ACL étendues et ACL6 étendues
Les ACL étendues et les ACL6 étendues fournissent des paramètres et des actions qui ne sont pas disponibles avec les ACL simples. Vous pouvez filtrer les données en fonction de paramètres tels que l’adresse IP source, le port source, l’action et le protocole. Vous pouvez spécifier des tâches pour autoriser un paquet, refuser un paquet ou pont un paquet.
Les ACL étendues et les ACL6 peuvent être modifiés après leur création, et vous pouvez renuméroter leurs priorités pour spécifier l’ordre dans lequel elles sont évaluées.
Remarque : Si vous configurez à la fois des listes ACL simples et étendues, les listes ACL simples ont priorité sur les listes ACL étendues.
Les actions suivantes peuvent être effectuées sur les ACL étendues et les ACL6 : Modifier, Appliquer, Désactiver, Enable, Supprimer et Renuméroter (priorité). Vous pouvez afficher les ACL étendues et les ACL6 pour vérifier leur configuration, et vous pouvez afficher leurs statistiques.
Vous pouvez configurer Citrix ADC pour consigner les détails des paquets correspondant à une ACL étendue.
Application des ACL étendues et ACL6 étendues : contrairement aux ACL simples et ACL6, les ACL étendues et ACL6 créées sur Citrix ADC ne fonctionnent pas tant qu’elles ne sont pas appliquées. De plus, si vous apportez des modifications à une ACL étendue ou à une ACL6, telles que la désactivation des ACL, la modification d’une priorité ou la suppression des ACL, vous devez réappliquer les listes ACL ou ACL6 étendues. Vous devez les réappliquer après avoir activé la journalisation. La procédure d’application des ACL étendues ou des ACL6 les réapplique toutes. Par exemple, si vous avez appliqué les règles ACL étendues 1 à 10, puis que vous créez et appliquez la règle 11, les 10 premières règles sont appliquées à nouveau.
Si une session comporte une ACL DENY associée, cette session est terminée lorsque vous appliquez les ACL.
Les ACL étendues et les ACL6 sont activés par défaut. Lorsqu’ils sont appliqués, Citrix ADC commence à comparer les paquets entrants avec eux. Toutefois, si vous les désactivez, ils ne sont pas utilisés tant que vous ne les réactivez pas, même s’ils sont réappliqués.
Renumérotation des priorités des ACL étendues et des ACL6 étendues : les numéros de priorité déterminent l’ordre dans lequel les ACL étendues ou ACL6 sont appariées à un paquet. Une liste de contrôle d’accès avec un numéro de priorité inférieur a une priorité plus élevée. Il est évalué avant les listes ACL avec des numéros de priorité plus élevés (priorités inférieures), et la première ACL à correspondre au paquet détermine l’action appliquée au paquet.
Lorsque vous créez une ACL étendue ou une ACL6, Citrix ADC lui attribue automatiquement un numéro de priorité multiple de 10, sauf indication contraire. Par exemple, si deux ACL étendues ont des priorités de 20 et 30, respectivement, et que vous souhaitez qu’une troisième ACL ait une valeur entre ces nombres, vous pouvez lui attribuer une valeur de 25. Si vous souhaitez par la suite conserver l’ordre dans lequel les ACL sont évaluées mais restaurer leur numérotation à des multiples de 10, vous pouvez utiliser la procédure de renumérotation.
Configuration des ACL étendues et des ACL6 étendus
La configuration d’une ACL étendue ou d’une ACL6 sur un Citrix ADC comprend les tâches suivantes.
- Créez une ACL ou un ACL6 étendu. Créez une liste ACL ou ACL6 étendue pour autoriser, refuser ou combler un paquet. Vous pouvez spécifier une adresse IP ou une plage d’adresses IP qui correspondent aux adresses IP source ou de destination des paquets. Vous pouvez spécifier un protocole correspondant au protocole des paquets entrants.
