auf einem NetScaler besteht aus den folgenden Aufgaben.
- Erstellen Sie eine erweiterte ACL oder ACL6. Erstellen Sie eine erweiterte ACL oder ACL6, um ein Paket entweder zuzulassen, zu verweigern oder zu überbrücken. Sie können eine IP-Adresse oder einen Bereich von IP-Adressen angeben, die mit den Quell- oder Ziel-IP-Adressen der Pakete übereinstimmen. Sie können ein Protokoll angeben, das mit dem Protokoll eingehender Pakete übereinstimmt.
- (Optional) Ändern Sie eine erweiterte ACL oder ACL6. Sie können erweiterte ACLs oder ACL6s ändern, die Sie zuvor erstellt haben. Oder wenn Sie einen vorübergehend außer Betrieb nehmen möchten, können Sie ihn deaktivieren und später wieder aktivieren.
- Wenden Sie erweiterte ACLs oder ACL6s an. Nachdem Sie eine erweiterte ACL oder ACL6 erstellt, geändert, deaktiviert oder erneut aktiviert oder gelöscht haben, müssen Sie die erweiterten ACLs oder ACL6 anwenden, um sie zu aktivieren.
- (Optional) Nummerieren Sie die Prioritäten von erweiterten ACLs oder ACL6neu. Wenn Sie ACLs mit Prioritäten konfiguriert haben, die kein Vielfaches von 10 sind und die Nummerierung auf ein Vielfaches von 10 wiederherstellen möchten, verwenden Sie die Neunummerierungsprozedur.
CLI-Verfahren
Um eine erweiterte ACL mit der CLI zu erstellen:
Geben Sie in der Befehlszeile Folgendes ein:
-
add ns acl <aclname> <aclaction> [-**srcIP** [\<operator>] <srcIPVal>] [-**srcPort** [\<operator>] <srcPortVal>] [-**destIP** [\<operator>] <destIPVal>] [-**destPort** [\<operator>] <destPortVal>] [-**TTL** \<positive_integer>] [-**srcMac** \<mac_addr>] [(-**protocol** \<protocol> [-established]) | -protocolNumber <positive_integer>] [-**vlan** \<positive_integer>] [-**interface** \<interface_name>] [-**icmpType** \<positive_integer> [-**icmpCode** \<positive_integer>]] [-**priority** \<positive_integer>] [-**state** ( ENABLED | DISABLED )] [-**logstate** ( ENABLED | DISABLED ) [-**ratelimit** \<positive_integer>]]
-
show ns acl [\<aclName>]
So erstellen Sie eine erweiterte ACL6 mit der CLI:
Geben Sie in der Befehlszeile Folgendes ein:
-
add ns acl6 <acl6name> <acl6action> [-**srcIPv6** [\<operator>] <srcIPv6Val>] [-**srcPort** [\<operator>] <srcPortVal>] [-**destIPv6** [\<operator>] <destIPv6Val>] [-**destPort** [\<operator>] <destPortVal>] [-**TTL** \<positive_integer>] [-**srcMac** \<mac_addr>] [(-**protocol** \<protocol> [-established]) | -protocolNumber <positive_integer>] [-**vlan** \<positive_integer>] [-**interface** \<interface_name>] [-**icmpType** \<positive_integer> [-**icmpCode** \<positive_integer>]] [-**priority** \<positive_integer>] [-**state** ( ENABLED | DISABLED )]
-
show ns acl6 [\<aclName>]
So ändern Sie eine erweiterte ACL mit der CLI:
Um eine erweiterte ACL zu ändern, geben Sie den Befehl set ns acl, den Namen der erweiterten ACL und die zu ändernden Parameter mit ihren neuen Werten ein.
So ändern Sie eine erweiterte ACL6 mit der CLI:
Um eine erweiterte ACL6 zu ändern, geben Sie den Befehl set ns acl6, den Namen des erweiterten ACL6 und die zu ändernden Parameter mit ihren neuen Werten ein.
