Documentation Produit
ADC
14.1 - Current Release 13.1 13.0 12.1
Voir PDF

ACL étendues et ACL6 étendues

May 5, 2023
Contributeur: 
C

Les ACL étendues et les ACL6 étendues fournissent des paramètres et des actions qui ne sont pas disponibles avec les ACL simples. Vous pouvez filtrer les données en fonction de paramètres tels que l’adresse IP source, le port source, l’action et le protocole. Vous pouvez spécifier des tâches pour autoriser un paquet, refuser un paquet ou pont un paquet.

Les ACL étendues et les ACL6 peuvent être modifiées après leur création, et vous pouvez renuméroter leurs priorités pour spécifier l’ordre dans lequel elles sont évaluées.

Remarque : Si vous configurez des ACL simples et étendues, les ACL simples sont prioritaires sur les ACL étendues.

Les actions suivantes peuvent être effectuées sur les ACL étendues et les ACL6 : Modifier, Appliquer, Désactiver, Activer, Supprimer et Renuméroter (priorité). Vous pouvez afficher les listes de contrôle d’accès étendues et les ACL6 pour vérifier leur configuration, et vous pouvez afficher leurs statistiques.

Vous pouvez configurer NetScaler pour qu’il enregistre les détails des paquets qui correspondent à une ACL étendue.

Application des ACL étendues et des ACL6 étendues : Contrairement aux ACL et ACL6 simples, les ACL et ACL6 étendues créées sur NetScaler ne fonctionnent pas tant qu’elles ne sont pas appliquées. De plus, si vous apportez des modifications à une ACL étendue ou à une ACL6, telles que la désactivation des ACL, la modification d’une priorité ou la suppression des ACL, vous devez réappliquer les listes ACL ou ACL6 étendues. Vous devez les réappliquer après avoir activé la journalisation. La procédure d’application des ACL étendues ou des ACL6 les réapplique toutes. Par exemple, si vous avez appliqué les règles ACL étendues 1 à 10, puis que vous créez et appliquez la règle 11, les 10 premières règles sont appliquées à nouveau.

Si une session est associée à une liste de contrôle d’accès REFUSÉE, cette session est interrompue lorsque vous appliquez les listes de contrôle d’accès.

Les ACL étendues et les ACL6 sont activées par défaut. Lorsqu’ils sont appliqués, NetScaler commence à comparer les paquets entrants avec eux. Toutefois, si vous les désactivez, ils ne sont pas utilisés tant que vous ne les avez pas réactivés, même s’ils sont réappliqués.

Renumérotation des priorités des ACL étendues et des ACL6 étendues : les numéros de priorité déterminent l’ordre dans lequel les ACL étendues ou ACL6 sont comparées à un paquet. Une liste de contrôle d’accès dont le numéro de priorité est inférieur a une priorité plus élevée. Il est évalué avant les ACL avec des numéros de priorité plus élevés (priorités inférieures), et la première ACL correspondant au paquet détermine l’action appliquée au paquet.

Lorsque vous créez une ACL étendue ou une ACL6, NetScaler lui attribue automatiquement un numéro de priorité multiple de 10, sauf indication contraire de votre part. Par exemple, si deux ACL étendues ont des priorités de 20 et 30, respectivement, et que vous souhaitez qu’une troisième ACL ait une valeur comprise entre ces nombres, vous pouvez lui attribuer une valeur de 25. Si vous souhaitez par la suite conserver l’ordre dans lequel les ACL sont évaluées, mais rétablir leur numérotation à des multiples de 10, vous pouvez utiliser la procédure de renumérotation.

Configuration des ACL étendues et des ACL6 étendues

La configuration d’une ACL étendue ou d’une ACL6 sur un NetScaler comprend les tâches suivantes.

