拡張ACLと拡張ACL6
拡張 ACL および拡張 ACL6 は、単純な ACL では使用できないパラメータとアクションを提供します。送信元 IP アドレス、送信元ポート、アクション、プロトコルなどのパラメータに基づいてデータをフィルタリングできます。パケットを許可する、パケットを拒否する、またはパケットをブリッジするタスクを指定できます。
拡張 ACL および ACL 6 は、作成後に変更できます。また、プライオリティを再番号付けして、評価の順序を指定できます。
注: シンプル ACL と拡張 ACL の両方を設定する場合、シンプル ACL は拡張 ACL よりも優先されます。
拡張 ACL および ACL 6 に対して次のアクションを実行できます。変更、適用、無効化、有効、削除、および番号付け(優先度)。拡張 ACL と ACL 6 を表示して設定を確認し、統計情報を表示できます。
拡張ACLに一致するパケットの詳細を記録するようにCitrix ADCを構成できます。
拡張 ACL と拡張 ACL6 の適用: 単純な ACL および ACL6 とは異なり、NetScaler で作成された拡張 ACL および ACL6 は、適用されるまで機能しません。また、拡張 ACL または ACL の無効化、優先度の変更、ACL の削除など、拡張 ACL または ACL 6 に変更を加えた場合は、拡張 ACL または ACL 6 を再適用する必要があります。ログを有効にした後に再適用する必要があります。拡張 ACL または ACL6 を適用する手順は、これらすべてを再適用します。たとえば、拡張 ACL ルール 1 ~ 10 を適用し、次にルール 11 を作成して適用すると、最初の 10 個のルールが新たに適用されます。
セッションに関連した DENY ACL がある場合、ACL を適用すると、そのセッションが終了します。
拡張 ACL と ACL 6 はデフォルトで有効になっています。それらが適用されると、Citrix ADCは受信パケットと受信パケットを比較し始めます。ただし、無効にした場合は、再適用された場合でも、再度有効にするまでは使用されません。
拡張ACL および拡張 ACL 6 のプライオリティの再番号付け: プライオリティ番号によって、拡張 ACL または ACL 6 がパケットに対して照合される順序が決まります。プライオリティ番号が低い ACL のプライオリティが高くなります。これは、プライオリティ番号が高い(優先度が低い)ACL の前に評価され、パケットに一致する最初の ACL によって、パケットに適用されるアクションが決まります。
拡張ACLまたはACL6を作成すると、特に指定しない限り、Citrix ADCは10の倍数の優先度番号を自動的に割り当てます。たとえば、2 つの拡張 ACL のプライオリティがそれぞれ 20 と 30 で、3 番目の ACL にそれらの数値の間に値を持たせたい場合は、値 25 を割り当てます。ACL の評価順序を後で保持し、番号を 10 の倍数に復元する場合は、再番号付け手順を使用できます。
拡張 ACL および拡張 ACL 6 の設定
Citrix ADCで拡張ACLまたはACL6を構成するには、次のタスクがあります。
- 拡張 ACL または ACL6 を作成します。拡張 ACL または ACL6 を作成して、パケットを許可、拒否、ブリッジします。パケットの送信元または宛先 IP アドレスと照合する IP アドレスまたは IP アドレスの範囲を指定できます。着信パケットのプロトコルと照合するプロトコルを指定できます。
- (任意) 拡張 ACL または ACL6 を変更します。以前に作成した拡張 ACL または ACL 6 を変更できます。または、一時的に使用を中止する場合は、無効にして後で再度有効にすることができます。
- 拡張 ACL または ACL 6 を適用します。拡張 ACL または ACL6 を作成、変更、無効化、または再有効化、または削除した後、拡張 ACL または ACL 6 を適用してアクティブ化する必要があります。
- (任意) 拡張 ACL または ACL 6 のプライオリティを再番号付けします。10 の倍数ではないプライオリティで ACL を設定していて、番号付けを 10 の倍数に戻す場合は、再番号付け手順を使用します。
CLI のプロシージャ
CLI を使用して拡張 ACL を作成するには:
コマンドプロンプトで入力します。
-
add ns acl <aclname> <aclaction> [-**srcIP** [\<operator>] <srcIPVal>] [-**srcPort** [\<operator>] <srcPortVal>] [-**destIP** [\<operator>] <destIPVal>] [-**destPort** [\<operator>] <destPortVal>] [-**TTL** \<positive_integer>] [-**srcMac** \<mac_addr>] [(-**protocol** \<protocol> [-established]) | -protocolNumber <positive_integer>] [-**vlan** \<positive_integer>] [-**interface** \<interface_name>] [-**icmpType** \<positive_integer> [-**icmpCode** \<positive_integer>]] [-**priority** \<positive_integer>] [-**state** ( ENABLED | DISABLED )] [-**logstate** ( ENABLED | DISABLED ) [-**ratelimit** \<positive_integer>]]