So deaktivieren oder aktivieren Sie eine erweiterte ACL mit der CLI:
Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:
- disable ns acl <aclname>
- enable ns acl <aclname>
So deaktivieren oder aktivieren Sie eine erweiterte ACL6 über die CLI:
Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:
- disable ns acl6 <aclname>
- enable ns acl6 <aclname>
So wenden Sie erweiterte ACLs über die CLIan:
Geben Sie in der Befehlszeile Folgendes ein:
- apply ns acls
So wenden Sie erweiterte ACL6s über die CLI an:
Geben Sie in der Befehlszeile Folgendes ein:
- apply ns acls6
So nummerieren Sie die Prioritäten erweiterter ACLs über die CLIneu:
Geben Sie in der Befehlszeile Folgendes ein:
- ns acls neu nummerieren
So nummerieren Sie die Prioritäten erweiterter ACL6s über die CLI neu:
Geben Sie in der Befehlszeile Folgendes ein:
- renumber ns acls6
GUI-Verfahren
So konfigurieren Sie eine erweiterte ACL mit der GUI:
- Navigieren Sie zu System > Netzwerk > ACLs und fügen Sie auf der Registerkarte Erweiterte ACLs eine neue erweiterte ACL hinzu oder bearbeiten Sie eine vorhandene erweiterte ACL. Um eine vorhandene erweiterte ACL zu aktivieren oder zu deaktivieren, wählen Sie sie aus und wählen Sie dann Aktivieren oder Deaktivieren aus der Aktionsliste aus.
So konfigurieren Sie eine erweiterte ACL6s mit der GUI:
- Navigieren Sie zu System > Netzwerk > ACLs und fügen Sie auf der Registerkarte Erweiterte ACL6s eine neue erweiterte ACL6 hinzu oder bearbeiten Sie eine vorhandene erweiterte ACL6. Um eine vorhandene erweiterte ACL6 zu aktivieren oder zu deaktivieren, wählen Sie es aus und wählen Sie dann Aktivieren oder Deaktivieren aus der Aktionsliste aus.
So wenden Sie erweiterte ACLs mit der GUI an:
- Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie auf der Registerkarte Erweiterte ACLs in der Liste Aktion auf Anwenden.
So wenden Sie erweiterte ACL6s mit der GUI an:
- Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie auf der Registerkarte Erweiterte ACL6s in der Liste Aktion auf Anwenden.
So nummerieren Sie die Prioritäten erweiterter ACLs über die GUI neu:
- Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie auf der Registerkarte Erweiterte ACLs in der Liste Aktion auf Priorität(n) neu nummerieren.
So nummerieren Sie die Prioritäten von erweiterten ACL6s über die GUI neu:
- Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie auf der Registerkarte Erweiterte ACL6s in der Liste Aktion auf Priorität(n) neu nummerieren.
Beispielkonfigurationen
Die folgende Tabelle zeigt Beispiele für die Konfiguration erweiterter ACL-Regeln über die Befehlszeilenschnittstelle: ACLS-Beispielkonfigurationen.
Protokollieren von erweiterten ACLs
Sie können den NetScaler so konfigurieren, dass Details für Pakete protokolliert werden, die erweiterten ACLs entsprechen.
Zusätzlich zum ACL-Namen enthalten die protokollierten Details paketspezifische Informationen wie Quell- und Ziel-IP-Adressen. Die Informationen werden je nach Art der aktivierten globalen Protokollierung (syslog or nslog
) entweder in der Syslog-Datei oder in der Datei nslog
gespeichert.
Die Protokollierung muss sowohl auf globaler Ebene als auch auf ACL-Ebene aktiviert sein. Die globale Einstellung hat Vorrang.
