ACL ampliadas y ACL6 ampliadas
Las ACL extendidas y las ACL6S extendidas proporcionan parámetros y acciones que no están disponibles con ACL simples. Puede filtrar datos en función de parámetros tales como la dirección IP de origen, el puerto de origen, la acción y el protocolo. Puede especificar tareas para permitir un paquete, denegar un paquete o conectar un paquete.
Las ACL y ACL6 extendidas se pueden modificar una vez creadas y se pueden volver a numerar sus prioridades para especificar el orden en que se evalúan.
Nota: Si configura tanto las ACL simples como las extendidas, las ACL simples tienen prioridad sobre las ACL extendidas.
Se pueden realizar las siguientes acciones en ACL y ACL6 extendidas: Modificar, Aplicar, Inhabilitar, Activar, Quitar y Renumerar (la prioridad). Puede mostrar las ACL y ACL6 extendidas para verificar su configuración y mostrar sus estadísticas.
Puede configurar NetScaler para que registre los detalles de los paquetes que coinciden con una ACL extendida.
Aplicación de ACL extendidas y ACL6S extendidas: A diferencia de ACL simples y ACL6S, las ACL ampliadas y ACL6S creadas en NetScaler no funcionan hasta que se aplican. Además, si realiza cambios en una ACL extendida o ACL6, como inhabilitar las ACL, cambiar una prioridad o eliminar las ACL, debe volver a aplicar las ACL extendidas o ACL6. Debe volver a aplicarlos después de habilitar el registro. El procedimiento para aplicar ACL ampliadas o ACL6s vuelve a aplicarlas todas. Por ejemplo, si ha aplicado las reglas de ACL extendidas 1 a 10 y, a continuación, crea y aplica la regla 11, las primeras 10 reglas se aplican de nuevo.
Si una sesión tiene una ACL DENY relacionada, esa sesión finaliza cuando aplica las ACL.
Las ACL extendidas y ACL6 están habilitadas de forma predeterminada. Cuando se aplican, NetScaler comienza a comparar los paquetes entrantes con ellos. Sin embargo, si las inhabilitas, no se usarán hasta que las vuelvas a habilitar, aunque se vuelvan a aplicar.
Cambio denumeración de las prioridades de las ACL extendidas y las ACL6 ampliadas: los números de prioridad determinan el orden en que las ACL o ACL6 extendidas se comparan con un paquete. Una ACL con un número de prioridad inferior tiene una prioridad más alta. Se evalúa antes que las ACL con números de prioridad más altos (prioridades más bajas) y la primera ACL que coincida con el paquete determina la acción aplicada al paquete.
Al crear una ACL o ACL6 extendida, NetScaler le asigna automáticamente un número de prioridad múltiplo de 10, a menos que especifique lo contrario. Por ejemplo, si dos ACL extendidas tienen prioridades de 20 y 30, respectivamente, y quiere que una tercera ACL tenga un valor entre esos números, podría asignarle un valor de 25. Si más adelante quiere mantener el orden en que se evalúan las ACL pero restaura su numeración a múltiplos de 10, puede utilizar el procedimiento de renumeración.
Configuración de ACL extendidas y ACL6 ampliadas
La configuración de una ACL extendida o ACL6 en un NetScaler consiste en las siguientes tareas.
- Cree una ACL o ACL6 extendida. Cree una ACL o ACL6 extendida para permitir, denegar o conectar un paquete. Puede especificar una dirección IP o un intervalo de direcciones IP para que coincidan con las direcciones IP de origen o destino de los paquetes. Puede especificar un protocolo para que coincida con el protocolo de los paquetes entrantes.
- (Opcional) Modifique una ACL o ACL6 extendida. Puede modificar las ACL extendidas o ACL6 que creó anteriormente. O bien, si quiere dejar de usarlo temporalmente, puede desactivarlo y volver a activarlo más tarde.
- Aplique ACL o ACL6 extendidas. Después de crear, modificar, inhabilitar o volver a habilitar, o eliminar una ACL o ACL6 ampliadas, debe aplicar las ACL o ACL6 ampliadas para activarlas.
- (Opcional) Cambie la numeración de las prioridades de las ACL o ACL6 ampliadas. Si ha configurado ACL con prioridades que no son múltiplos de 10 y quiere restaurar la numeración a múltiplos de 10, utilice el procedimiento de renumeración.