-
show ns acl [\<aclName>]
CLI を使用して拡張 ACL6 を作成するには、次の手順を実行します。
コマンドプロンプトで入力します。
-
add ns acl6 <acl6name> <acl6action> [-**srcIPv6** [\<operator>] <srcIPv6Val>] [-**srcPort** [\<operator>] <srcPortVal>] [-**destIPv6** [\<operator>] <destIPv6Val>] [-**destPort** [\<operator>] <destPortVal>] [-**TTL** \<positive_integer>] [-**srcMac** \<mac_addr>] [(-**protocol** \<protocol> [-established]) | -protocolNumber <positive_integer>] [-**vlan** \<positive_integer>] [-**interface** \<interface_name>] [-**icmpType** \<positive_integer> [-**icmpCode** \<positive_integer>]] [-**priority** \<positive_integer>] [-**state** ( ENABLED | DISABLED )]
-
nsacl6 [\] を表示 <aclName>
CLI を使用して拡張 ACL を変更するには、次の手順を実行します。
拡張 ACL を変更するには、 set ns acl コマンド、拡張 ACL の名前、および変更するパラメータを新しい値で入力します。
CLI を使用して拡張 ACL6 を変更するには、次の手順を実行します。
拡張 ACL6 を変更するには、 set ns acl6 コマンド、拡張 ACL6 の名前、および変更するパラメータを新しい値で入力します。
CLI を使用して拡張 ACL を無効または有効にするには、次の手順を実行します。
コマンドプロンプトで、次のコマンドのいずれかを入力します。
- disable ns acl <aclname>
- enable ns acl <aclname>
CLIを使用して拡張ACL6を無効または有効にするには:
コマンドプロンプトで、次のコマンドのいずれかを入力します。
- disable ns acl6 <aclname>
- enable ns acl6 <aclname>
CLI を使用して拡張 ACL を適用するには:
コマンドプロンプトで入力します。
- apply ns acls
CLIを使用して拡張ACL6を適用するには:
コマンドプロンプトで入力します。
- apply ns acls6
CLIを使用して拡張ACLの優先順位を変更するには:
コマンドプロンプトで入力します。
- renumber ns acls
CLIを使用して拡張ACL6の優先順位を変更するには:
コマンドプロンプトで入力します。
- renumber ns acls6
GUIのプロシージャ
GUI を使用して拡張 ACL を設定するには、次の手順を実行します。
- [ システム ] > [ ネットワーク ] > [ ACL ] に移動し、[ 拡張 ACL ] タブで、新しい拡張 ACL を追加するか、既存の拡張 ACL を編集します。既存の拡張 ACL を有効または無効にするには、その拡張 ACL を選択し、[ アクション ] リストから [ 有効 ] または [ 無効 ] を選択します。
GUI を使用して拡張 ACL6 を設定するには、次の手順を実行します。
- [ システム ] > [ ネットワーク ] > [ ACL ] に移動し、[ 拡張 ACL6 ] タブで、新しい拡張 ACL6 を追加するか、既存の拡張 ACL6 を編集します。既存の拡張 ACL6 を有効または無効にするには、それを選択し、[ 操作 ] リストから [ 有効 ] または [ 無効 ] を選択します。
GUI を使用して拡張 ACL を適用するには、次の手順を実行します。
- [ システム ] > [ ネットワーク ] > [ ACL ] に移動し、[ 拡張 ACL ] タブの [ アクション ] リストで、[ 適用] をクリックします。
GUI を使用して拡張 ACL6 を適用するには、次の手順を実行します。