Um die Protokollierung zu optimieren, werden, wenn mehrere Pakete aus demselben Flow mit einer ACL übereinstimmen, nur die Details des ersten Pakets protokolliert, und der Zähler wird für jedes Paket, das zum selben Flow gehört, inkrementiert. Ein Flow ist definiert als eine Reihe von Paketen, die dieselben Werte für die Quell-IP-Adresse, die Ziel-IP-Adresse, den Quellport, den Zielport und die Protokollparameter aufweisen. Um eine Überschwemmung von Protokollmeldungen zu vermeiden, führt der NetScaler eine interne Ratenbegrenzung durch, sodass Pakete, die zum selben Flow gehören, nicht wiederholt protokolliert werden. Die Gesamtzahl der verschiedenen Flows, die zu einem bestimmten Zeitpunkt protokolliert werden können, ist auf 10.000 begrenzt.
Hinweis: Sie müssen ACLs anwenden, nachdem Sie die Protokollierung aktiviert haben.
CLI-Verfahren
So konfigurieren Sie die erweiterte ACL-Protokollierung mit der CLI:
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Protokollierung zu konfigurieren und die Konfiguration zu überprüfen:
- set ns acl <aclName> [-**logState** (ENABLED | DISABLED)] [-**rateLimit** \<positive_integer>]
- apply acls
- show ns acl [\<aclName>]
GUI-Verfahren
So konfigurieren Sie die erweiterte ACL-Protokollierung mit der GUI:
- Navigieren Sie zu System > Netzwerk > ACLs und öffnen Sie auf der Registerkarte Erweiterte ACLs die erweiterte ACL.
- Legen Sie die folgenden Parameter fest:
-
Protokollstatus— Aktiviert oder deaktiviert die Protokollierung von Ereignissen, die sich auf die erweiterte ACL-Regel beziehen. Die Protokollmeldungen werden auf dem konfigurierten
syslog or auditlog
-Server gespeichert. - Log Rate Limit— Maximale Anzahl von Protokollmeldungen, die pro Sekunde generiert werden sollen. Wenn Sie diesen Parameter festlegen, müssen Sie den Parameter Log State aktivieren.
-
Protokollstatus— Aktiviert oder deaktiviert die Protokollierung von Ereignissen, die sich auf die erweiterte ACL-Regel beziehen. Die Protokollmeldungen werden auf dem konfigurierten
Beispiel-Konfiguration
> set ns acl restrict -logstate ENABLED -ratelimit 120
Warning: ACL modified, apply ACLs to activate change
> apply ns acls
Done
<!--NeedCopy-->
Protokollieren von erweiterten ACL6s
Sie können die NetScaler-Appliance so konfigurieren, dass Details für Pakete protokolliert werden, die einer erweiterten ACL6-Regel entsprechen. Zusätzlich zum ACL6-Namen enthalten die protokollierten Details paketspezifische Informationen wie Quell- und Ziel-IP-Adressen. Die Informationen werden entweder in einem Syslog oder einer Datei nslog
gespeichert, abhängig von der Art der Protokollierung (syslog or nslog
), die Sie in der NetScaler-Appliance konfiguriert haben.
Um die Protokollierung zu optimieren, werden nur die Details des ersten Pakets protokolliert, wenn mehrere Pakete aus demselben Fluss mit einem ACL6 übereinstimmen. Der Zähler wird für jedes andere Paket erhöht, das zum selben Flow gehört. Ein Flow ist definiert als eine Reihe von Paketen, die dieselben Werte für die folgenden Parameter haben:
- Quell-IP
- Ziel-IP
- Quell-Port
- Destination port
- Protokoll (TCP oder UDP)
Wenn ein eingehendes Paket nicht aus demselben Flow stammt, wird ein neuer Flow erstellt. Die Gesamtzahl der verschiedenen Flows, die zu einem bestimmten Zeitpunkt protokolliert werden können, ist auf 10.000 begrenzt.