  • Créez une ACL étendue ou une ACL6. Créez une ACL étendue ou une ACL6 pour autoriser, refuser ou relier un paquet. Vous pouvez spécifier une adresse IP ou une plage d’adresses IP à mettre en correspondance avec les adresses IP source ou de destination des paquets. Vous pouvez spécifier un protocole à mettre en correspondance avec le protocole des paquets entrants.
  • (Facultatif) Modifiez une ACL étendue ou une ACL6. Vous pouvez modifier les ACL étendues ou les ACL6 que vous avez précédemment créées. Ou, si vous souhaitez temporairement en mettre un hors d’usage, vous pouvez le désactiver, puis le réactiver ultérieurement.
  • Appliquez des ACL étendues ou des ACL6. Après avoir créé, modifié, désactivé ou réactivé, ou supprimé une ACL étendue ou une ACL6, vous devez appliquer les ACL ou ACL6 étendues pour les activer.
  • (Facultatif) Renuméroter les priorités des ACL étendues ou des ACL6. Si vous avez configuré des listes de contrôle d’accès avec des priorités qui ne sont pas des multiples de 10 et que vous souhaitez rétablir la numérotation en multiples de 10, utilisez la procédure de renumérotation.

Procédures CLI

Pour créer une liste de contrôle d’accès étendue à l’aide de l’interface de lignede commande :

À l’invite de commande, tapez :

  • add ns acl <aclname> <aclaction> [-**srcIP** [\<operator>] <srcIPVal>] [-**srcPort** [\<operator>] <srcPortVal>] [-**destIP** [\<operator>] <destIPVal>] [-**destPort** [\<operator>] <destPortVal>] [-**TTL** \<positive_integer>] [-**srcMac** \<mac_addr>] [(-**protocol** \<protocol> [-established]) | -protocolNumber <positive_integer>] [-**vlan** \<positive_integer>] [-**interface** \<interface_name>] [-**icmpType** \<positive_integer> [-**icmpCode** \<positive_integer>]] [-**priority** \<positive_integer>] [-**state** ( ENABLED | DISABLED )] [-**logstate** ( ENABLED | DISABLED ) [-**ratelimit** \<positive_integer>]]

  • show ns acl [\<aclName>]

Pour créer un ACL6 étendu à l’aide de l’interface de lignede commande :

À l’invite de commande, tapez :

  • add ns acl6 <acl6name> <acl6action> [-**srcIPv6** [\<operator>] <srcIPv6Val>] [-**srcPort** [\<operator>] <srcPortVal>] [-**destIPv6** [\<operator>] <destIPv6Val>] [-**destPort** [\<operator>] <destPortVal>] [-**TTL** \<positive_integer>] [-**srcMac** \<mac_addr>] [(-**protocol** \<protocol> [-established]) | -protocolNumber <positive_integer>] [-**vlan** \<positive_integer>] [-**interface** \<interface_name>] [-**icmpType** \<positive_integer> [-**icmpCode** \<positive_integer>]] [-**priority** \<positive_integer>] [-**state** ( ENABLED | DISABLED )]

  • show ns acl6 [\<aclName>]

Pour modifier une liste de contrôle d’accès étendue à l’aide de l’interface de lignede commande :

Pour modifier une liste de contrôle d’accès étendue, tapez la commande set ns acl, le nom de l’ACL étendue et les paramètres à modifier, avec leurs nouvelles valeurs.

Pour modifier un ACL6 étendu à l’aide de l’interface de ligne de commande :

Pour modifier un ACL6 étendu, tapez la commande set ns acl6, le nom de l’ACL6 étendu et les paramètres à modifier, avec leurs nouvelles valeurs.