- (Facultatif) Modifiez une ACL ou un ACL6 étendu. Vous pouvez modifier les ACL étendues ou ACL6 que vous avez précédemment créées. Ou, si vous souhaitez en retirer temporairement un, vous pouvez le désactiver, puis le réactiver.
- Appliquez des ACL étendues ou des ACL6. Une fois que vous avez créé, modifié, désactivé ou réactivé, ou supprimé une ACL ou ACL6 étendue, vous devez appliquer les listes ACL étendues ou ACL6 pour les activer.
- (Facultatif) Renuméroter les priorités des ACL étendues ou des ACL6. Si vous avez configuré des listes ACL avec des priorités qui ne sont pas multiples de 10 et que vous souhaitez restaurer la numérotation à des multiples de 10, utilisez la procédure de renumérotation.
Procédures CLI
Pour créer une ACL étendue à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
-
**add ns acl** <aclname><aclaction>[-**SrCip** [] <operator><srcIPVal>] [-**SrcPort** [] <operator><srcPortVal>] [-**DesTip** [] <operator><destIPVal>] [-**DestPort** [] <operator><destPortVal>] [-**TTL** ] <positive_integer>[-**SRCMac** ] <mac_addr>[(-**protocole** \ [-établi]<protocol>) | -**Numéro de protocole** <positive_integer>] [-**VLAN** ] <positive_integer>[-**interface** ] <interface_name>[-**ICMPType** \ [-**ICMPCode** ]<positive_integer><positive_integer>] [-**état de**priorité** ] <positive_integer>[-** (ENABLED | DISABLED)] [-**état du journal** (ENABLED | DISABLED) [-**limite de taux** ]<positive_integer>]
-
afficher ns acl []<aclName>
Pour créer un ACL6 étendu à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
-
**ajouter ns acl6** <acl6name><acl6action>[-**SrcPv6** [] <operator><srcIPv6Val>] [-**SrcPort** [] <srcPortVal>] [-**DestiPv6** [] <operator><destIPv6Val>] [-**DestPort** [] <destPortVal>] [-**TTL** ] [-**SRCMac** ] [(-**protocole** \ [-établi]) | -**Numéro de protocole** <positive_integer>] [-**VLAN** ] [-**interface** ] [-**ICMPType** \ [-**ICMPCode** ]] [-**état de**priorité** ] [-** (ENABLED | DISABLED)]
-
montrer ns acl6 []
Pour modifier une ACL étendue à l’aide de l’interface de ligne de commande :
Pour modifier une ACL étendue, tapez la commande set ns acl, le nom de l’ACL étendue et les paramètres à modifier, avec leurs nouvelles valeurs.
Pour modifier un ACL6 étendu à l’aide de l’interface de ligne de commande :
Pour modifier un ACL6 étendu, tapez la commande set ns acl6, le nom de l’ACL6 étendu et les paramètres à modifier, avec leurs nouvelles valeurs.
Pour désactiver ou activer une ACL étendue à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez l’une des commandes suivantes :
- désactiver ns acl <aclname>
- activer ns acl <aclname>
Pour désactiver ou activer un ACL6 étendu à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez l’une des commandes suivantes :
- désactiver ns acl6 <aclname>
- activer ns acl6 <aclname>
Pour appliquer des ACL étendues à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- appliquer un acls
Pour appliquer des ACL6 étendus à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- appliquer ns acls6
Pour renuméroter les priorités des ACL étendues à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- renuméroter les acls
Pour renuméroter les priorités des ACL6 étendus à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- renuméroter ns acls6
Procédures GUI
Pour configurer une ACL étendue à l’aide de l’interface graphique :
- Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues, ajoutez une nouvelle ACL étendue ou modifiez une ACL étendue existante. Pour activer ou désactiver une ACL étendue existante, sélectionnez-la, puis sélectionnez Activer ou désactiver dans la liste Action .