CLI-Verfahren
So konfigurieren Sie die Protokollierung für eine erweiterte aCl6-Regel mit der CLI:
-
Um die Protokollierung beim Hinzufügen der erweiterten ACL6-Regel zu konfigurieren, geben Sie an der Eingabeaufforderung Folgendes ein:
- add acl6 <acl6Name> <acl6action> [-**logState** (ENABLED | DISABLED)] [-**rateLimit** \<positive_integer>]
- apply acls6
- show acl6 [\<acl6Name>]
-
Um die Protokollierung für eine vorhandene erweiterte ACL6-Regel zu konfigurieren, geben Sie an der Eingabeaufforderung Folgendes ein:
- set acl6 <acl6Name> [-**logState** (ENABLED | DISABLED)] [-**rateLimit** \<positive_integer>]
- show acl6 [\<acl6Name>]
- apply acls6
GUI-Verfahren
So konfigurieren Sie die erweiterte ACL6-Protokollierung mit der GUI:
- Navigieren Sie zu System > Netzwerk > ACLs und klicken Sie dann auf die Registerkarte Extended ACL6s .
- Legen Sie die folgenden Parameter fest, während Sie eine vorhandene erweiterte ACL6-Regel hinzufügen oder ändern.
-
Protokollstatus — Aktivieren oder deaktivieren Sie die Protokollierung von Ereignissen im Zusammenhang mit der erweiterten ACL6s-Regel. Die Protokollmeldungen werden im konfigurierten Syslog- oder
auditlog
-Server gespeichert. - Log Rate Limit— Maximale Anzahl von Protokollmeldungen, die pro Sekunde generiert werden sollen. Wenn Sie diesen Parameter festlegen, müssen Sie den Parameter Log State aktivieren.
-
Protokollstatus — Aktivieren oder deaktivieren Sie die Protokollierung von Ereignissen im Zusammenhang mit der erweiterten ACL6s-Regel. Die Protokollmeldungen werden im konfigurierten Syslog- oder
Beispiel-Konfiguration
> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120
Done
> apply acls6
Done
<!--NeedCopy-->
Anzeigen erweiterter ACLs und erweiterter ACL6s-Statistiken
Sie können Statistiken zu erweiterten ACLs und ACL6s anzeigen.
In der folgenden Tabelle sind die Statistiken aufgeführt, die mit erweiterten ACLs und ACL6s verknüpft sind, sowie deren Beschreibungen.
Statistik | Spezifiziert |
---|---|
ACL-Übereinstimmungen zulassen | Pakete, die ACLs entsprechen, wobei der Verarbeitungsmodus auf Allow festgelegt ist. NetScaler verarbeitet diese Pakete. |
NAT ACL Begegnungen | Pakete, die mit einer NAT-ACL übereinstimmen, was zu einer NAT-Sitzung führt. |
ACL-Spiele verweigern | Pakete wurden gelöscht, weil sie ACLs mit dem Verarbeitungsmodus auf DENY festgelegt sind. |
Bridge ACL Übereinstimmungen | Pakete, die einer Bridge-ACL entsprechen, die im transparenten Modus die Dienstverarbeitung umgeht. |
ACL-Übereinstimmungen | Pakete, die mit einer ACL übereinstimmen. |
ACL verpasst | Pakete, die keiner ACL entsprechen. |
ACL-Anzahl | Gesamtzahl der von Benutzern konfigurierten ACL-Regeln. |
Effektive ACL-Anzahl | Gesamtzahl der intern konfigurierten effektiven ACL. Für eine erweiterte ACL mit einer Reihe von IP-Adressen erstellt die NetScaler-Appliance intern eine erweiterte ACL für jede IP-Adresse. Beispielsweise erstellt der NetScaler für eine erweiterte ACL mit 1000 IPv4-Adressen (Bereich oder Datensatz) intern 1000 erweiterte ACLs. |
CLI-Verfahren
So zeigen Sie die Statistiken aller erweiterten ACLs mit der CLI an:
Geben Sie in der Befehlszeile Folgendes ein:
- stat ns acl
So zeigen Sie die Statistiken aller erweiterten ACL6s mit der CLI an:
Geben Sie in der Befehlszeile Folgendes ein:
- stat ns acl6
GUI-Verfahren
So zeigen Sie die Statistiken einer erweiterten ACL über die GUI an:
- Navigieren Sie zu System > Netzwerk > ACLs, wählen Sie auf der Registerkarte Erweiterte ACLs die erweiterte ACL aus und klicken Sie auf Statistik.