Pour désactiver ou activer une liste de contrôle d’accès étendue à l’aide de l’interface de lignede commande :

À l’invite de commandes, tapez l’une des commandes suivantes :

  • disable ns acl <aclname>
  • enable ns acl <aclname>

Pour désactiver ou activer un ACL6 étendu à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez l’une des commandes suivantes :

  • disable ns acl6 <aclname>
  • enable ns acl6 <aclname>

Pour appliquer des ACL étendues à l’aide de l’interface de lignede commande

À l’invite de commande, tapez :

  • apply ns acls

Pour appliquer des ACL6 étendus à l’aide de l’interface de ligne de commande :

À l’invite de commande, tapez :

  • apply ns acls6

Pour renuméroter les priorités des ACL étendues à l’aide de l’interface de ligne de commande :

À l’invite de commande, tapez :

  • renumber ns acls

Pour renuméroter les priorités des ACL6 étendus à l’aide de l’interface de ligne de commande :

À l’invite de commande, tapez :

  • renumber ns acls6

Procédures GUI

Pour configurer une liste de contrôle d’accès étendue à l’aide de l’interface graphique :

  • Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues, ajoutez une nouvelle ACL étendue ou modifiez une ACL étendue existante. Pour activer ou désactiver une liste de contrôle d’accès étendue existante, sélectionnez-la, puis sélectionnez Activer ou désactiver dans la liste Action .

Pour configurer un ACL6 étendu à l’aide de l’interface graphique :

  • Accédez à Système > Réseau > ACLs et, sous l’onglet ACL6 étendu, ajoutez un nouvel ACL6 étendu ou modifiez un ACL6 étendu existant. Pour activer ou désactiver un ACL6 étendu existant, sélectionnez-le, puis sélectionnez Activer ou Désactiver dans la liste Action .

Pour appliquer des listes de contrôle d’accès étendues à l’aide de l’interface graphique :

  • Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues, dans la liste Action, cliquez sur Appliquer.

Pour appliquer des ACL6 étendues à l’aide de l’interface graphique :

  • Accédez à Système > Réseau > ACL et, sous l’onglet ACL6 étendu, dans la liste Action, cliquez sur Appliquer.

Pour renuméroter les priorités des listes de contrôle d’accès étendues à l’aide de l’interface graphique :

  • Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues, dans la liste Action, cliquez sur Renuméroter la ou les priorités.

Pour renuméroter les priorités des ACL6 étendues à l’aide de l’interface graphique :

  • Accédez à Système > Réseau > ACL et, sous l’onglet ACL6 étendu, dans la liste Action, cliquez sur Renuméroter la ou les priorités.

Exemples de configurations

Le tableau suivant présente des exemples de configuration de règles ACL étendues via l’interface de ligne de commande : exemples de configurations ACL.

Journalisation des listes ACL étendues

Vous pouvez configurer NetScaler pour qu’il enregistre les détails des paquets qui correspondent à des ACL étendues.

En plus du nom ACL, les détails consignés incluent des informations spécifiques au paquet, telles que les adresses IP source et de destination. Les informations sont stockées soit dans le fichier syslog, soit dans le fichier nslog, en fonction du type de journalisation globale (syslog or nslog) activé.

La journalisation doit être activée au niveau global et au niveau ACL. Le paramètre global est prioritaire.

Pour optimiser la journalisation, lorsque plusieurs paquets du même flux correspondent à une ACL, seuls les détails du premier paquet sont consignés et le compteur est incrémenté pour chaque paquet appartenant au même flux. Un flux est défini comme un ensemble de paquets ayant les mêmes valeurs pour l’adresse IP source, l’adresse IP de destination, le port source, le port de destination et les paramètres de protocole. Pour éviter une surcharge de messages de journal, NetScaler applique une limitation de débit interne afin que les paquets appartenant au même flux ne soient pas enregistrés à plusieurs reprises. Le nombre total de flux différents pouvant être enregistrés à un moment donné est limité à 10 000.

Remarque : Vous devez appliquer les listes de contrôle d’accès après avoir activé la journalisation.