Pour configurer un ACL6 étendu à l’aide de l’interface graphique :
- Accédez à Système > Réseau > ACL et, sous l’onglet ACL6s étendus, ajoutez un nouvel ACL6 étendu ou modifiez un ACL6 étendu existant. Pour activer ou désactiver un ACL6 étendu existant, sélectionnez-le, puis sélectionnez Activer ou désactiver dans la liste Action .
Pour appliquer des ACL étendues à l’aide de l’interface graphique :
- Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues, dans la liste Action, cliquez sur Appliquer.
Pour appliquer des ACL6 étendus à l’aide de l’interface graphique :
- Accédez à Système > Réseau > ACL et, sous l’onglet ACL6s étendus, dans la liste Action, cliquez sur Appliquer.
Pour renuméroter les priorités des ACL étendues à l’aide de l’interface graphique :
- Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues, dans la liste Action, cliquez sur Renuméroter les priorités.
Pour renuméroter les priorités des ACL6 étendus à l’aide de l’interface graphique :
- Accédez à Système > Réseau > ACL et, sous l’onglet ACL6s étendus, dans la liste Action, cliquez sur Renuméroter les priorités.
Exemples de configurations
Le tableau suivant présente des exemples de configuration de règles ACL étendues via l’interface de ligne de commande : exemples de configurations ACL.
Consignation des listes ACL étendues
Vous pouvez configurer Citrix ADC pour consigner les détails des paquets qui correspondent aux ACL étendues.
En plus du nom ACL, les détails consignés incluent des informations spécifiques au paquet, telles que les adresses IP source et de destination. Les informations sont stockées soit dans le fichier syslog, soit dans le nslog
fichier, en fonction du type de logging global (syslog or nslog
) activé.
La journalisation doit être activée au niveau global et au niveau ACL. Le paramètre global est prioritaire.
Pour optimiser la journalisation, lorsque plusieurs paquets d’un même flux correspondent à une ACL, seuls les détails du premier paquet sont consignés et le compteur est incrémenté pour chaque paquet appartenant au même flux. Un flux est défini comme un ensemble de paquets ayant les mêmes valeurs pour l’adresse IP source, l’adresse IP de destination, le port source, le port de destination et les paramètres de protocole. Pour éviter l’inondation des messages de journal, Citrix ADC effectue une limitation de débit interne afin que les paquets appartenant au même flux ne soient pas consignés de façon répétée. Le nombre total de flux différents pouvant être enregistrés à tout moment est limité à 10 000.
Remarque : Vous devez appliquer des ACL après avoir activé la journalisation.
Procédures CLI
Pour configurer la journalisation ACL étendue à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez les commandes suivantes pour configurer la journalisation et vérifier la configuration :
- **set ns acl** <aclName>[-**LogState** (ACTIVÉ | DÉSACTIVÉ)] [-**RateLimit** ]<positive_integer>
- appliquer des acls
- Afficher un acl []
Procédures GUI
Pour configurer la journalisation ACL étendue à l’aide de l’interface graphique :
- Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues, ouvrez l’ACL étendue.
- Définissez les paramètres suivants :
-
État du journal : activez ou désactivez la journalisation des événements liés à la règle ACL étendue. Les messages de journal sont stockés sur le
syslog or auditlog
serveur configuré. - Limite du nombre de journaux : nombre maximal de messages de journal à générer par seconde. Si vous définissez ce paramètre, vous devez activer le paramètre Log State.
-
État du journal : activez ou désactivez la journalisation des événements liés à la règle ACL étendue. Les messages de journal sont stockés sur le
Exemple de configuration
> set ns acl restrict -logstate ENABLED -ratelimit 120
Warning: ACL modified, apply ACLs to activate change
> apply ns acls
Done
<!--NeedCopy-->
Enregistrement des ACL6 étendus
Vous pouvez configurer l’appliance Citrix ADC pour consigner les détails des paquets correspondant à une règle ACL6 étendue. En plus du nom ACL6, les détails consignés incluent des informations spécifiques au paquet, telles que les adresses IP source et de destination. Les informations sont stockées dans un syslog ou dans un nslog
fichier, en fonction du type de logging (syslog or nslog
) que vous avez configuré dans l’appliance Citrix ADC.