So zeigen Sie die Statistiken einer erweiterten ACL6 über die GUI an:
- Navigieren Sie zu System > Netzwerk > ACLs, wählen Sie auf der Registerkarte Erweiterte ACL6s die erweiterte ACL aus und klicken Sie auf Statistik.
Stateful-ACLs
Eine statusbehaftete ACL-Regel erstellt eine Sitzung, wenn eine Anforderung mit der Regel übereinstimmt, und erlaubt die resultierenden Antworten, auch wenn diese Antworten mit einer Ablehnungs-ACL-Regel in der NetScaler-Appliance übereinstimmen. Eine stateful ACL entlastet die Arbeit, mehr ACL-Regeln/Weiterleitungssitzungsregeln zu erstellen, um diese spezifischen Antworten zuzulassen.
Stateful ACLs können am besten in einer Edge-Firewall-Bereitstellung einer NetScaler-Appliance verwendet werden, die folgende Anforderungen erfüllt:
- Die NetScaler-Appliance muss Anfragen zulassen, die von internen Clients initiiert wurden, und die zugehörigen Antworten aus dem Internet.
- Die Appliance muss die Pakete aus dem Internet löschen, die nicht mit Clientverbindungen zusammenhängen.
Voraussetzungen
Bevor Sie statusbehaftete ACL-Regeln konfigurieren, beachten Sie die folgenden Punkte:
- Die NetScaler-Appliance unterstützt statusbehaftete ACL-Regeln und stateful ACL6-Regeln.
- In einem Hochverfügbarkeitssetup werden die Sitzungen für eine statusbehaftete ACL-Regel nicht mit dem sekundären Knoten synchronisiert.
- Sie können eine ACL-Regel nicht als stateful konfigurieren, wenn die Regel an eine NetScaler NAT-Konfiguration gebunden ist. Einige Beispiele für NetScaler NAT-Konfigurationen sind:
- RNAT
- Large Scale NAT (Großmaßstab NAT44, DS-Lite, Großmaßstab NAT64)
- NAT64
- Weiterleitungssitzung
- Sie können eine ACL-Regel nicht als statusbehaftet konfigurieren, wenn TTL und Established Parameter für diese ACL-Regel festgelegt sind.
- Die für eine stateful ACL-Regel erstellten Sitzungen existieren unabhängig von den folgenden ACL-Operationen bis zum Timeout weiterhin:
- ACL entfernen
- Deaktivieren Sie ACL
- Löschen Sie ACL
- Stateful-ACLs werden für die folgenden Protokolle nicht unterstützt:
- Aktiv FTP
- TFTP
Konfigurieren von stateful IPv4-ACL-Regeln
Die Konfiguration einer stateful ACL-Regel besteht darin, den stateful Parameter einer ACL-Regel zu aktivieren.
So aktivieren Sie den stateful Parameter einer ACL-Regel über die CLI:
-
Um den statusbehafteten Parameter beim Hinzufügen einer ACL-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:
- add acl <lname> ALLOW -stateful (ENABLED | DISABLED)
- apply acls
- show acl <name>
-
Um den statusbehafteten Parameter einer vorhandenen ACL-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:
- set acl <name> -stateful (ENABLED | DISABLED)
- apply acls
- show acl <name>
So aktivieren Sie den stateful Parameter einer ACL-Regel über die GUI:
-
Navigieren Sie zu System > Netzwerk > ACLs und auf der Registerkarte Erweiterte ACLs.