Procédures CLI

Pour configurer la journalisation ACL étendue à l’aide de l’interface de lignede commande :

À l’invite de commandes, tapez les commandes suivantes pour configurer la journalisation et vérifier la configuration :

  • set ns acl <aclName> [-**logState** (ENABLED | DISABLED)] [-**rateLimit** \<positive_integer>]
  • apply acls
  • show ns acl [\<aclName>]

Procédures GUI

Pour configurer la journalisation ACL étendue à l’aide de l’interface graphique :

  1. Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues, ouvrez l’ACL étendue.
  2. Définissez les paramètres suivants :
    • État du journal : activez ou désactivez la journalisation des événements liés à la règle ACL étendue. Les messages de journal sont stockés sur le syslog or auditlog serveur configuré.
    • Limite du nombre de journaux : nombre maximal de messages de journal à générer par seconde. Si vous définissez ce paramètre, vous devez activer le paramètre Log State .

Exemple de configuration 

> set ns acl restrict -logstate ENABLED -ratelimit 120
Warning: ACL modified, apply ACLs to activate change

> apply ns acls
Done
<!--NeedCopy-->

Journalisation des ACL6 étendues

Vous pouvez configurer l’appliance NetScaler pour qu’elle enregistre les détails des paquets qui correspondent à une règle ACL6 étendue. En plus du nom ACL6, les détails consignés incluent des informations spécifiques au paquet, telles que les adresses IP source et de destination. Les informations sont stockées dans un syslog ou dans un nslog fichier, selon le type de journalisation (syslog or nslog) que vous avez configuré dans l’appliance NetScaler.

Pour optimiser la journalisation, lorsque plusieurs paquets du même flux correspondent à un ACL6, seuls les détails du premier paquet sont consignés. Le compteur est incrémenté pour tous les autres paquets appartenant au même flux. Un flux est défini comme un ensemble de paquets qui ont les mêmes valeurs pour les paramètres suivants :

  • IP source
  • IP destination
  • Port source
  • Port de destination
  • Protocole (TCP ou UDP)

Si un paquet entrant ne provient pas du même flux, un nouveau flux est créé. Le nombre total de flux différents pouvant être enregistrés à un moment donné est limité à 10 000.

Procédures CLI

Pour configurer la journalisation d’une règle ACl6 étendue à l’aide de l’interface de lignede commande :

  • Pour configurer la journalisation lors de l’ajout de la règle ACL6 étendue, à l’invite de commandes, tapez :

    • add acl6 <acl6Name> <acl6action> [-**logState** (ENABLED | DISABLED)] [-**rateLimit** \<positive_integer>]
    • apply acls6
    • show acl6 [\<acl6Name>]

  • Pour configurer la journalisation d’une règle ACL6 étendue existante, à l’invite de commandes, tapez :

    • set acl6 <acl6Name> [-**logState** (ENABLED | DISABLED)] [-**rateLimit** \<positive_integer>]
    • show acl6 [\<acl6Name>]
    • apply acls6

Procédures GUI

Pour configurer la journalisation ACL6 étendue à l’aide de l’interface graphique :

  1. Accédez à Système > Réseau > ACL, puis cliquez sur l’onglet ACL6 étendu .
  2. Définissez les paramètres suivants lors de l’ajout ou de la modification d’une règle ACL6 étendue existante.
    • État du journal  : activez ou désactivez la journalisation des événements liés à la règle ACL6 étendue. Les messages de journal sont stockés dans le Syslog ou le auditlog serveur configuré.
    • Limite du nombre de journaux : nombre maximal de messages de journal à générer par seconde. Si vous définissez ce paramètre, vous devez activer le paramètre Log State .

Exemple de configuration 

> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120
Done

> apply acls6
Done
<!--NeedCopy-->

Affichage des listes de contrôle d’accès étendues et des statistiques ACL6 étendues

Vous pouvez afficher des statistiques sur les listes de contrôle d’accès étendues et les ACL6.

Le tableau suivant répertorie les statistiques associées aux listes ACL étendues et aux ACL6, ainsi que leurs descriptions.