Pour optimiser la journalisation, lorsque plusieurs paquets du même flux correspondent à un ACL6, seuls les détails du premier paquet sont consignés. Le compteur est incrémenté pour tous les autres paquets appartenant au même flux. Un flux est défini comme un ensemble de paquets ayant les mêmes valeurs pour les paramètres suivants :
- IP source
- IP destination
- Port source
- Port de destination
- Protocole (TCP ou UDP)
Si un paquet entrant ne provient pas du même flux, un nouveau flux est créé. Le nombre total de flux différents pouvant être enregistrés à tout moment est limité à 10 000.
Procédures CLI
Pour configurer la journalisation d’une règle ACL6 étendue à l’aide de l’interface de ligne de commande :
-
Pour configurer la journalisation lors de l’ajout de la règle ACL6 étendue, à l’invite de commandes, tapez :
- **ajouter un ACL6** <acl6Name><acl6action> [-**LogState** (ACTIVÉ | DÉSACTIVÉ)] [-**RateLimit** ]
- appliquer ACLS6
- Afficher ACL6 []<acl6Name>
-
Pour configurer la journalisation d’une règle ACL6 étendue existante, à l’invite de commandes, tapez :
- **set ACL6** <acl6Name> [-**LogState** (ACTIVÉ | DÉSACTIVÉ)] [-**RateLimit** ]
- Afficher ACL6 []
- appliquer ACLS6
Procédures GUI
Pour configurer la journalisation ACL6 étendue à l’aide de l’interface graphique :
- Accédez à Système > Réseau > ACL, puis cliquez sur l’onglet ACL6s étendus .
- Définissez les paramètres suivants lors de l’ajout ou de la modification d’une règle ACL6 étendue existante.
-
État du journal : permet d’activer ou de désactiver la journalisation des événements liés à la règle ACL6 étendue. Les messages de journal sont stockés dans le Syslog ou le
auditlog
serveur configuré. - Limite du nombre de journaux : nombre maximal de messages de journal à générer par seconde. Si vous définissez ce paramètre, vous devez activer le paramètre Log State .
-
État du journal : permet d’activer ou de désactiver la journalisation des événements liés à la règle ACL6 étendue. Les messages de journal sont stockés dans le Syslog ou le
Exemple de configuration
> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120
Done
> apply acls6
Done
<!--NeedCopy-->
Affichage des listes ACL étendues et des statistiques ACL6 étendues
Vous pouvez afficher les statistiques des ACL étendues et des ACL6.
Le tableau suivant répertorie les statistiques associées aux ACL étendues et aux ACL6, ainsi que leurs descriptions.
Statistiques | Spécifie |
---|---|
Autoriser les correspondances ACL | Paquets correspondant aux ACL avec le mode de traitement défini sur Autoriser. Citrix ADC traite ces paquets. |
Matchs NAT ACL | Paquets correspondant à une ACL NAT, entraînant une session NAT. |
Refuser les matchs ACL | Les paquets ont été supprimés parce qu’ils correspondent aux ACL avec le mode de traitement défini sur DENY. |
Matchs ACL Bridge | Paquets correspondant à une liste ACL de pont, qui, en mode transparent, contourne le traitement du service. |
Matchs ACL | Paquets correspondant à une liste ACL. |
Les manques ACL | Les paquets ne correspondent à aucune ACL. |
Comptage ACL | Nombre total de règles ACL configurées par les utilisateurs. |
Comptage ACL efficace | Nombre total d’ACL efficaces configurées en interne. Pour une ACL étendue avec une plage d’adresses IP, l’appliance Citrix ADC crée en interne une ACL étendue pour chaque adresse IP. Par exemple, pour une ACL étendue avec 1000 adresses IPv4 (plage ou jeu de données), Citrix ADC a créé en interne 1000 ACL étendues. |
Procédures CLI
Pour afficher les statistiques de toutes les listes ACL étendues à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- Démarrer un acl
Pour afficher les statistiques de tous les ACL6 étendus à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- Commencez à Nsacl6
Procédures GUI
Pour afficher les statistiques d’une ACL étendue à l’aide de l’interface graphique :
- Accédez à Système > Réseau > ACL, sous l’onglet ACL étendues, sélectionnez l’ACL étendue, puis cliquez sur Statistiques.