-
Aktivieren Sie den Stateful-Parameter, während Sie eine vorhandene ACL-Regel hinzufügen oder ändern.
Beispiel-Konfiguration
> add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes
Done
> apply acls
Done
> show acl
1) Name: ACL-1
Action: ALLOW Hits: 0
srcIP = 1.1.1.1
destIP
srcMac:
Protocol:
Vlan: Interface:
Active Status: ENABLED Applied Status: NOTAPPLIED
Priority: 10 NAT: NO
TTL:
Log Status: DISABLED
Forward Session: NO
Stateful: YES
<!--NeedCopy-->
Konfigurieren Sie stateful ACL6-Regeln
Die Konfiguration einer stateful ACL6-Regel besteht darin, den stateful Parameter einer ACL6-Regel zu aktivieren.
So aktivieren Sie den stateful Parameter einer ACL6-Regel über die CLI:
-
Um den statusbehafteten Parameter beim Hinzufügen einer ACL6-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:
- add acl6 <name> ALLOW -stateful ( ENABLED | DISABLD )
- apply acls6
- show acl6 <name>
-
Um den statusbehafteten Parameter einer vorhandenen ACL6-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:
- set acl6 <name> -stateful ( ENABLED | DISABLED )
- apply acls6
- show acl6 <name>
So aktivieren Sie den stateful Parameter einer ACL6-Regel über die GUI:
- Navigieren Sie zu System > Netzwerk > ACLs und auf der Registerkarte Erweiterte ACL6s .
- Aktivieren Sie den Stateful-Parameter, während Sie eine vorhandene ACL6-Regel hinzufügen oder ändern.
Beispiel-Konfiguration
> add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes
Done
> apply acls6
Done
> show acl6
1) Name: ACL6-1
Action: ALLOW Hits: 0
srcIPv6 = 1000::1
destIPv6
srcMac:
Protocol:
Vlan: Interface:
Active Status: ENABLED Applied Status: NOTAPPLIED
Priority: 10 NAT: NO
TTL:
Forward Session: NO
Stateful: YES
<!--NeedCopy-->
Datensatzbasierte erweiterte ACLs
Viele ACLs sind in einem Unternehmen erforderlich. Das Konfigurieren und Verwalten vieler ACLs ist schwierig und umständlich, wenn sie häufige Änderungen erfordern.
Eine NetScaler-Appliance unterstützt Datensätze in erweiterten ACLs. Dataset ist eine vorhandene Funktion einer NetScaler-Appliance. Ein Datensatz ist ein Array von indizierten Mustern von Typen: Zahl (Ganzzahl), IPv4-Adresse oder IPv6-Adresse.
Die Unterstützung von Datensätzen in erweiterten ACLs ist nützlich, um mehrere ACL-Regeln zu erstellen, die gemeinsame ACL-Parameter erfordern.
Während Sie eine ACL-Regel erstellen, können Sie anstelle der allgemeinen Parameter ein Dataset angeben, das diese allgemeinen Parameter enthält.
Alle am Datensatz vorgenommenen Änderungen werden automatisch in den ACL-Regeln wiedergegeben, die diesen Datensatz verwenden. ACLs mit Datensätzen sind einfacher zu konfigurieren und zu verwalten. Sie sind auch kleiner und einfacher zu lesen als die herkömmlichen ACLs.
Derzeit unterstützt die NetScaler-Appliance nur die folgenden Arten von Datensätzen für die erweiterten ACLs:
- IPv4-Adresse (zur Angabe der Quell-IP-Adresse oder der Ziel-IP-Adresse oder beides für eine ACL-Regel)
- number (zur Angabe des Quellports oder des Zielports oder beides für eine ACL-Regel)
Voraussetzungen
Beachten Sie vor dem Konfigurieren von datensatzbasierten erweiterten ACL-Regeln die folgenden Punkte:
-
Stellen Sie sicher, dass Sie mit der Dataset-Funktion einer NetScaler-Appliance vertraut sind. Weitere Informationen zu Datensätzen finden Sie unter Mustersätze und Datensätze.
