ACL simples et ACL6 simples
Une ACL simple ou un ACL6 simple utilise peu de paramètres et peut être configuré uniquement pour supprimer les paquets IP. Les paquets peuvent être supprimés en fonction de leur adresse IP source et, éventuellement, de leur protocole, de leur port de destination ou de leur domaine de trafic.
Lors de la création d’une ACL simple ou d’une ACL6 simple, vous pouvez spécifier un temps de vie (TTL), en secondes, après quoi l’ACL expire. Les ACL avec des TTL ne sont pas enregistrées lorsque vous enregistrez la configuration. Vous pouvez afficher des ACL simples et des ACL6 simples pour vérifier leur configuration, et vous pouvez afficher leurs statistiques.
Configuration des ACL simples et des ACL6 simples
La configuration d’une ACL simple ou d’un ACL6 simple sur un Citrix ADC peut inclure les tâches suivantes.
- Créez des ACL simples ou des ACL6simples. Créer des ACL simples ou des ACL6 simples pour supprimer (refuser) les paquets en fonction de leur adresse IP source et, éventuellement, de leur protocole, de leur port de destination ou de leur domaine de trafic.
- Supprimez les ACL simples ou les ACL6simples. Ces ACL ne peuvent pas être modifiées une fois créées. Si vous devez modifier une liste ACL simple ou un ACL6 simple, vous devez la supprimer et en créer une.
Procédures CLI
Pour créer une ACL simple à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- ns simpleacl <aclname> DENY -srcIP <ip_addr> [-destPort <port> -protocol ( TCP | UDP )] [-TTL <positive_integer>]
- show ns simpleacl [<aclname>]
<!--NeedCopy-->
Exemple :
> add simpleacl rule1 DENY -srcIP 10.102.29.5 -TTL 600
Done
<!--NeedCopy-->
Pour créer un ACL6 simple à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- add ns simpleacl6 <aclname> DENY - srcIPv6 <ipv6_addr|null> [-destPort <port> -protocol ( TCP | UDP )] [-TTL <positive_integer>]
- show ns simpleacl6 [<aclname>]
<!--NeedCopy-->
Exemple :
> add ns simpleacl6 rule1 DENY –srcIPv6 3ffe:192:168:215::82 -destPort 80 -Protocol TCP -TTL 9000
Done
<!--NeedCopy-->
Pour supprimer une seule ACL simple à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- rm ns simpleacl <aclname>
- show ns simpleacl
Pour supprimer un seul ACL6 simple à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- rm ns simpleacl6<aclname>
- show ns simpleacl6
Pour supprimer toutes les listes ACL simples à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
-
clear ns simpleacl
-
show ns simpleacl
Pour supprimer tous les ACL6 simples à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
-
clear ns simpleacl6
-
show ns simpleacl6
Procédures GUI
Pour créer une ACL simple à l’aide de l’interface graphique :
Accédez à Système > Réseau > ACL et, sous l’onglet ACL simples, ajoutez une nouvelle ACL simple.
Pour créer un ACL6 simple à l’aide de l’interface graphique :
Accédez à Système > Réseau > ACL et, sous l’onglet Simple ACL6s, ajoutez un nouvel ACL6 simple.
Pour supprimer une seule ACL simple à l’aide de l’interface graphique :
Accédez à Système > Réseau > ACL et, sous l’onglet ACL simples, supprimez la liste ACL simple.
Pour supprimer une seule ACL6 simple à l’aide de l’interface graphique :
Accédez à Système > Réseau > ACL et, sous l’onglet ACL6s simples, supprimez l’ACL6 simple.
Pour supprimer toutes les listes ACL simples à l’aide de l’interface graphique :
- Accédez à Système > Réseau > ACL.
- Sous l’onglet ACL simples, dans la liste Action, cliquez sur Effacer .
Pour supprimer tous les ACL6 simples à l’aide de l’interface graphique :
- Accédez à Système > Réseau > ACL.
- Sous l’onglet Simple ACL6s, dans la liste Action, cliquez sur Effacer .