Pour afficher les statistiques d’un ACL6 étendu à l’aide de l’interface graphique :
- Accédez à Système > Réseau > ACL, sous l’onglet ACL6s étendus, sélectionnez l’ACL étendue, puis cliquez sur Statistiques.
ACL avec état
Une règle ACL avec état crée une session lorsqu’une demande correspond à la règle et autorise les réponses obtenues même si ces réponses correspondent à une règle ACL de refus dans l’appliance Citrix ADC. Une ACL avec état décharge le travail de création de règles ACL et de règles de session de transfert supplémentaires pour autoriser ces réponses spécifiques.
Les ACL avec état peuvent être utilisées au mieux dans un déploiement de pare-feu Edge d’une appliance Citrix ADC présentant les conditions suivantes :
- L’appliance Citrix ADC doit autoriser les demandes lancées à partir de clients internes et les réponses associées à partir d’Internet.
- La solution matérielle-logicielle doit supprimer les paquets d’Internet qui ne sont liés à aucune connexion client.
Avant de commencer
Avant de configurer des règles ACL avec état, notez les points suivants :
- L’appliance Citrix ADC prend en charge les règles ACL avec état et les règles ACL6 avec état.
- Dans une configuration haute disponibilité, les sessions d’une règle ACL avec état ne sont pas synchronisées avec le nœud secondaire.
- Vous ne pouvez pas configurer une règle ACL comme avec état si la règle est liée à une configuration NAT Citrix ADC. Voici quelques exemples de configurations NAT Citrix ADC :
- RAT
- NAT à grande échelle (NAT44 à grande échelle, DS-Lite, NAT64 à grande échelle)
- NAT64
- Session de transfert
- Vous ne pouvez pas configurer une règle ACL en tant qu’état si les paramètres TTL et Établi sont définis pour cette règle ACL.
- Les sessions créées pour une règle ACL avec état continuent d’exister jusqu’à l’exode, quelles que soient les opérations ACL suivantes :
- Supprimer ACL
- Désactiver l’ACL
- ACL clair
- Les listes ACL avec état ne sont pas prises en charge pour les protocoles suivants :
- FTP actif
- TFTP
Configurer des règles ACL IPv4 avec état
La configuration d’une règle ACL avec état consiste à activer le paramètre avec état d’une règle ACL.
Pour activer le paramètre avec état d’une règle ACL à l’aide de l’interface de ligne de commande, procédezcomme suit :
-
Pour activer le paramètre stateful lors de l’ajout d’une règle ACL, à l’invite de commandes, tapez :
- add acl ALLOW <lname>-avec état (ACTIVÉ | DÉSACTIVÉ)
- appliquer des acls
- Afficher l’acl <name>
-
Pour activer le paramètre stateful d’une règle ACL existante, à l’invite de commandes, tapez :
- set acl <name>-état (ACTIVÉ | DÉSACTIVÉ)
- appliquer des acls
- Afficher l’acl <name>
Pour activer le paramètre avec état d’une règle ACL à l’aide de l’interface graphique :
-
Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues .
-
Activez le paramètre Stateful lors de l’ajout ou de la modification d’une règle ACL existante.
Exemple de configuration
> add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes
Done
> apply acls
Done
> show acl
1) Name: ACL-1
Action: ALLOW Hits: 0
srcIP = 1.1.1.1
destIP
srcMac:
Protocol:
Vlan: Interface:
Active Status: ENABLED Applied Status: NOTAPPLIED
Priority: 10 NAT: NO
TTL:
Log Status: DISABLED
Forward Session: NO
Stateful: YES
<!--NeedCopy-->
Configurer des règles ACL6 avec état
La configuration d’une règle ACL6 avec état consiste à activer le paramètre avec état d’une règle ACL6.