Procedimientos de la CLI
Para crear una ACL extendida mediante la CLI:
En la línea de comandos, escriba:
-
add ns acl <aclname> <aclaction> [-**srcIP** [\<operator>] <srcIPVal>] [-**srcPort** [\<operator>] <srcPortVal>] [-**destIP** [\<operator>] <destIPVal>] [-**destPort** [\<operator>] <destPortVal>] [-**TTL** \<positive_integer>] [-**srcMac** \<mac_addr>] [(-**protocol** \<protocol> [-established]) | -protocolNumber <positive_integer>] [-**vlan** \<positive_integer>] [-**interface** \<interface_name>] [-**icmpType** \<positive_integer> [-**icmpCode** \<positive_integer>]] [-**priority** \<positive_integer>] [-**state** ( ENABLED | DISABLED )] [-**logstate** ( ENABLED | DISABLED ) [-**ratelimit** \<positive_integer>]]
-
show ns acl [\<aclName>]
Para crear una ACL6 extendida mediante la CLI:
En la línea de comandos, escriba:
-
add ns acl6 <acl6name> <acl6action> [-**srcIPv6** [\<operator>] <srcIPv6Val>] [-**srcPort** [\<operator>] <srcPortVal>] [-**destIPv6** [\<operator>] <destIPv6Val>] [-**destPort** [\<operator>] <destPortVal>] [-**TTL** \<positive_integer>] [-**srcMac** \<mac_addr>] [(-**protocol** \<protocol> [-established]) | -protocolNumber <positive_integer>] [-**vlan** \<positive_integer>] [-**interface** \<interface_name>] [-**icmpType** \<positive_integer> [-**icmpCode** \<positive_integer>]] [-**priority** \<positive_integer>] [-**state** ( ENABLED | DISABLED )]
-
show ns acl6 [\<aclName>]
Para modificar una ACL extendida mediante la CLI:
Para modificar una ACL extendida, escriba el comando set ns acl, el nombre de la ACL extendida y los parámetros que se van a cambiar, con sus nuevos valores.
Para modificar una ACL6 extendida mediante la CLI:
Para modificar una ACL6 extendida, escriba el comando set ns acl6, el nombre de la ACL6 extendida y los parámetros que se van a cambiar, con sus nuevos valores.
Para inhabilitar o habilitar una ACL extendida mediante la CLI:
En el símbolo del sistema, escriba uno de los siguientes comandos:
- disable ns acl <aclname>
- enable ns acl <aclname>
Para inhabilitar o habilitar una ACL6 extendida mediante la CLI:
En el símbolo del sistema, escriba uno de los siguientes comandos:
- disable ns acl6 <aclname>
- enable ns acl6 <aclname>
Para aplicar las ACL extendidas mediante la CLI:
En la línea de comandos, escriba:
- apply ns acls
Para aplicar ACL6 extendidos mediante la CLI:
En la línea de comandos, escriba:
- apply ns acls6
Para renumerar las prioridades de las ACL extendidas mediante la CLI:
En la línea de comandos, escriba:
- renumber ns acls
Para renumerar las prioridades de los ACL6 extendidos mediante la CLI:
En la línea de comandos, escriba:
- renumber ns acls6
Procedimientos de GUI
Para configurar una ACL extendida mediante la GUI:
- Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas, agregue una nueva ACL ampliada o modifique una ACL extendida existente. Para habilitar o inhabilitar una ACL extendida existente, selecciónela y, a continuación, seleccione Habilitar o Inhabilitar en la lista Acción.
Para configurar un ACL6 ampliado mediante la GUI:
- Vaya a Sistema > Red > ACL y, en la ficha ACL6 extendidas, agregue una nueva ACL6 ampliada o modifique una ACL6 extendida existente. Para habilitar o inhabilitar una ACL6 extendida existente, selecciónela y, a continuación, seleccione Habilitar o Inhabilitar en la lista Acción.
Para aplicar ACL extendidas mediante la GUI:
- Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas, en la lista Acción, haga clic en Aplicar.
Para aplicar ACL6 ampliados mediante la GUI:
- Vaya a Sistema > Red > ACL y, en la ficha ACL6 ampliadas, en la lista Acción, haga clic en Aplicar.