Statistique Spécifie
Allow ACL matches Paquets correspondant aux ACL avec le mode de traitement défini sur Autoriser. NetScaler traite ces paquets.
Matchs NAT ACL Paquets correspondant à une ACL NAT, entraînant une session NAT.
Deny ACL matches Les paquets ont été supprimés parce qu’ils correspondent aux ACL avec le mode de traitement défini sur DENY.
Matchs ACL Bridge Paquets correspondant à une liste ACL de pont, qui, en mode transparent, contourne le traitement du service.
ACL matches Paquets correspondant à une liste ACL.
ACL misses Paquets ne correspondant à aucune liste de contrôle d’accès.
ACL Count Nombre total de règles ACL configurées par les utilisateurs.
Effective ACL Count Nombre total d’ACL effectifs configurés en interne. Pour une ACL étendue avec une plage d’adresses IP, l’appliance NetScaler crée en interne une ACL étendue pour chaque adresse IP. Par exemple, pour une ACL étendue comportant 1 000 adresses IPv4 (plage ou ensemble de données), NetScaler crée en interne 1 000 ACL étendues.

Procédures CLI

Pour afficher les statistiques de toutes les listes de contrôle d’accès étendues à l’aide de l’interface de lignede commande :

À l’invite de commande, tapez :

  • stat ns acl

Pour afficher les statistiques de tous les ACL6 étendus à l’aide de l’interface de lignede commande :

À l’invite de commande, tapez :

  • stat ns acl6

Procédures GUI

Pour afficher les statistiques d’une liste de contrôle d’accès étendue à l’aide de l’interface graphique :

  • Accédez à Système > Réseau > ACL, sous l’onglet ACL étendues, sélectionnez l’ACL étendue, puis cliquez sur Statistiques.

Pour afficher les statistiques d’un ACL6 étendu à l’aide de l’interface graphique :

  • Accédez à Système > Réseau > ACL, sous l’onglet ACL6s étendus, sélectionnez l’ACL étendue, puis cliquez sur Statistiques.

ACL avec état

Une règle ACL dynamique crée une session lorsqu’une demande correspond à la règle et autorise les réponses qui en résultent même si ces réponses correspondent à une règle de refus d’ACL dans l’appliance NetScaler. Une ACL avec état décharge le travail de création de règles ACL et de règles de session de transfert supplémentaires pour autoriser ces réponses spécifiques.

Il est préférable d’utiliser les ACL Stateful dans le cadre du déploiement d’un pare-feu Edge d’une appliance NetScaler répondant aux exigences suivantes :

  • L’appliance NetScaler doit autoriser les demandes émanant de clients internes et les réponses associées provenant d’Internet.
  • L’appliance doit supprimer les paquets d’Internet qui ne sont liés à aucune connexion client.

Avant de commencer

Avant de configurer des règles ACL avec état, notez les points suivants :

  • L’appliance NetScaler prend en charge les règles ACL dynamique et les règles ACL6 statiques.
  • Dans une configuration haute disponibilité, les sessions d’une règle ACL avec état ne sont pas synchronisées avec le nœud secondaire.
  • Vous ne pouvez pas configurer une règle ACL en tant que règle statique si la règle est liée à une configuration NetScaler NAT. Voici quelques exemples de configurations NetScaler NAT :
    • RNAT
    • NAT à grande échelle (NAT44 à grande échelle, DS-Lite, NAT64 à grande échelle)
    • NAT64
    • Session de transfert
  • Vous ne pouvez pas configurer une règle ACL en tant qu’état si les paramètres TTL et Établi sont définis pour cette règle ACL.
  • Les sessions créées pour une règle ACL avec état continuent d’exister jusqu’à l’exode, quelles que soient les opérations ACL suivantes :
    • Supprimer ACL
    • Désactiver l’ACL
    • Effacer l’ACL
  • Les listes de contrôle d’accès avec état ne sont pas prises en charge pour les protocoles suivants :
    • FTP actif
    • TFTP

Configurer les règles ACL IPv4 avec état

La configuration d’une règle ACL avec état consiste à activer le paramètre avec état d’une règle ACL.