Pour activer le paramètre avec état d’une règle ACL6 à l’aide de l’interface de ligne de commande :
-
Pour activer le paramètre stateful lors de l’ajout d’une règle ACL6, à l’invite de commandes, tapez :
- ajouter acl6 ALLOW <name>-stateful (ACTIVÉ | DÉSACTIVÉ)
- appliquer ACLS6
- Afficher ACL6 <name>
-
Pour activer le paramètre stateful d’une règle ACL6 existante, à l’invite de commandes, tapez :
- set acl6 <name>- avecétat (ACTIVÉ | DÉSACTIVÉ)
- appliquer ACLS6
- Afficher ACL6 <name>
Pour activer le paramètre avec état d’une règle ACL6 à l’aide de l’interface graphique :
- Accédez à Système > Réseau > ACL et, sous l’onglet ACL6s étendus .
- Activez le paramètre Stateful lors de l’ajout ou de la modification d’une règle ACL6 existante.
Exemple de configuration
> add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes
Done
> apply acls6
Done
> show acl6
1) Name: ACL6-1
Action: ALLOW Hits: 0
srcIPv6 = 1000::1
destIPv6
srcMac:
Protocol:
Vlan: Interface:
Active Status: ENABLED Applied Status: NOTAPPLIED
Priority: 10 NAT: NO
TTL:
Forward Session: NO
Stateful: YES
<!--NeedCopy-->
ACL étendues basées sur un jeu de données
De nombreuses ACL sont nécessaires dans une entreprise. La configuration et la gestion de nombreuses listes de contrôle d’accès sont difficiles et fastidieuses lorsqu’elles nécessitent des modifications fréquentes.
Une appliance Citrix ADC prend en charge les jeux de données dans les ACL étendues. Le jeu de données est une fonctionnalité existante d’une appliance Citrix ADC. Un jeu de données est un tableau de modèles indexés de types : nombre (entier), adresse IPv4 ou adresse IPv6.
La prise en charge des jeux de données dans les listes ACL étendues est utile pour créer plusieurs règles ACL, qui nécessitent des paramètres ACL communs.
Lors de la création d’une règle ACL, au lieu de spécifier les paramètres communs, vous pouvez spécifier un jeu de données, qui inclut ces paramètres communs.
Toutes les modifications apportées au jeu de données sont automatiquement reflétées dans les règles ACL qui utilisent ce jeu de données. Les listes ACL avec jeux de données sont plus faciles à configurer et à gérer. Ils sont également plus petits et plus faciles à lire que les ACL classiques.
Actuellement, l’appliance Citrix ADC prend uniquement en charge le jeu de données de type d’adresse IPv4 pour les ACL étendues.
Avant de commencer
Avant de configurer des règles ACL étendues basées sur un jeu de données, notez les points suivants :
- Assurez-vous que vous êtes familier avec la fonctionnalité de jeu de données d’une appliance Citrix ADC. Pour plus d’informations sur les jeux de données, voir Jeux de modèles et jeux de données.
- L’appliance Citrix ADC prend en charge les jeux de données uniquement pour les ACL étendues IPv4.
- L’appliance Citrix ADC prend uniquement en charge les jeux de données de type IPv4 pour les ACL étendues.
- L’appliance Citrix ADC prend en charge les listes ACL étendues basées sur un jeu de données pour toutes les configurations : autonome, haute disponibilité et cluster.
-
Pour une ACL étendue avec une plage d’adresses IP, l’appliance Citrix ADC crée en interne une ACL étendue pour chaque adresse IP. Par exemple, pour une ACL étendue basée sur un jeu de données IPv4 avec 1000 adresses IPv4 liées au jeu de données, l’appliance Citrix ADC a créé en interne 1000 ACL étendues.