Para volver a numerar las prioridades de las ACL extendidas mediante la GUI:
- Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas, en la lista Acción, haga clic en Renumerar prioridades.
Para volver a numerar las prioridades de los ACL6 ampliados mediante la GUI:
- Vaya a Sistema > Red > ACL y, en la ficha ACL6 ampliadas, en la lista Acción, haga clic en Renumerar prioridades.
Configuraciones de ejemplo
En la tabla siguiente se muestran ejemplos de configuración de reglas ACL ampliadas a través de la interfaz de línea de comandos: configuraciones de ejemplo de ACL.
Registro de ACL extendidas
Puede configurar NetScaler para que registre los detalles de los paquetes que coinciden con las ACL extendidas.
Además del nombre de ACL, los detalles registrados incluyen información específica del paquete, como las direcciones IP de origen y destino. La información se almacena en el archivo syslog o en el archivo nslog
, según el tipo de registro global (syslog or nslog
) habilitado.
El registro debe estar habilitado tanto en el nivel global como en el nivel ACL. La configuración global tiene prioridad.
Para optimizar el registro, cuando varios paquetes del mismo flujo coinciden con una ACL, solo se registran los detalles del primer paquete y el contador se incrementa para cada paquete que pertenece al mismo flujo. Un flujo se define como un conjunto de paquetes que tienen los mismos valores para la dirección IP de origen, la dirección IP de destino, el puerto de origen, el puerto de destino y los parámetros del protocolo. Para evitar la inundación de mensajes de registro, NetScaler realiza una limitación de velocidad interna para que los paquetes pertenecientes al mismo flujo no se registren repetidamente. El número total de flujos diferentes que se pueden registrar en un momento dado está limitado a 10.000.
Nota: Debe aplicar las ACL después de habilitar el registro.
Procedimientos de la CLI
Para configurar el registro de ACL extendido mediante la CLI:
En el símbolo del sistema, escriba los siguientes comandos para configurar el registro y verificar la configuración:
- set ns acl <aclName>[-**logState** (HABILITADO | DESHABILITADO)] [-**RateLimit** \<positive_integer>]
- apply acls
- show ns acl [\<aclName>]
Procedimientos de GUI
Para configurar el registro de ACL extendido mediante la interfaz gráfica de usuario:
- Vaya a Sistema > Red > ACL y, en la ficha ACL ampliadas, abra la ACL extendida.
- Defina los siguientes parámetros:
-
Estado del registro: Habilite o inhabilite el registro de eventos relacionados con la regla de ACL extendida. Los mensajes de registro se almacenan en el servidor
syslog or auditlog
configurado. - Límite de velocidad de registro: Número máximo de mensajes de registro que se generarán por segundo. Si establece este parámetro, debe habilitar el parámetro Estado de registro.
-
Estado del registro: Habilite o inhabilite el registro de eventos relacionados con la regla de ACL extendida. Los mensajes de registro se almacenan en el servidor
Configuración de ejemplo
> set ns acl restrict -logstate ENABLED -ratelimit 120
Warning: ACL modified, apply ACLs to activate change
> apply ns acls
Done
<!--NeedCopy-->
Registro de ACL6s extendidos
Puede configurar el dispositivo NetScaler para que registre los detalles de los paquetes que coinciden con una regla ACL6 ampliada. Además del nombre ACL6, los detalles registrados incluyen información específica del paquete, como las direcciones IP de origen y destino. La información se almacena en un syslog o en un archivo nslog
, según el tipo de registros (syslog or nslog
) que haya configurado en el dispositivo NetScaler.
Para optimizar el registro, cuando varios paquetes del mismo flujo coinciden con una ACL6, solo se registran los detalles del primer paquete. El contador se incrementa para todos los demás paquetes que pertenecen al mismo flujo. Un flujo se define como un conjunto de paquetes que tienen los mismos valores para los siguientes parámetros:
- IP de origen
- IP de destino
- Puerto de origen
- Puerto de destino
- Protocolo (TCP o UDP)
Si un paquete entrante no procede del mismo flujo, se crea un nuevo flujo. El número total de flujos diferentes que se pueden registrar en un momento dado está limitado a 10.000.