- [ システム ] > [ ネットワーク ] > [ ACL ] に移動し、[ 拡張 ACL 6 ] タブの [ アクション ] リストで、[ 適用] をクリックします。
GUI を使用して拡張 ACL のプライオリティを再番号付けするには、次の手順を実行します。
- [ システム ] > [ ネットワーク ] > [ ACL ] に移動し、[ 拡張 ACL ] タブの [ アクション ] リストで、[ 優先度の再番号付け] をクリックします。
GUI を使用して拡張 ACL6 の優先順位を再番号付けするには、次の手順を実行します。
- [ システム ] > [ ネットワーク ] > [ ACL ] に移動し、[ 拡張 ACL 6 ] タブの [ アクション ] リストで、[ 優先度の再番号付け] をクリックします。
設定例
次の表に、コマンドラインインターフェイスを介して拡張 ACL ルールを設定する例を示します。 ACL の設定例。
拡張 ACL のロギング
拡張ACLに一致するパケットの詳細を記録するようにCitrix ADCを構成できます。
ACL 名に加えて、ログに記録される詳細には、送信元および宛先 IP アドレスなどのパケット固有の情報が含まれます。この情報は、有効になっているグローバルロギング(syslog or nslog
)のタイプに応じて、syslogファイルまたはnslog
ファイルに保存されます。
ロギングは、グローバルレベルと ACL レベルの両方で有効にする必要があります。グローバル設定が優先されます。
ロギングを最適化するために、同じフローからの複数のパケットが ACL に一致すると、最初のパケットの詳細だけがログに記録され、同じフローに属するすべてのパケットに対してカウンタが増加します。フローは、送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびプロトコルパラメータに対して同じ値を持つパケットのセットとして定義されます。ログメッセージのフラッディングを避けるために、Citrix ADCは、同じフローに属するパケットが繰り返しログに記録されないように内部レート制限を実行します。任意の時点でログに記録できる異なるフローの総数は 10,000 に制限されています。
注: ロギングを有効にした後に ACL を適用する必要があります。
CLI のプロシージャ
CLI を使用して拡張 ACL ロギングを設定するには、次の手順を実行します。
コマンドプロンプトで次のコマンドを入力して、ログを構成し、構成を確認します。
- set ns acl <aclName> [-**logState** (ENABLED | DISABLED)] [-**rateLimit** \<positive_integer>]
- apply acls
- show ns acl [\<aclName>]
GUIのプロシージャ
GUI を使用して拡張 ACL ロギングを設定するには、次の手順を実行します。
- [ システム] > [ネットワーク] > [ACL ] に移動し、[ 拡張 ACL ] タブで拡張 ACL を開きます。
- 次のパラメーターを設定します。
- [Log State]:拡張 ACL 規則に関連するイベントのロギングを有効または無効にします。ログメッセージは、構成された
syslog or auditlog
サーバに保存されます。 - [Log Rate Limit]:1 秒間に生成されるログメッセージの最大数。このパラメータを設定する場合は、[ Log State ] パラメーターを有効にする必要があります。
- [Log State]:拡張 ACL 規則に関連するイベントのロギングを有効または無効にします。ログメッセージは、構成された
設定例
> set ns acl restrict -logstate ENABLED -ratelimit 120
Warning: ACL modified, apply ACLs to activate change
> apply ns acls
Done
<!--NeedCopy-->
拡張 ACL6 のロギング
拡張ACL6ルールに一致するパケットの詳細を記録するようにCitrix ADCアプライアンスを構成できます。ACL6 名に加えて、ログに記録される詳細には、送信元および宛先 IP アドレスなどのパケット固有の情報が含まれます。この情報は、Citrix ADCアプライアンスで構成したログの種類(syslog or nslog
)に応じて、syslogまたはnslog
ファイルに保存されます。
ロギングを最適化するために、同じフローからの複数のパケットが ACL6 に一致する場合、最初のパケットの詳細のみがロギングされます。カウンタは、同じフローに属する他のすべてのパケットに対して増分されます。フローは、次のパラメータに対して同じ値を持つパケットのセットとして定義されます。
- 接続元IP
- 接続先IP
- 送信元ポート
- Destination port
- プロトコル (TCP または UDP)
着信パケットが同じフローからのものでない場合、新しいフローが作成されます。 任意の時点でログに記録できる異なるフローの総数は 10,000 に制限されています。