Affichage des statistiques ACL simples et ACL6 simples
Vous pouvez afficher les statistiques ACL simples (ou ACL6 simples), qui incluent le nombre de correspondances, le nombre d’erreurs et le nombre de listes ACL simples configurées.
Le tableau suivant décrit les statistiques que vous pouvez afficher pour les listes ACL simples et les ACL6 simples.
| Statistiques | Indique |
|---|---|
| Match ACL | Paquets correspondant à une ACL |
| Échecs ACL | Paquets ne correspondant à aucune ACL |
| Nombre d’ACL | Nombre d’ACL configurées |
Procédures CLI
Pour afficher des statistiques ACL simples à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- stat ns simpleacl
Exemple :
> stat ns simpleacl
SimpleACL Statistics
Rate (/s) Total
SimpleACL hits 0 0
SimpleACL misses 0 51872
SimpleACLs count -- 2
Done
<!--NeedCopy-->
Pour afficher des statistiques ACL6 simples à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- stat ns simpleacl6
Procédures GUI
Pour afficher des statistiques ACL simples à l’aide de l’interface graphique :
Accédez à Système > Réseau > ACL et, sous l’onglet ACL simples, sélectionnez l’ACL et cliquez sur Statistiques .
Pour afficher des statistiques ACL6 simples à l’aide de l’interface graphique :
Accédez à Système > Réseau > ACL et, sous l’onglet ACL6s simples, sélectionnez l’ACL6 simple et cliquez sur Statistiques.
Terminer les connexions établies
Pour une ACL simple ou ACL6 simple, Citrix ADC bloque toutes les nouvelles connexions qui correspondent aux conditions spécifiées dans l’ACL. Les paquets liés aux connexions existantes qui ont été établies avant la création de l’ACL ne sont pas bloqués. Pour mettre fin aux connexions précédemment établies qui correspondent à une ACL existante, vous pouvez exécuter une opération de vidage à partir de l’interface de ligne de commande ou de l’interface graphique.
Flush peut être utile dans les cas suivants :
- Vous recevez une liste d’adresses IP sur la liste noire et souhaitez bloquer complètement ces adresses IP d’accéder au Citrix ADC. Dans ce cas, vous créez des ACL simples ou des ACL6 simples pour bloquer toute nouvelle connexion à partir de ces adresses IP, puis vider toutes les connexions existantes associées à ces adresses.
- Vous souhaitez mettre fin à de nombreuses connexions à partir d’un réseau particulier sans prendre le temps de les arrêter une par une.
Avant de commencer
-
Lorsque vous exécutez le vidage, Citrix ADC effectue une recherche dans toutes ses connexions établies et met fin aux connexions qui correspondent aux conditions spécifiées dans l’une des listes ACL simples configurées sur l’ADC.
-
Si vous envisagez de créer plusieurs ACL simples et de vider les connexions existantes qui correspondent à l’une d’entre elles, vous pouvez minimiser l’effet sur les performances en créant d’abord toutes les listes ACL simples, puis en exécutant le vidage une seule fois.
Procédures CLI
Pour mettre fin à toutes les connexions IPv4 établies qui correspondent à l’une de vos listes d’accès simples configurées à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- flush simpleacl -estSessions
Pour mettre fin à toutes les connexions IPv6 établies qui correspondent à l’un de vos ACL6 simples configurés à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- flush simpleacl6 -ESTsessions
Procédures GUI
Pour mettre fin à toutes les connexions IPv4 établies qui correspondent à l’une de vos listes d’accès simples configurées à l’aide de l’interface graphique :
- Accédez à Système > Réseau > ACL.
- Sous l’onglet ACL simples, dans la liste Action, cliquez sur Vider .
Pour mettre fin à toutes les connexions IPv6 établies qui correspondent à l’un de vos ACL6 simples configurés à l’aide de l’interface graphique :
- Accédez à Système > Réseau > ACL.
- Sous l’onglet Simple ACL6s, dans la liste Action, cliquez sur Vider .