Pour activer le paramètre avec état d’une règle ACL à l’aide de l’interface de lignede commande :

  • Pour activer le paramètre stateful lors de l’ajout d’une règle ACL, à l’invite de commandes, tapez :

    • add acl <lname> ALLOW -stateful (ENABLED | DISABLED)
    • apply acls
    • show acl <name>

  • Pour activer le paramètre stateful d’une règle ACL existante, à l’invite de commandes, tapez :

    • set acl <name> -stateful (ENABLED | DISABLED)
    • apply acls
    • show acl <name>

Pour activer le paramètre avec état d’une règle ACL à l’aide de l’interface graphique :

  1. Accédez à Système > Réseau > ACL et, dans l’onglet ACL étendues .

  2. Activez le paramètre Stateful lors de l’ajout ou de la modification d’une règle ACL existante.

Exemple de configuration 

> add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes

Done

> apply acls

Done

> show acl

1)         Name: ACL-1

    Action: ALLOW                          Hits: 0

    srcIP = 1.1.1.1

    destIP

    srcMac:

    Protocol:

    Vlan:                                 Interface:

    Active Status: ENABLED                 Applied Status: NOTAPPLIED

    Priority: 10                           NAT: NO

    TTL:

    Log Status: DISABLED

    Forward Session: NO

    Stateful: YES
<!--NeedCopy-->

Configurer les règles ACL6 avec état

La configuration d’une règle ACL6 avec état consiste à activer le paramètre avec état d’une règle ACL6.

Pour activer le paramètre avec état d’une règle ACL6 à l’aide de l’interface de lignede commande :

  • Pour activer le paramètre stateful lors de l’ajout d’une règle ACL6, à l’invite de commandes, tapez :

    • add acl6 <name> ALLOW -stateful ( ENABLED | DISABLD )
    • apply acls6
    • show acl6 <name>

  • Pour activer le paramètre stateful d’une règle ACL6 existante, à l’invite de commandes, tapez :

    • set acl6 <name> -stateful ( ENABLED | DISABLED )
    • apply acls6
    • show acl6 <name>

Pour activer le paramètre avec état d’une règle ACL6 à l’aide de l’interface graphique :

  1. Accédez à Système > Réseau > ACLs et, dans l’onglet Extended ACL6s .
  2. Activez le paramètre Stateful lors de l’ajout ou de la modification d’une règle ACL6 existante.

Exemple de configuration 

>  add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes

Done

>  apply acls6

Done

> show acl6

1)    Name: ACL6-1

    Action: ALLOW                          Hits: 0

    srcIPv6 = 1000::1

    destIPv6

    srcMac:

    Protocol:

    Vlan:                                 Interface:

    Active Status: ENABLED                 Applied Status: NOTAPPLIED

    Priority: 10                           NAT: NO

    TTL:

    Forward Session: NO

    Stateful: YES
<!--NeedCopy-->

ACL étendues basées sur un jeu de données

De nombreuses ACL sont nécessaires dans une entreprise. La configuration et la gestion de nombreuses listes de contrôle d’accès sont difficiles et fastidieuses lorsqu’elles nécessitent des modifications fréquentes.

Une appliance NetScaler prend en charge les ensembles de données dans des ACL étendues. Le jeu de données est une fonctionnalité existante d’une appliance NetScaler. Un jeu de données est un tableau de modèles indexés de types : nombre (entier), adresse IPv4 ou adresse IPv6.

La prise en charge des jeux de données dans les listes ACL étendues est utile pour créer plusieurs règles ACL, qui nécessitent des paramètres ACL communs.

Lors de la création d’une règle ACL, au lieu de spécifier les paramètres communs, vous pouvez spécifier un jeu de données, qui inclut ces paramètres communs.

Toutes les modifications apportées au jeu de données sont automatiquement reflétées dans les règles ACL qui utilisent ce jeu de données. Les listes de contrôle d’accès avec jeux de données sont plus faciles à configurer et à gérer. Ils sont également plus petits et plus faciles à lire que les ACL classiques.