CLI のプロシージャ
CLI を使用して拡張 ACl6 ルールのロギングを設定するには、次の手順を実行します。
-
拡張 ACL6 ルールの追加時にログを構成するには、コマンドプロンプトで次のように入力します。
- add acl6 <acl6Name> <acl6action> [-**logState** (ENABLED | DISABLED)] [-**rateLimit** \<positive_integer>]
- apply acls6
- show acl6 [\<acl6Name>]
-
既存の拡張 ACL6 ルールのログを構成するには、コマンドプロンプトで次のように入力します。
- set acl6 <acl6Name> [-**logState** (ENABLED | DISABLED)] [-**rateLimit** \<positive_integer>]
- show acl6 [\<acl6Name>]
- apply acls6
GUIのプロシージャ
GUI を使用して拡張 ACL6 ロギングを設定するには、次の手順を実行します。
- [ システム ] > [ ネットワーク ] > [ ACL ] に移動し、[ 拡張 ACL 6 ] タブをクリックします。
- 既存の拡張 ACL6 ルールの追加または変更時に、次のパラメータを設定します。
-
ログ状態 :拡張 ACL6s ルールに関連するイベントのロギングを有効または無効にします。ログメッセージは、設定された syslog または
auditlog
サーバに保存されます。 - [Log Rate Limit]:1 秒間に生成されるログメッセージの最大数。このパラメータを設定する場合は、[ Log State ] パラメーターを有効にする必要があります。
-
ログ状態 :拡張 ACL6s ルールに関連するイベントのロギングを有効または無効にします。ログメッセージは、設定された syslog または
設定例
> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120
Done
> apply acls6
Done
<!--NeedCopy-->
拡張 ACL および拡張 ACL 6 の統計情報の表示
拡張 ACL および ACL 6 の統計情報を表示できます。
次の表に、拡張 ACL および ACL 6 に関連する統計情報とその説明を示します。
統計量 | 指定 |
---|---|
ACL の一致を許可 | 処理モードが ALLOW に設定された ACL と一致するパケット。Citrix ADCはこれらのパケットを処理します。 |
NAT ACL が一致する | NAT ACL に一致するパケット。その結果、NAT セッションが発生します。 |
ACL の一致を拒否する | 処理モードが DENY に設定された ACL と一致するため、ドロップされたパケット。 |
ブリッジ ACL マッチ | ブリッジ ACL に一致するパケット。トランスペアレントモードでは、サービス処理をバイパスします。 |
ACL マッチ | ACL に一致するパケット。 |
ACLミス | どの ACL とも一致しないパケット。 |
ACL カウント | ユーザによって設定された ACL ルールの総数。 |
有効な ACL カウント | 内部で設定された有効な ACL の総数。IPアドレスの範囲を持つ拡張ACLの場合、Citrix ADCアプライアンスは各IPアドレスに対して内部的に拡張ACLを作成します。たとえば、1000のIPv4アドレス(範囲またはデータセット)を持つ拡張ACLの場合、Citrix ADCは内部的に1000個の拡張ACLを作成します。 |
CLI のプロシージャ
CLI を使用してすべての拡張 ACL の統計情報を表示するには、次の手順を実行します。
コマンドプロンプトで入力します。
- stat ns acl
CLI を使用してすべての拡張 ACL6 の統計情報を表示するには、次の手順を実行します。
コマンドプロンプトで入力します。
- stat ns acl6
GUIのプロシージャ
GUI を使用して拡張 ACL の統計情報を表示するには、次の手順を実行します。
- [ システム] > [ネットワーク] > [ACL] に移動し、[ 拡張 ACL ] タブで拡張 ACL を選択し、[ 統計情報] をクリックします。
GUI を使用して拡張 ACL6 の統計情報を表示するには、次の手順を実行します。
- [ システム] > [ネットワーク] > [ACL] に移動し、[ 拡張 ACL 6 ] タブで拡張 ACL を選択し、[ 統計情報] をクリックします。
ステートフル ACL
ステートフルACLルールは、要求がルールに一致したときにセッションを作成し、これらの応答がCitrix ADCアプライアンスの拒否ACLルールと一致していても結果の応答を許可します。ステートフル ACL は、これらの特定の応答を許可するために、より多くの ACL ルール/転送セッションルールを作成する作業をオフロードします。