-
Die NetScaler-Appliance unterstützt Datasets nur für erweiterte IPv4-ACLs.
-
Die NetScaler-Appliance unterstützt nur die folgenden Arten von Datensätzen für die erweiterten ACLs:
- IPv4-Adresse
- number
- Die NetScaler-Appliance unterstützt datensatzbasierte erweiterte ACLs für alle NetScaler-Setups: Standalone, Hochverfügbarkeit und Cluster.
-
Für eine erweiterte ACL mit Datensätzen, die Bereiche enthalten, erstellt die NetScaler-Appliance intern eine erweiterte ACL für jede Kombination der Datensatzwerte.
-
Beispiel 1: Für eine IPv4-Datensatzbasierte erweiterte ACL mit 1000 IPv4-Adressen, die an den Datensatz gebunden sind und der Datensatz auf den Quell-IP-Parameter festgelegt ist, erstellt die NetScaler-Appliance intern 1000 erweiterte ACLs.
-
Beispiel 2: Eine datensatzbasierte erweiterte ACL mit folgenden Parametern:
- Die Quell-IP ist auf einen Datensatz mit 5 IP-Adressen festgelegt.
- Die Ziel-IP ist auf einen Datensatz mit 5 IP-Adressen festgelegt.
- Der Quellport ist auf einen Datensatz mit 5 Ports eingestellt.
- Der Zielport ist auf einen Datensatz mit 5 Ports festgelegt.
Die NetScaler-Appliance erstellt intern 625 erweiterte ACLs. Jede dieser internen ACLs enthält eine eindeutige Kombination der oben genannten vier Parameterwerte.
-
Die NetScaler-Appliance unterstützt maximal 10K erweiterte ACLs. Für eine IPv4-Dataset-basierte erweiterte ACL mit einer Reihe von IP-Adressen, die an den Datensatz gebunden sind, erstellt die NetScaler-Appliance keine internen ACLs, sobald die Gesamtzahl der erweiterten ACLs die maximale Grenze erreicht hat.
-
Die folgenden Zähler sind im Rahmen der erweiterten ACL-Statistik vorhanden:
- ACL-Zählung. Gesamtzahl der von Benutzern konfigurierten ACL-Regeln.
- Effektive ACL-Anzahl. Gesamtzahl der effektiven ACL-Regeln, die die NetScaler-Appliance intern konfiguriert.
Weitere Informationen finden Sie unter Anzeigen von erweiterten ACL und erweiterten ACL6s-Statistiken.
-
- Die NetScaler-Appliance unterstützt keine Vorgänge
set
undunset
zum Verbinden/Dissoziieren von Datensätzen mit den Parametern einer erweiterten ACL. Sie können die ACL-Parameter nur während des Vorgangsadd
auf ein Dataset einstellen.
Konfigurieren von datensatzbasierten erweiterten ACLs
Das Konfigurieren einer auf Dataset basierenden erweiterten ACL-Regel besteht aus den folgenden Aufgaben:
-
Fügen Sie einen Datensatz hinzu. Ein Datensatz ist ein Array von indizierten Mustern von Typen: Zahl (Ganzzahl), IPv4-Adresse oder IPv6-Adresse. In dieser Aufgabe erstellen Sie einen Datasetyp, z. B. einen Datensatz vom Typ IPv4.
-
Binden Sie Werte an das Dataset. Geben Sie einen Wert oder einen Wertebereich für das Dataset an. Die angegebenen Werte müssen vom gleichen Typ wie der Dataset-Typ sein. Sie können beispielsweise eine IPv4-Adresse oder einen IPv4-Adressbereich oder einen IPv4-Adressbereich in CIDR-Notation für eine IPv4-Datenmenge angeben.
