Listas de control de acceso
Una lista de control de acceso (ACL) es un conjunto de condiciones que puede aplicar a un dispositivo de red para filtrar el tráfico IP y proteger su dispositivo del acceso no autorizado.
Puede configurar una ACL en la GUI de NetScaler SDX Management Service para limitar y controlar el acceso al dispositivo.
Nota:
Las ACL de los dispositivos SDX se admiten desde la versión 12.0 57.19 en adelante.
Este tema incluye las siguientes secciones:
- Directrices de uso
- Cómo configurar las ACL
- Otras acciones para las reglas de ACL
- Solución de problemas
Directrices de uso
Tenga en cuenta los siguientes puntos al crear ACL en su dispositivo:
- Al actualizar el dispositivo SDX a la versión 11.0 57.19, la función ACL se inhabilita de forma predeterminada.
- Los administradores de SDX solo pueden controlar los paquetes entrantes a través de ACL en el dispositivo SDX.
- Si utiliza NetScaler Application Delivery Management para administrar su dispositivo SDX, debe crear las reglas de ACL adecuadas para permitir la comunicación entre MAS y el Servicio de administración de SDX.
- Cualquier otra configuración en el dispositivo SDX, como aprovisionar o eliminar VPX, agregar/eliminar servidores externos, administración SNMP, no requiere ningún cambio en la configuración de ACL existente. El Servicio de Gestión se encarga de la comunicación con estas entidades.
Cómo configurar una ACL
La configuración de una ACL implica los siguientes pasos:
- Habilitar la función ACL
- Crear una regla de ACL
- Habilitar la regla de ACL
Nota:
Puede crear reglas de ACL sin habilitar la función de ACL. Sin embargo, si la función no está habilitada, no podrá habilitar una regla de ACL después de haberla creado.
Habilitar la función ACL
-
Para habilitar la función ACL, inicie sesión en la GUI de SDX Management Service y vaya a Configuración > Sistema > ACL.
-
Mediante el botón de alternancia, active la función ACL.
Crear una regla de ACL
-
En la página ACL, haga clic en Crear regla.
-
Se abre la ventana Crear regla. Agregue los detalles que se indican en la siguiente tabla.
Propiedad Descripción Nombre Agregue un nombre. Protocolo Selecciona un protocolo en el menú. De forma predeterminada, se selecciona TCP. Puede seleccionar CUALQUIERA para permitir todos los protocolos. Dirección IP de origen/subred Especifique la dirección IP de origen o la subred de origen a la que se aplica la regla. Seleccione CUALQUIERA si la regla debe aplicarse a todo el tráfico entrante. IP de destino La dirección IP de SDX Management Service se rellena automáticamente como la IP de destino. Este campo no se puede modificar. Puerto de destino Especifique el puerto de destino al que se aplica la regla. Seleccione CUALQUIERA si la regla se aplica a todos los puertos de destino. Acción Seleccione la acción de la regla, que es Permitir o Denegar. Prioridad Asigne prioridad para especificar el orden en que se evaluará la regla. Los números de prioridad determinan el orden en que las reglas de ACL se comparan con un paquete entrante. Un número de prioridad más baja tiene una prioridad más alta. Por ejemplo, el número de prioridad 1 tiene una prioridad más alta que el número de prioridad 1. Si ninguna de las reglas coincide con el paquete entrante, el paquete se bloquea. -
Haga clic en Aceptar para crear la regla.
Ilustración: Ejemplo de regla de ACL
Una vez creada la regla, se encuentra en estado inhabilitado. Para que la regla sea efectiva, debe habilitarla.
Nota:
Para habilitar una regla, la función de ACL debe estar habilitada. Si la función está inhabilitada e intenta habilitar una regla de ACL, aparece el mensaje “ACL no se está ejecutando”.
Habilitar una regla de ACL
-
Pase el cursor sobre la regla que quiera habilitar y haga clic en el círculo con tres puntos.
-
En el menú, selecciona Habilitar.
-
Como alternativa, seleccione el botón de opción para esa regla y haga clic en la ficha Habilitar.
-
Cuando se le solicite, haga clic en Sí para confirmar.
Otras acciones para las reglas de ACL
Puede aplicar las siguientes acciones a las reglas de ACL:
-
Inhabilitar una regla ACL
-
Modificar una regla de ACL
-
Eliminar una regla de ACL
-
Renumerar la prioridad de las reglas de ACL
Inhabilitar una regla ACL
-
Pase el cursor sobre la regla que quiere inhabilitar y seleccione el círculo con tres puntos.
-
Haga clic en Inhabilitar en la lista.
-
Como alternativa, seleccione el botón de opción para esa regla y haga clic en la ficha Inhabilitar.
-
Haga clic en Sí para confirmar.
Nota:
Al inhabilitar una regla, la regla ya no se aplica al tráfico entrante. Sin embargo, la configuración de reglas permanece en la configuración de ACL.
Modificar una regla de ACL
-
Pase el cursor sobre la regla que quiera modificar y seleccione el círculo con tres puntos.
-
Haga clic en Modificar regla en la lista. Se abrirá la ventana Modificar regla.
-
Como alternativa, seleccione el botón de opción para esa regla y haga clic en la ficha Modificar regla. Se abre la ventana Modificar regla.
-
Realice los cambios y haga clic en Aceptar.
Nota:
Puede modificar una regla en estado habilitado e inhabilitado. Si modifica una regla que ya está habilitada, las modificaciones se aplicarán inmediatamente. Para una regla en estado inhabilitado, las modificaciones se aplican cuando se habilita la regla.
Eliminar una regla de ACL
-
Asegúrese de que la regla esté en estado inhabilitado.
-
Pase el cursor sobre la regla que quiera eliminar y seleccione el círculo con tres puntos. Haga clic en Eliminar regla en la lista.
-
Como alternativa, seleccione el botón de opción para esa regla y haga clic en la ficha Eliminar regla.
-
Haga clic en Sí para confirmar.
Nota:
No se puede eliminar una regla en el estado habilitado.
Renumerar las prioridades de las reglas de ACL
-
Pase el cursor sobre la regla para la que quiere volver a numerar las prioridades y seleccione el círculo con tres puntos. Haga clic en Renumerar prioridades en la lista.
-
Como alternativa, seleccione el botón de opción para esa regla y haga clic en la ficha Seleccionar acción.
-
Seleccione Renumerar prioridades.
-
El Servicio de administración de SDX asigna automáticamente nuevos números de prioridad, que son múltiplos de 10, a todas las reglas existentes.
-
Modifique las reglas para asignar números de prioridad según su requisito. Consulte la sección “Para modificar una regla ACL” para obtener más información sobre cómo modificar una regla.
Figura. Un ejemplo de números de prioridad existentes
Figura. Un ejemplo de números de prioridad en múltiplos de 10, después de que se renumeren las prioridades
Solución de problemas
Si las reglas de ACL no se configuran correctamente, se puede denegar el acceso a todas las cuentas de usuario. Si pierde sin darse cuenta todo el acceso a la red a SDX Management Service debido a una configuración de ACL incorrecta, siga estos pasos para obtener acceso.
-
Inicie sesión en la dirección IP de administración de Citrix Hypervisor mediante SSH y su cuenta “root”.
-
Inicie sesión en la consola de la máquina virtual del Servicio de administración con los privilegios de administrador.
-
Ejecute el comando
pfctl –d
. -
Inicie sesión en Management Service a través de la GUI y vuelva a configurar la ACL en consecuencia.