Procedimientos de la CLI
Para configurar el registro de una regla ACL6 ampliada mediante la CLI:
-
Para configurar el registro mientras agrega la regla ACL6 extendida, en el símbolo del sistema, escriba:
- add acl6 <acl6Name><acl6action>[-**logState** (HABILITADO | DESHABILITADO)] [-**RateLimit** \<positive_integer>]
- apply acls6
- mostrar acl6 [\<acl6Name>]
-
Para configurar el registro de una regla ACL6 extendida existente, escriba en el símbolo del sistema:
- set acl6 <acl6Name>[-**logState** (HABILITADO | DESHABILITADO)] [-**RateLimit** \<positive_integer>]
- mostrar acl6 [\<acl6Name>]
- apply acls6
Procedimientos de GUI
Para configurar el registro ACL6 extendido mediante la interfaz gráfica de usuario:
- Vaya a Sistema > Red > ACL y, a continuación, haga clic en la ficha ACL6s ampliados.
- Defina los siguientes parámetros al agregar o modificar una regla ACL6 extendida existente.
-
Estado de registro: Habilita o inhabilita el registro de eventos relacionados con la regla ACL6s ampliada. Los mensajes de registro se almacenan en el syslog o el servidor
auditlog
configurados. - Límite de velocidad de registro: Número máximo de mensajes de registro que se generarán por segundo. Si establece este parámetro, debe habilitar el parámetro Estado de registro.
-
Estado de registro: Habilita o inhabilita el registro de eventos relacionados con la regla ACL6s ampliada. Los mensajes de registro se almacenan en el syslog o el servidor
Configuración de ejemplo
> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120
Done
> apply acls6
Done
<!--NeedCopy-->
Visualización de ACL extendidas y estadísticas ACL6 extendidas
Puede mostrar estadísticas de ACL ampliadas y ACL6.
En la tabla siguiente se enumeran las estadísticas asociadas a las ACL y ACL6 ampliadas y sus descripciones.
Estadística | Qué especifica |
---|---|
Permitir coincidencias de ACL | Paquetes que coinciden con ACL con el modo de procesamiento establecido en ALLOW. NetScaler procesa estos paquetes. |
Partidos de NAT ACL | Paquetes que coinciden con una ACL NAT, lo que da como resultado una sesión NAT. |
Partidos de Deny ACL | Paquetes eliminados porque coinciden con ACL con el modo de procesamiento establecido en DENY. |
Partidos de Bridge ACL | Paquetes que coinciden con una ACL de puente, que en modo transparente omite el procesamiento del servicio. |
Partidos ACL | Paquetes que coinciden con una ACL. |
ACL falla | Paquetes que no coinciden con ninguna ACL. |
Recuento ACL | Número total de reglas de ACL configuradas por los usuarios. |
Recuento efectivo de ACL | Número total de ACL efectivas configuradas internamente. Para una ACL ampliada con un rango de direcciones IP, el dispositivo NetScaler crea internamente una ACL extendida para cada dirección IP. Por ejemplo, para una ACL ampliada con 1000 direcciones IPv4 (rango o conjunto de datos), NetScaler crea internamente 1000 ACL extendidas. |
Procedimientos de la CLI
Para mostrar las estadísticas de todas las ACL extendidas mediante la CLI:
En la línea de comandos, escriba:
- stat ns acl
Para mostrar las estadísticas de todos los ACL6 ampliados mediante la CLI:
En la línea de comandos, escriba:
- stat ns acl6
Procedimientos de GUI
Para mostrar las estadísticas de una ACL extendida mediante la GUI:
- Vaya a Sistema > Red > ACL, en la ficha ACL extendida, seleccione la ACL extendida y haga clic en Estadísticas.
Para mostrar las estadísticas de una ACL6 ampliada mediante la interfaz gráfica de usuario:
- Vaya a Sistema > Red > ACL, en la ficha ACL6 extendida, seleccione la ACL extendida y haga clic en Estadísticas.
ACL con estado
Una regla de ACL con estado crea una sesión cuando una solicitud coincide con la regla y permite las respuestas resultantes incluso si estas respuestas coinciden con una regla de ACL de denegación del dispositivo NetScaler. Una ACL con estado descarga el trabajo de crear más reglas de ACL/reglas de sesión de reenvío para permitir estas respuestas específicas.