-
L’appliance Citrix ADC prend en charge un maximum de 10 000 ACL étendues. Pour une ACL étendue basée sur un jeu de données IPv4 avec une plage d’adresses IP liées au jeu de données, l’appliance Citrix ADC cesse de créer des listes ACL internes une fois que le nombre total d’ACL étendues atteint la limite maximale.
-
Les compteurs suivants sont présents dans le cadre des statistiques ACL étendues :
- Comptage ACL. Nombre total de règles ACL configurées par les utilisateurs.
- Comptage ACL efficace. Nombre total de règles d’ACL effectives configurées par l’appliance Citrix ADC en interne.
Pour plus d’informations, reportez-vous à la section Affichage des statistiques ACL étendues et ACL6sétendues.
-
- L’appliance Citrix ADC ne prend pas en charge
set
etunset
ne fonctionne pas pour associer/dissocier des jeux de données avec les paramètres d’une liste d’accès étendue. Vous pouvez définir les paramètres ACL sur un jeu de données uniquement pendant l’add
opération.
Configuration des ACL étendues basées sur un jeu de données
La configuration d’une règle ACL étendue basée sur un jeu de données comprend les tâches suivantes :
-
Ajoutez un jeu de données. Un jeu de données est un tableau de modèles indexés de types : nombre (entier), adresse IPv4 ou adresse IPv6. Dans cette tâche, vous créez un type de jeu de données, par exemple un jeu de données de type IPv4.
-
Liez des valeurs au jeu de données. Spécifiez une valeur ou une plage de valeurs pour le jeu de données. Les valeurs spécifiées doivent être du même type que le type de jeu de données. Par exemple, vous pouvez spécifier une adresse IPv4 ou une plage d’adresses IPv4 pour le jeu de données de type IPv4.
-
Ajoutez une liste d’accès étendue et définissez des paramètres ACL au jeu de données. Ajoutez une ACL étendue et définissez les paramètres ACL requis dans le jeu de données. Ce paramètre permet de définir les paramètres sur les valeurs spécifiées dans le jeu de données.
-
Appliquez des ACL étendues. Appliquez les ACL pour activer toutes les listes ACL étendues nouvelles ou modifiées.
Pour ajouter un jeu de données de stratégie à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- ajouter un jeu de données de stratégie <name><type>
- jeu de données show policy
Pour lier un motif à l’ensemble de données à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- jeu de données de stratégie de liaison <name><value>[-EndRange ]<string>
- jeu de données show policy
Pour ajouter une ACL étendue et définir les paramètres ACL sur le jeu de données à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- ajouter ns acl [-SrCip** [][-SrcPort []** <aclname><aclaction><srcIPVal><srcPortVal>] [-DesTip [] <destIPVal>] [-DestPort [] <destPortVal>]…
- Afficher les acls
Pour appliquer des ACL étendues à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- appliquer des acls
Exemple de configuration
Dans l’exemple de configuration suivant d’une ACL étendue basée sur un jeu de données, un jeu de données IPv4 DATASET-ACL-1 est créé. Deux adresses IPv4 : 192.0.2.30 et 192.0.2.60, et deux plages d’adresses IPv4 : (198.51.100.15 - 45) et (203.0.113.60-90) sont liées à DATASET-ACL-1. DATASET-ACL-1 est ensuite spécifié aux paramètres SrCip et DeStip de l’ACL ACL-1 étendu.
add policy dataset DATASET-ACL-1 IPV4
bind dataset DATASET-ACL-1 192.0.2.30
bind dataset DATASET-ACL-1 192.0.2.60
bind dataset DATASET-ACL-1 198.51.100.15 -endrange 198.51.100.45
bind dataset DATASET-ACL-1 203.0.113.60 -endrange 203.0.113.90
add ns acl ACL-1 ALLOW -srcIP DATASET-ACL-1 -destIP DATASET-ACL-1
apply acls
<!--NeedCopy-->