ステートフルACLは、次の要件を持つCitrix ADCアプライアンスのエッジファイアウォール展開に最適です。
- Citrix ADCアプライアンスは、内部クライアントから開始された要求とインターネットからの関連する応答を許可する必要があります。
- アプライアンスは、クライアント接続に関連しないパケットをインターネットからドロップする必要があります。
はじめに
ステートフル ACL 規則を設定する前に、次の点に注意してください。
- Citrix ADCアプライアンスは、ステートフルACLルールとステートフルACL6ルールをサポートしています。
- 高可用性セットアップでは、ステートフル ACL ルールのセッションは 2 次ノードに同期されません。
- ルールがCitrix ADC NAT構成にバインドされている場合、ACLルールをステートフルとして構成することはできません。NetScaler NAT構成の例を次に示します。
- RNAT
- 大規模NAT(ラージスケールNAT44、DS-Lite、large scale NAT64)
- NAT64
- 転送セッション
- この ACL ルールに TTL パラメータと Established パラメータが設定されている場合、ACL ルールをステートフルとして設定することはできません。
- ステートフル ACL ルール用に作成されたセッションは、次の ACL 操作に関係なく、タイムアウトするまで存続します。
- ACL の削除
- ACL を無効にする
- ACL をクリアする
- ステートフル ACL は、次のプロトコルではサポートされていません。
- アクティブFTP
- TFTP
ステートフル IPv4 ACL ルールの設定
ステートフル ACL ルールの設定は、ACL ルールのステートフルパラメータを有効にすることで構成されます。
CLI を使用して ACL ルールのステートフルパラメータを有効にするには、次の手順を実行します。
-
ACL ルールの追加中にステートフルパラメータを有効にするには、コマンドプロンプトで次のように入力します。
- add acl <lname> ALLOW -stateful (ENABLED | DISABLED)
- apply acls
- show acl <name>
-
既存の ACL ルールのステートフルパラメータを有効にするには、コマンドプロンプトで次のように入力します。
- set acl <name> -stateful (ENABLED | DISABLED)
- apply acls
- show acl <name>
GUI を使用して ACL ルールのステートフルパラメータを有効にするには、次の手順を実行します。
-
[ システム ] > [ ネットワーク ] > [ ACL ] に移動し、[ 拡張 ACL ] タブをクリックします。
-
既存の ACL ルールの追加または変更中に Stateful パラメータを有効にします。
設定例
> add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes
Done
> apply acls
Done
> show acl
1) Name: ACL-1
Action: ALLOW Hits: 0
srcIP = 1.1.1.1
destIP
srcMac:
Protocol:
Vlan: Interface:
Active Status: ENABLED Applied Status: NOTAPPLIED
Priority: 10 NAT: NO
TTL:
Log Status: DISABLED
Forward Session: NO
Stateful: YES
<!--NeedCopy-->
ステートフル ACL6 ルールの設定
ステートフル ACL6 ルールの設定は、ACL6 ルールのステートフルパラメータを有効にすることで構成されます。
CLI を使用して ACL6 ルールのステートフルパラメータを有効にするには、次の手順を実行します。
-
ACL6 ルールの追加中にステートフルパラメータを有効にするには、コマンドプロンプトで次のように入力します。
- add acl6 <name> ALLOW -stateful ( ENABLED | DISABLD )
- apply acls6
- show acl6 <name>
-
既存の ACL6 ルールのステートフルパラメータを有効にするには、コマンドプロンプトで次のように入力します。
- set acl6 <name> -stateful ( ENABLED | DISABLED )
- apply acls6
- show acl6 <name>
GUI を使用して ACL6 ルールのステートフルパラメータを有効にするには、次の手順を実行します。
- [ システム ] > [ ネットワーク ] > [ ACL ] に移動し、[ 拡張 ACL6 ] タブをクリックします。
- 既存の ACL6 ルールの追加または変更中に Stateful パラメータを有効にします。
設定例
> add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes
Done
> apply acls6
Done
> show acl6
1) Name: ACL6-1
Action: ALLOW Hits: 0
srcIPv6 = 1000::1
destIPv6
srcMac:
Protocol:
Vlan: Interface:
Active Status: ENABLED Applied Status: NOTAPPLIED
Priority: 10 NAT: NO
TTL:
Forward Session: NO
Stateful: YES
<!--NeedCopy-->
データセットベースの拡張ACL
企業では多くの ACL が必要です。多くの ACL の設定と管理は、頻繁に変更が必要な場合、困難で面倒です。
Citrix ADCアプライアンスは、拡張ACLのデータセットをサポートします。データセットは、Citrix ADCアプライアンスの既存の機能です。データセットは、数値(整数)、IPv4 アドレス、または IPv6 アドレスのインデックス付きパターンの配列です。
拡張 ACL でのデータセットのサポートは、共通の ACL パラメータを必要とする複数の ACL ルールを作成する場合に役立ちます。
ACL ルールの作成時に、共通パラメータを指定する代わりに、これらの共通パラメータを含むデータセットを指定できます。
データセットに加えられた変更は、このデータセットを使用している ACL ルールに自動的に反映されます。データセットを持つ ACL は、構成と管理が簡単です。また、従来の ACL よりも小さく、読みやすくなっています。
現在、Citrix ADCアプライアンスは、拡張ACLに対して次のタイプのデータセットのみをサポートしています。
- IPv4 アドレス(ACL ルールの送信元 IP アドレス、宛先 IP アドレス、またはその両方を指定する場合)
- 番号(ACL ルールの送信元ポート、宛先ポート、またはその両方を指定する場合)
はじめに
データセットベースの拡張 ACL ルールを構成する前に、次の点に注意してください。
-
Citrix ADCアプライアンスのデータセット機能に精通していることを確認してください。データセットの詳細については、「 パターンセットとデータセット」を参照してください。
-
Citrix ADCアプライアンスは、IPv4拡張ACLのデータセットのみをサポートします。
-
Citrix ADCアプライアンスは、拡張ACLに対して次のタイプのデータセットのみをサポートします。
- IPv4アドレス
- 番号
- Citrix ADCアプライアンスは、すべてのCitrix ADCセットアップ(スタンドアロン、高可用性、クラスター)でデータセットベースの拡張ACLをサポートします。
-
範囲を含むデータセットを含む拡張ACLの場合、Citrix ADCアプライアンスはデータセット値の組み合わせごとに内部的に拡張ACLを作成します。
-
例1: データセットにバインドされた1000のIPv4アドレスを持つIPv4データセットベースの拡張ACLで、データセットがソースIPパラメータに設定されている場合、 Citrix ADCアプライアンスは内部的に1000個の拡張ACLを作成します。
-
例 2: 次のパラメータが設定されたデータセットベースの拡張 ACL
- 送信元 IP は、5 つの IP アドレスを含むデータセットに設定されます。
- 宛先 IP は、5 つの IP アドレスを含むデータセットに設定されます。
- 送信元ポートは、5 つのポートを含むデータセットに設定されます。
- 宛先ポートは、5 つのポートを含むデータセットに設定されます。
Citrix ADCアプライアンスは、内部的に625の拡張ACLを作成します。これらの内部 ACL にはそれぞれ、上記の 4 つのパラメータ値の一意の組み合わせが含まれています。
-
Citrix ADCアプライアンスは、最大10Kの拡張ACLをサポートします。データセットにバインドされたIPアドレスの範囲を持つIPv4データセットベースの拡張ACLの場合、拡張ACLの合計数が上限に達すると、Citrix ADCアプライアンスは内部ACLの作成を停止します。
-
拡張 ACL 統計情報の一部として、次のカウンタがあります。
- ACL カウント。ユーザによって設定された ACL ルールの総数。
- 有効な ACL カウント。Citrix ADCアプライアンスが内部で構成する有効なACLルールの総数。
詳細については、 拡張 ACL および拡張 ACL6 の統計情報の表示を参照してください。
-
- Citrix ADCアプライアンスは、次の
set
およびunset
操作をサポートしていません。 associating/dissociating 拡張ACLのパラメーターを持つデータセット。ACL パラメータをデータセットに設定できるのは、add
操作中に限られます。
データセットベースの拡張 ACL を構成する
データセットベースの拡張 ACL ルールの構成は、次のタスクで構成されます。
-