Actuellement, l’appliance NetScaler prend uniquement en charge les types de jeux de données suivants pour les ACL étendues :

  • Adresse IPv4 (pour spécifier l’adresse IP source ou l’adresse IP de destination ou les deux pour une règle ACL)
  • number (pour spécifier le port source ou le port de destination ou les deux pour une règle ACL)

Avant de commencer

Avant de configurer des règles ACL étendues basées sur des jeux de données, notez les points suivants :

  • Assurez-vous de bien connaître la fonctionnalité d’ensemble de données d’une appliance NetScaler. Pour plus d’informations sur les jeux de données, voir Jeux de modèles et jeux de données.

  • L’appliance NetScaler prend en charge les ensembles de données uniquement pour les ACL étendues IPv4.

  • L’appliance NetScaler prend uniquement en charge les types de jeux de données suivants pour les ACL étendues :

    • Adresse IPv4
    • nombre
  • L’appliance NetScaler prend en charge les ACL étendues basées sur des ensembles de données pour toutes les configurations NetScaler : autonome, haute disponibilité et cluster.

  • Pour une ACL étendue avec des ensembles de données contenant des plages, l’appliance NetScaler crée en interne une ACL étendue pour chaque combinaison des valeurs du jeu de données.

    • Exemple 1 : pour une ACL étendue basée sur un jeu de données IPv4 avec 1 000 adresses IPv4 liées à l’ensemble de données et dont l’ensemble de données est défini sur le paramètre IP source, l’appliance NetScaler crée en interne 1 000 ACL étendues.

    • Exemple 2 : liste de contrôle d’accès étendue basée sur un jeu de données avec les paramètres suivants définis :

      • L’adresse IP source est définie sur un ensemble de données contenant 5 adresses IP.
      • L’adresse IP de destination est définie sur un ensemble de données contenant 5 adresses IP.
      • Le port source est défini sur un jeu de données contenant 5 ports.
      • Le port de destination est défini sur un jeu de données contenant 5 ports.

      L’appliance NetScaler crée en interne 625 ACL étendues. Chacune de ces listes de contrôle d’accès internes contient une combinaison unique des quatre valeurs de paramètres mentionnées ci-dessus.

    • L’appliance NetScaler prend en charge un maximum de 10 000 ACL étendues. Pour une ACL étendue basée sur un jeu de données IPv4 avec une plage d’adresses IP liée au jeu de données, l’appliance NetScaler arrête de créer des ACL internes une fois que le nombre total d’ACL étendues atteint la limite maximale.

    • Les compteurs suivants sont présents dans le cadre des statistiques ACL étendues :

      • Nombre d’ACL. Nombre total de règles ACL configurées par les utilisateurs.
      • Nombre deLCA effectif. Nombre total de règles ACL effectives que l’appliance NetScaler configure en interne.

      Pour plus d’informations, reportez-vous à la section Affichage des statistiques ACL étendues et ACL6sétendues.

  • L’appliance NetScaler ne prend pas en charge les unset opérations set d’association/de dissociation de jeux de données avec les paramètres d’une ACL étendue. Vous pouvez définir les paramètres ACL sur un jeu de données uniquement pendant l’opération add.

Configuration des listes ACL étendues basées sur les jeux de données

La configuration d’une règle ACL étendue basée sur un jeu de données comprend les tâches suivantes :

  • Ajoutez un jeu de données. Un jeu de données est un tableau de modèles indexés de types : nombre (entier), adresse IPv4 ou adresse IPv6. Dans cette tâche, vous créez un type de jeu de données, par exemple un jeu de données de type IPv4.

  • Liez des valeurs au jeu de données. Spécifiez une valeur ou une plage de valeurs dans le jeu de données. Les valeurs spécifiées doivent être du même type que le type de jeu de données. Par exemple, vous pouvez spécifier une adresse IPv4, une plage d’adresses IPv4 ou une plage d’adresses IPv4 en notation CIDR à un ensemble de données IPv4.