Las ACL con estado se pueden utilizar mejor en una implementación de firewall perimetral de un dispositivo NetScaler con los siguientes requisitos:
- El dispositivo NetScaler debe permitir las solicitudes iniciadas desde clientes internos y las respuestas relacionadas de Internet.
- El dispositivo debe descartar los paquetes de Internet que no están relacionados con ninguna conexión de cliente.
Antes de comenzar
Antes de configurar reglas de ACL con estado, tenga en cuenta los siguientes puntos:
- El dispositivo NetScaler admite reglas de ACL con estado y reglas ACL6 con estado.
- En una configuración de alta disponibilidad, las sesiones de una regla de ACL con estado no se sincronizan con el nodo secundario.
- No se puede configurar una regla de ACL como con estado si la regla está vinculada a cualquier configuración NAT de NetScaler. Algunos ejemplos de configuraciones NAT de NetScaler son:
- RNAT
- NAT a gran escala (NAT44 a gran escala, DS-Lite, NAT64 a gran escala)
- NAT64
- Sesión de reenvío
- No puede configurar una regla de ACL como con estado si se establecen los parámetros TTL y Establecida para esta regla de ACL.
- Las sesiones creadas para una regla de ACL con estado continúan existiendo hasta que se agote el tiempo de espera, independientemente de las siguientes operaciones de ACL:
- Quitar ACL
- Inhabilitar ACL
- Borrar ACL
- Las ACL con estado no son compatibles con los siguientes protocolos:
- FTP activo
- TFTP
Configurar reglas ACL IPv4 con estado
La configuración de una regla de ACL con estado consiste en habilitar el parámetro con estado de una regla de ACL.
Para habilitar el parámetro con estado de una regla de ACL mediante la CLI:
-
Para habilitar el parámetro con estado al agregar una regla de ACL, escriba en el símbolo del sistema:
- add acl <lname> ALLOW -stateful (ENABLED | DISABLED)
- apply acls
- show acl <name>
-
Para habilitar el parámetro con estado de una regla de ACL existente, en el símbolo del sistema, escriba:
- set acl <name> -stateful (ENABLED | DISABLED)
- apply acls
- show acl <name>
Para habilitar el parámetro con estado de una regla de ACL mediante la GUI:
-
Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas.
-
Habilite el parámetro Stateful al agregar o modificar una regla de ACL existente.
Configuración de ejemplo
> add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes
Done
> apply acls
Done
> show acl
1) Name: ACL-1
Action: ALLOW Hits: 0
srcIP = 1.1.1.1
destIP
srcMac:
Protocol:
Vlan: Interface:
Active Status: ENABLED Applied Status: NOTAPPLIED
Priority: 10 NAT: NO
TTL:
Log Status: DISABLED
Forward Session: NO
Stateful: YES
<!--NeedCopy-->
Configurar reglas ACL6 con estado
La configuración de una regla ACL6 con estado consiste en habilitar el parámetro con estado de una regla ACL6.
Para habilitar el parámetro con estado de una regla ACL6 mediante la CLI:
-
Para habilitar el parámetro con estado al agregar una regla ACL6, en el símbolo del sistema, escriba:
- add acl6 <name> ALLOW -stateful ( ENABLED | DISABLD )
- apply acls6
- show acl6 <name>
-
Para habilitar el parámetro con estado de una regla ACL6 existente, en el símbolo del sistema, escriba:
- set acl6 <name> -stateful ( ENABLED | DISABLED )
- apply acls6
- show acl6 <name>
Para habilitar el parámetro con estado de una regla ACL6 mediante la GUI:
- Vaya a Sistema > Red > ACL y, en la ficha ACL6s extendidas.
- Habilite el parámetro Stateful al agregar o modificar una regla ACL6 existente.
Configuración de ejemplo
> add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes
Done
> apply acls6
Done
> show acl6
1) Name: ACL6-1
Action: ALLOW Hits: 0
srcIPv6 = 1000::1
destIPv6
srcMac:
Protocol:
Vlan: Interface:
Active Status: ENABLED Applied Status: NOTAPPLIED
Priority: 10 NAT: NO
TTL:
Forward Session: NO
Stateful: YES
<!--NeedCopy-->
ACL extendidas basadas en conjunto de datos
Se requieren muchas ACL en una empresa. Configurar y administrar muchas ACL es difícil y engorroso cuando requieren cambios frecuentes.