データセットを追加します。データセットは、数値(整数)、IPv4 アドレス、または IPv6 アドレスのインデックス付きパターンの配列です。このタスクでは、IPv4 タイプのデータセットなど、データセットのタイプを作成します。
-
値をデータセットにバインドします。データセットの値または値の範囲を指定します。指定する値は、データセットタイプと同じタイプである必要があります。たとえば、IPv4 アドレス、IPv4 アドレス範囲、または IPv4 アドレス範囲を CIDR 表記で IPv4 データセットに指定できます。
-
拡張ACLを追加し、ACLパラメーターをデータセットに設定します。拡張 ACL を追加し、必要な ACL パラメータをデータセットに設定します。この設定により、パラメータはデータセットで指定された値に設定されます。
-
拡張 ACL を適用します。ACL を適用して、新規または変更された拡張 ACL をアクティブにします。
CLI を使用してポリシーデータセットを追加するには、次の手順を実行します。
コマンドプロンプトで入力します。
- add policy dataset <name> <type>
- show policy dataset
CLIを使用してパターンをデータセットにバインドするには:
コマンドプロンプトで入力します。
- バインドポリシーデータセット <name><value>[-endRange\<string>]
- show policy dataset
CLIを使用して拡張ACLを追加し、ACLパラメーターをデータセットに設定するには:
コマンドプロンプトで入力します。
- add ns acl <aclname> <aclaction> [-**srcIP** [\<operator>] <srcIPVal>] [-**srcPort** [\<operator>] <srcPortVal>] [-**destIP** [\<operator>] <destIPVal>] [-**destPort** [\<operator>] <destPortVal>] …
- show acls
CLI を使用して拡張 ACL を適用するには:
コマンドプロンプトで入力します。
- apply acls
設定例
次のデータセットベースの拡張 ACL の設定例では、2 つの IPv4データセットDATASET_IP_ACL_1
とDATASET_IP_ACL_2
が作成されます。2つのポートデータセットDATASET_PORT_ACL_1
とDATASET_PORT_ACL_1
が作成されます。
192.0.2.30 と 192.0.2.60 の 2 つの IPv4 アドレスがDATASET_IP_ACL_1
にバインドされています。(198.51.100.15-45) と (203.0.113.60-90) の 2 つの IPv4 アドレス範囲がDATASET_IP_ACL_2
にバインドされています。DATASET_IP_ACL_1
は、srcIP
パラメータ、 および DATASET_IP_ACL_1
を拡張 ACLACL-1
のdestIP
パラメータに指定されます。
2001 と 2004 の 2 つのポート番号がDATASET_PORT_ACL_1
にバインドされています。(5001-5040) と (8001-8040) の 2 つのポート範囲がバインドされています DATASET-PORT-ACL-2
。 DATASET_IP_ACL_1
は、 srcIP
パラメータ、 DATASET_IP_ACL_1
および拡張 ACL destIP
ACL-1
のパラメータに指定されます。
add policy dataset DATASET_IP_ACL_1 IPV4
add policy dataset DATASET_IP_ACL_2 IPV4
add policy dataset DATASET_PORT_ACL_1 NUM
add policy dataset DATASET_PORT_ACL_2 NUM
bind dataset DATASET_IP_ACL_1 192.0.2.30
bind dataset DATASET_IP_ACL_1 192.0.2.60
bind dataset DATASET_IP_ACL_2 198.51.100.15 -endrange 198.51.100.45
bind dataset DATASET_IP_ACL_2 203.0.113.1/24
bind dataset DATASET_PORT_ACL_1 2001
bind dataset DATASET_PORT_ACL_1 2004
bind dataset DATASET_PORT_ACL_2 5001 -endrange 5040
bind dataset DATASET_PORT_ACL_2 8001 -endrange 8040
add ns acl ACL-1 ALLOW -srcIP DATASET_IP_ACL_1 -destIP DATASET_IP_ACL_2
-srcPort DATASET_PORT_ACL_1 -destPort DATASET_PORT_ACL_2 –protocol TCP
<!--NeedCopy-->