-
Fügen Sie eine erweiterte ACL hinzu und legen Sie ACL-Parameter für das Dataset fest. Fügen Sie eine erweiterte ACL hinzu und legen Sie die erforderlichen ACL-Parameter für den Datensatz fest. Diese Einstellung führt dazu, dass die Parameter auf die im Datensatz angegebenen Werte festgelegt sind.
-
Wenden Sie erweiterte ACLs an. Wenden Sie die ACLs an, um neue oder geänderte erweiterte ACLs zu aktivieren.
So fügen Sie ein Richtlinien-Dataset mit der CLI hinzu:
Geben Sie in der Befehlszeile Folgendes ein:
- add policy dataset <name> <type>
- show policy dataset
So binden Sie ein Muster mit der CLI an den Datensatz:
Geben Sie in der Befehlszeile Folgendes ein:
- bind policy dataset <name> <value> [-endRange \<string>]
- show policy dataset
So fügen Sie eine erweiterte ACL hinzu und legen die ACL-Parameter über die Befehlszeilenschnittstelle auf das Dataset fest:
Geben Sie in der Befehlszeile Folgendes ein:
- add ns acl <aclname> <aclaction> [-**srcIP** [\<operator>] <srcIPVal>] [-**srcPort** [\<operator>] <srcPortVal>] [-**destIP** [\<operator>] <destIPVal>] [-**destPort** [\<operator>] <destPortVal>] …
- show acls
So wenden Sie erweiterte ACLs mithilfe der CLI an:
Geben Sie in der Befehlszeile Folgendes ein:
- apply acls
Beispiel-Konfiguration
In der folgenden Beispielkonfiguration einer datensatzbasierten erweiterten ACL werden zwei IPv4-Datensätze DATASET_IP_ACL_1
und DATASET_IP_ACL_2
erstellt. Zwei Port-Datensätze DATASET_PORT_ACL_1
und DATASET_PORT_ACL_1
werden erstellt.
Zwei IPv4-Adressen: 192.0.2.30 und 192.0.2.60 sind an gebunden DATASET_IP_ACL_1
. Zwei IPv4-Adressbereiche: (198.51.100.15 - 45) und (203.0.113.60-90) sind an DATASET_IP_ACL_2
gebunden. DATASET_IP_ACL_1
wird dann für den Parameter srcIP
und DATASET_IP_ACL_1
für den Parameter destIP
vder erweiterten ACL ACL-1
vangegeben.
Zwei Portnummern: 2001 und 2004, sind an gebunden DATASET_PORT_ACL_1
. Zwei Portbereiche: (5001-5040) und (8001-8040) sind an DATASET-PORT-ACL-2
gebunden. DATASET_IP_ACL_1
wird dann für den Parameter srcIP
und DATASET_IP_ACL_1
für den Parameter destIP
der erweiterten ACLACL-1
angegeben.
add policy dataset DATASET_IP_ACL_1 IPV4
add policy dataset DATASET_IP_ACL_2 IPV4
add policy dataset DATASET_PORT_ACL_1 NUM
add policy dataset DATASET_PORT_ACL_2 NUM
bind dataset DATASET_IP_ACL_1 192.0.2.30
bind dataset DATASET_IP_ACL_1 192.0.2.60
bind dataset DATASET_IP_ACL_2 198.51.100.15 -endrange 198.51.100.45
bind dataset DATASET_IP_ACL_2 203.0.113.1/24
bind dataset DATASET_PORT_ACL_1 2001
bind dataset DATASET_PORT_ACL_1 2004
bind dataset DATASET_PORT_ACL_2 5001 -endrange 5040
bind dataset DATASET_PORT_ACL_2 8001 -endrange 8040
add ns acl ACL-1 ALLOW -srcIP DATASET_IP_ACL_1 -destIP DATASET_IP_ACL_2
-srcPort DATASET_PORT_ACL_1 -destPort DATASET_PORT_ACL_2 –protocol TCP
<!--NeedCopy-->