ADC

简单 ACL 和简单 ACL6

简单 ACL 或简单 ACL6 使用的参数很少,只能配置为丢弃 IP 数据包。数据包可以根据其源 IP 地址以及(可选)其协议、目标端口或流量域丢弃数据包。

创建简单 ACL 或简单 ACL6 时,您可以指定生存时间 (TTL)(以秒为单位),然后 ACL 过期。保存配置时,带有 TTL 的 ACL 不会被保存。您可以显示简单的 ACL 和简单的 ACL6 以验证其配置,也可以显示它们的统计信息。

配置简单 ACL 和简单 ACL6

在 NetScaler 上配置简单的 ACL 或简单的 ACL6 可以包括以下任务。

  • 创建简单 ACL 或简单 ACL6。创建简单 ACL 或简单 ACL6 以根据数据包的源 IP 地址以及协议、目标端口或流量域(可选)丢弃(拒绝)数据包。
  • 删除简单 ACL 或简单 ACL6。这些 ACL 一旦创建就无法修改。如果必须修改简单 ACL 或简单的 ACL6,则必须将其删除并创建一个。

CLI 过程

要使用 CLI 创建简单的 ACL,请执行以下操作:

在命令提示符下,键入:

-  ns simpleacl <aclname> DENY -srcIP <ip_addr> [-destPort <port> -protocol ( TCP | UDP )] [-TTL <positive_integer>]
-  show ns simpleacl [<aclname>]
<!--NeedCopy-->

示例:

> add simpleacl rule1 DENY -srcIP 10.102.29.5 -TTL 600
Done
<!--NeedCopy-->

要使用 CLI 创建简单的 ACL6,请执行以下操作:

在命令提示符下,键入:

-  add ns simpleacl6 <aclname> DENY - srcIPv6 <ipv6_addr|null> [-destPort <port> -protocol ( TCP | UDP )] [-TTL <positive_integer>]
-  show ns simpleacl6 [<aclname>]
<!--NeedCopy-->

示例:

>  add ns simpleacl6 rule1 DENY –srcIPv6 3ffe:192:168:215::82 -destPort 80 -Protocol TCP -TTL 9000
 Done
<!--NeedCopy-->

要使用 CLI 删除单个简单的 ACL,请执行以下操作:

在命令提示符下,键入:

  • rm ns simpleacl <aclname>
  • show ns simpleacl

要使用 CLI 删除单个简单的 ACL6,请执行以下操作:

在命令提示符下,键入:

  • rm ns simpleacl6<aclname>
  • show ns simpleacl6

要使用 CLI 删除所有简单的 ACL,请执行以下操作:

在命令提示符下,键入:

  • clear ns simpleacl

  • show ns simpleacl

要使用 CLI 删除所有简单的 ACL6,请执行以下操作:

在命令提示符下,键入:

  • clear ns simpleacl6

  • show ns simpleacl6

GUI 程序

要使用 GUI 创建简单的 ACL,请执行以下操作:

导航到“系统”>“网络”>“ACL”,然后在“简单 ACL”选项卡上添加新的简单 ACL。

要使用 GUI 创建简单的 ACL6,请执行以下操作:

导航到“系统”>“网络”>“ACL”,然后在“简单 ACL6s”选项卡上添加一个新的简单 ACL6。

要使用 GUI 删除单个简单的 ACL,请执行以下操作:

导航到“系统”>“网络”>“ACL”,然后在“简单 ACL”选项卡上删除简单 ACL。

要使用 GUI 删除单个简单的 ACL6,请执行以下操作:

导航到“系统”>“网络”>“ACL”,然后在“简单 ACL6”选项卡上删除简单的 ACL6。

要使用 GUI 删除所有简单的 ACL,请执行以下操作:

  1. 导航到 系统 > 网络 > ACL
  2. 在“简单 ACL”选项卡的“操作”列表中,单击“清除”。

要使用 GUI 删除所有简单的 ACL6,请执行以下操作:

  1. 导航到 系统 > 网络 > ACL
  2. 在“简单 ACL6s”选项卡的操作”列表中,单击“清除”。

显示简单 ACL 和简单 ACL6 统计信息

您可以显示简单 ACL(或简单的 ACL6)统计信息,其中包括匹配项数、未命中次数和配置的简单 ACL 数量。

下表介绍了可以为简单 ACL 和简单 ACL6 显示的统计信息。

统计信息 表示
ACL 匹配 匹配 ACL 的数据包
ACL 错过 不匹配任何 ACL 的数据包
ACL 数量 配置的 ACL 数量

CLI 过程

要使用 CLI 显示简单的 ACL 统计信息,请执行以下操作:

在命令提示符下,键入:

  • stat ns simpleacl

示例:

> stat ns simpleacl

SimpleACL Statistics

                                          Rate (/s)                Total
SimpleACL hits                                     0                    0
SimpleACL misses                                   0                51872
SimpleACLs count                                  --                    2
Done
<!--NeedCopy-->

要使用 CLI 显示简单的 ACL6 统计信息,请执行以下操作:

在命令提示符下,键入:

  • stat ns simpleacl6

GUI 程序

要使用 GUI 显示简单的 ACL 统计信息,请执行以下操作:

导航到“系统”>“网络”>“ACL”,然后在“简单 ACL”选项卡上选择 ACL,然后单击“统计”。

要使用 GUI 显示简单的 ACL6 统计信息,请执行以下操作:

导航到“系统”>“网络”>“ACL”,然后在“简单 ACL6s”选项卡上,选择简单的 ACL6,然后单击统 计信息

终止已建立的连接

对于简单的 ACL 或简单的 ACL6,NetScaler 会阻止任何与 ACL 中指定的条件相匹配的新连接。与创建 ACL 之前建立的现有连接相关的数据包不会被阻止。要终止先前建立的与现有 ACL 匹配的连接,可以从 CLI 或 GUI 运行刷新操作。

flush 在以下情况下可能很有用:

  • 您会收到一份列入黑名单的 IP 地址列表,并希望完全阻止这些 IP 地址访问 NetScaler。在这种情况下,您将创建简单 ACL 或简单 ACL6,以阻止来自这些 IP 地址的任何新连接,然后刷新与这些地址关联的任何现有连接。
  • 您希望终止来自特定网络的许多连接,而不必花时间逐个终止它们。

开始之前的准备工作

  • 当您运行 flush 时,NetScaler 会搜索其所有已建立的连接,并终止与 ADC 上配置的任何简单 ACL 中指定的条件相匹配的连接。

  • 如果您计划创建多个简单 ACL 并刷新与其中任何一个连接匹配的现有连接,则可以首先创建所有简单 ACL 然后仅运行刷新一次,从而最大限度地减少对性能的影响。

CLI 过程

要使用 CLI 终止与您配置的任何简单 ACL 匹配的所有已建立 IPv4 连接,请执行以下操作:

在命令提示符下,键入:

  • flush simpleacl -estSessions

要使用 CLI 终止所有与您配置的简单 ACL6 匹配的已建立 IPv6 连接,请执行以下操作:

在命令提示符下,键入:

  • flush simpleacl6 -estSessions

GUI 程序

要使用 GUI 终止与您配置的任何简单 ACL 匹配的所有已建立 IPv4 连接,请执行以下操作:

  1. 导航到 系统 > 网络 > ACL
  2. 在“简单 ACL”选项卡的“操作”列表中,单击 Flush

要使用 GUI 终止所有与您配置的简单 ACL6 匹配的已建立 IPv6 连接,请执行以下操作:

  1. 导航到 系统 > 网络 > ACL
  2. Simple ACL6s 选项卡的 操作 列表中,单击 Flush。
简单 ACL 和简单 ACL6