  • Ajoutez une liste d’accès étendue et définissez des paramètres ACL au jeu de données. Ajoutez une liste de contrôle d’accès étendue et définissez les paramètres ACL requis dans le jeu de données. Ce paramètre entraîne la définition des paramètres sur les valeurs spécifiées dans le jeu de données.

  • Appliquez des listes ACL étendues. Appliquez les ACL pour activer toutes les listes ACL étendues nouvelles ou modifiées.

Pour ajouter un jeu de données de stratégie à l’aide de l’interface de ligne de commande :

À l’invite de commande, tapez :

  • add policy dataset <name> <type>
  • show policy dataset

Pour lier un motif à l’ensemble de données à l’aide de l’interface de ligne de commande :

À l’invite de commande, tapez :

  • bind policy dataset <name> <value> [-endRange \<string>]
  • show policy dataset

Pour ajouter une ACL étendue et définir les paramètres ACL sur le jeu de données à l’aide de l’interface de ligne de commande :

À l’invite de commande, tapez :

  • add ns acl <aclname> <aclaction> [-**srcIP** [\<operator>] <srcIPVal>] [-**srcPort** [\<operator>] <srcPortVal>] [-**destIP** [\<operator>] <destIPVal>] [-**destPort** [\<operator>] <destPortVal>] …
  • show acls

Pour appliquer des ACL étendues à l’aide de l’interface de ligne de commande :

À l’invite de commande, tapez :

  • apply acls

Exemple de configuration

Dans l’exemple de configuration suivant d’une liste de contrôle d’accès étendue basée sur un jeu de données, deux jeux DATASET_IP_ACL_1 de données IPv4 DATASET_IP_ACL_2 sont créés. Deux jeux de données de ports DATASET_PORT_ACL_1 et DATASET_PORT_ACL_1 sont créés.

Deux adresses IPv4 : 192.0.2.30 et 192.0.2.60 sont liées à DATASET_IP_ACL_1. Deux plages d’adresses IPv4 : (198.51.100.15 - 45) et (203.0.113.60-90) sont liées à DATASET_IP_ACL_2. DATASET_IP_ACL_1 est ensuite spécifié pour le paramètre srcIP et DATASET_IP_ACL_1 pour le paramètre destIP de la liste de contrôle d’accès étendue ACL-1.

Deux numéros de port, 2001 et 2004, sont liés à DATASET_PORT_ACL_1. Deux plages de ports : (5001 - 5040) et (8001 - 8040) sont liées à DATASET-PORT-ACL-2. DATASET_IP_ACL_1 est ensuite spécifié pour le paramètre srcIP et DATASET_IP_ACL_1 pour le paramètre destIP de la liste de contrôle d’accès étendue ACL-1.

add policy dataset DATASET_IP_ACL_1 IPV4
add policy dataset DATASET_IP_ACL_2 IPV4

add policy dataset DATASET_PORT_ACL_1 NUM
add policy dataset DATASET_PORT_ACL_2 NUM

bind dataset DATASET_IP_ACL_1 192.0.2.30
bind dataset DATASET_IP_ACL_1 192.0.2.60
bind dataset DATASET_IP_ACL_2 198.51.100.15 -endrange 198.51.100.45
bind dataset DATASET_IP_ACL_2 203.0.113.1/24

bind dataset DATASET_PORT_ACL_1 2001
bind dataset DATASET_PORT_ACL_1 2004
bind dataset DATASET_PORT_ACL_2 5001 -endrange 5040
bind dataset DATASET_PORT_ACL_2 8001 -endrange 8040

add ns acl ACL-1 ALLOW -srcIP DATASET_IP_ACL_1 -destIP DATASET_IP_ACL_2
-srcPort DATASET_PORT_ACL_1 -destPort DATASET_PORT_ACL_2 –protocol TCP
<!--NeedCopy-->
ACL étendues et ACL6 étendues
May 5, 2023
Contributeur: 
C
May 5, 2023
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.