Un dispositivo NetScaler admite conjuntos de datos en ACL extendidas. El conjunto de datos es una función existente de un dispositivo NetScaler. Un conjunto de datos es una matriz de tipos de patrones indexados: número (entero), dirección IPv4 o dirección IPv6.
La compatibilidad con conjuntos de datos en las ACL ampliadas resulta útil para crear varias reglas de ACL, que requieren parámetros de ACL comunes.
Al crear una regla de ACL, en lugar de especificar los parámetros comunes, puede especificar un conjunto de datos, que incluye estos parámetros comunes.
Cualquier cambio realizado en el conjunto de datos se refleja automáticamente en las reglas de ACL que utilizan este conjunto de datos. Las ACL con conjuntos de datos son más fáciles de configurar y administrar. También son más pequeños y fáciles de leer que los ACL convencionales.
En la actualidad, el dispositivo NetScaler solo admite los siguientes tipos de conjuntos de datos para las ACL extendidas:
- Dirección IPv4 (para especificar la dirección IP de origen o la dirección IP de destino o ambas para una regla ACL)
- número (para especificar el puerto de origen o el puerto de destino o ambos para una regla de ACL)
Antes de comenzar
Antes de configurar reglas de ACL extendidas basadas en conjuntos de datos, tenga en cuenta los siguientes puntos:
-
Asegúrese de estar familiarizado con la función de conjunto de datos de un dispositivo NetScaler. Para obtener más información sobre los conjuntos de datos, consulte Conjuntos de patrones y conjuntos de datos.
-
El dispositivo NetScaler admite conjuntos de datos solo para ACL extendidas IPv4.
-
El dispositivo NetScaler solo admite los siguientes tipos de conjuntos de datos para las ACL ampliadas:
- Dirección IPv4
- number
- El dispositivo NetScaler admite ACL extendidas basadas en conjuntos de datos para todas las configuraciones de NetScaler: autónomas, de alta disponibilidad y de clústeres.
-
Para una ACL ampliada con conjuntos de datos que contienen rangos, el dispositivo NetScaler crea internamente una ACL ampliada para cada combinación de los valores del conjunto de datos.
-
Ejemplo 1: Para una ACL extendida basada en dataset IPv4 con 1000 direcciones IPv4 enlazadas al conjunto de datos y el conjunto de datos se establece en el parámetro IP de origen, el dispositivo NetScaler crea internamente 1000 ACL extendidas.
-
Ejemplo 2: ACL extendida basada en un conjunto de datos con los siguientes parámetros establecidos:
- La IP de origen se establece en un conjunto de datos que contiene 5 direcciones IP.
- La IP de destino se establece en un conjunto de datos que contiene 5 direcciones IP.
- El puerto de origen se establece en un conjunto de datos que contiene 5 puertos.
- El puerto de destino se establece en un conjunto de datos que contiene 5 puertos.
El dispositivo NetScaler crea internamente 625 ACL extendidas. Cada una de estas ACL internas contiene una combinación única de los cuatro valores de parámetros mencionados anteriormente.
-
El dispositivo NetScaler admite un máximo de 10.000 ACL extendidas. Para una ACL extendida basada en datasets IPv4 con un rango de direcciones IP enlazadas al conjunto de datos, el dispositivo NetScaler deja de crear ACL internas una vez que el número total de ACL extendidas alcanza el límite máximo.
-
Los siguientes contadores están presentes como parte de las estadísticas de ACL ampliadas:
- Recuento de LCA. Número total de reglas de ACL configuradas por los usuarios.
- Recuento efectivo del LCA. Número total de reglas de ACL efectivas que el dispositivo NetScaler configura internamente.
Para obtener más información, consulte Visualización de estadísticas ACL extendidas y ACL6 ampliadas.
-
- El dispositivo NetScaler no admite
set
ni realiza operacionesunset
para asociar/disociar conjuntos de datos a los parámetros de una ACL extendida. Puede establecer los parámetros de ACL en un conjunto de datos solo durante la operaciónadd
.
Configurar ACL extendidas basadas en conjuntos de datos
La configuración de una regla de ACL ampliada basada en conjuntos de datos consta de las siguientes tareas:
-
Agrega un conjunto de datos. Un conjunto de datos es una matriz de tipos de patrones indexados: número (entero), dirección IPv4 o dirección IPv6. En esta tarea, crea un tipo de conjunto de datos, por ejemplo, un conjunto de datos de tipo IPv4.
-
Enlazar valores al conjunto de datos. Especifique un valor o un rango de valores en el conjunto de datos. Los valores especificados deben ser del mismo tipo que el tipo de conjunto de datos. Por ejemplo, puede especificar una dirección IPv4, un rango de direcciones IPv4 o un rango de direcciones IPv4 en notación CIDR para un conjunto de datos IPv4.
-
Agregue una ACL extendida y establezca los parámetros de ACL al conjunto de datos. Agregue una ACL ampliada y defina los parámetros de ACL necesarios en el conjunto de datos. Esta configuración da como resultado que los parámetros se establezcan en los valores especificados en el conjunto de datos.
-
Aplicar ACL extendidas. Aplique las ACL para activar cualquier ACL ampliada nueva o modificada.
Para agregar un conjunto de datos de directivas mediante la CLI:
En la línea de comandos, escriba:
- add policy dataset <name> <type>
- show policy dataset
Para enlazar un patrón al conjunto de datos mediante la CLI:
En la línea de comandos, escriba:
- bind policy dataset <name> <value> [-endRange \<string>]
- show policy dataset
Para agregar una ACL extendida y establecer los parámetros de ACL en el conjunto de datos mediante la CLI:
En la línea de comandos, escriba:
- add ns acl <aclname> <aclaction> [-**srcIP** [\<operator>] <srcIPVal>] [-**srcPort** [\<operator>] <srcPortVal>] [-**destIP** [\<operator>] <destIPVal>] [-**destPort** [\<operator>] <destPortVal>] …
- show acls
Para aplicar las ACL extendidas mediante la CLI:
En la línea de comandos, escriba:
- apply acls
Configuración de ejemplo
En la siguiente configuración de ejemplo de una ACL extendida basada en conjuntos de datos, se crean dos conjuntos de datos IPv4 DATASET_IP_ACL_1
y DATASET_IP_ACL_2
. Se crean dos conjuntos de datos de puertos DATASET_PORT_ACL_1
y DATASET_PORT_ACL_1
.
Dos direcciones IPv4: 192.0.2.30 y 192.0.2.60 están vinculadas DATASET_IP_ACL_1
. Dos intervalos de direcciones IPv4: (198.51.100.15 - 45) y (203.0.113.60-90) están vinculados a DATASET_IP_ACL_2
. DATASET_IP_ACL_1
se especifica en el parámetro srcIP
, y DATASET_IP_ACL_1
en el parámetro destIP
de la ACL extendida ACL-1
.
Dos números de puerto: 2001 y 2004, están vinculados DATASET_PORT_ACL_1
. Dos intervalos de puertos: (5001 - 5040) y (8001 - 8040) están vinculados DATASET-PORT-ACL-2
. DATASET_IP_ACL_1
se especifica en el parámetro srcIP
, y DATASET_IP_ACL_1
en el parámetro destIP
de la ACL extendida ACL-1
.
add policy dataset DATASET_IP_ACL_1 IPV4
add policy dataset DATASET_IP_ACL_2 IPV4
add policy dataset DATASET_PORT_ACL_1 NUM
add policy dataset DATASET_PORT_ACL_2 NUM
bind dataset DATASET_IP_ACL_1 192.0.2.30
bind dataset DATASET_IP_ACL_1 192.0.2.60
bind dataset DATASET_IP_ACL_2 198.51.100.15 -endrange 198.51.100.45
bind dataset DATASET_IP_ACL_2 203.0.113.1/24
bind dataset DATASET_PORT_ACL_1 2001
bind dataset DATASET_PORT_ACL_1 2004
bind dataset DATASET_PORT_ACL_2 5001 -endrange 5040
bind dataset DATASET_PORT_ACL_2 8001 -endrange 8040
add ns acl ACL-1 ALLOW -srcIP DATASET_IP_ACL_1 -destIP DATASET_IP_ACL_2
-srcPort DATASET_PORT_ACL_1 -destPort DATASET_PORT_ACL_2 –protocol TCP
<!--NeedCopy-->