简单 ACL 和简单 ACL6
简单 ACL 或简单 ACL6 使用的参数很少,只能配置为丢弃 IP 数据包。数据包可以根据其源 IP 地址以及(可选)其协议、目标端口或流量域丢弃数据包。
创建简单 ACL 或简单 ACL6 时,您可以指定生存时间 (TTL)(以秒为单位),然后 ACL 过期。保存配置时,带有 TTL 的 ACL 不会被保存。您可以显示简单的 ACL 和简单的 ACL6 以验证其配置,也可以显示它们的统计信息。
配置简单 ACL 和简单 ACL6
在 NetScaler 上配置简单的 ACL 或简单的 ACL6 可以包括以下任务。
- 创建简单 ACL 或简单 ACL6。创建简单 ACL 或简单 ACL6 以根据数据包的源 IP 地址以及协议、目标端口或流量域(可选)丢弃(拒绝)数据包。
- 删除简单 ACL 或简单 ACL6。这些 ACL 一旦创建就无法修改。如果必须修改简单 ACL 或简单的 ACL6,则必须将其删除并创建一个。
CLI 过程
要使用 CLI 创建简单的 ACL,请执行以下操作:
在命令提示符下,键入:
- ns simpleacl <aclname> DENY -srcIP <ip_addr> [-destPort <port> -protocol ( TCP | UDP )] [-TTL <positive_integer>]
- show ns simpleacl [<aclname>]
示例:
> add simpleacl rule1 DENY -srcIP 10.102.29.5 -TTL 600
Done
要使用 CLI 创建简单的 ACL6,请执行以下操作:
在命令提示符下,键入:
- add ns simpleacl6 <aclname> DENY - srcIPv6 <ipv6_addr|null> [-destPort <port> -protocol ( TCP | UDP )] [-TTL <positive_integer>]
- show ns simpleacl6 [<aclname>]
示例:
> add ns simpleacl6 rule1 DENY –srcIPv6 3ffe:192:168:215::82 -destPort 80 -Protocol TCP -TTL 9000
Done
要使用 CLI 删除单个简单的 ACL,请执行以下操作:
在命令提示符下,键入:
- rm ns simpleacl <aclname>
- show ns simpleacl
要使用 CLI 删除单个简单的 ACL6,请执行以下操作:
在命令提示符下,键入:
- rm ns simpleacl6<aclname>
- show ns simpleacl6
要使用 CLI 删除所有简单的 ACL,请执行以下操作:
在命令提示符下,键入:
-
clear ns simpleacl
-
show ns simpleacl
要使用 CLI 删除所有简单的 ACL6,请执行以下操作:
在命令提示符下,键入:
-
clear ns simpleacl6
-
show ns simpleacl6
GUI 程序
要使用 GUI 创建简单的 ACL,请执行以下操作:
导航到“系统”>“网络”>“ACL”,然后在“简单 ACL”选项卡上添加新的简单 ACL。
要使用 GUI 创建简单的 ACL6,请执行以下操作:
导航到“系统”>“网络”>“ACL”,然后在“简单 ACL6s”选项卡上添加一个新的简单 ACL6。
要使用 GUI 删除单个简单的 ACL,请执行以下操作:
导航到“系统”>“网络”>“ACL”,然后在“简单 ACL”选项卡上删除简单 ACL。
要使用 GUI 删除单个简单的 ACL6,请执行以下操作:
导航到“系统”>“网络”>“ACL”,然后在“简单 ACL6”选项卡上删除简单的 ACL6。
要使用 GUI 删除所有简单的 ACL,请执行以下操作:
- 导航到 系统 > 网络 > ACL。
- 在 “ 简单 ACL ” 选项卡的 “ 操作 ” 列表中,单击 “ 清除”。
要使用 GUI 删除所有简单的 ACL6,请执行以下操作:
- 导航到 系统 > 网络 > ACL。
- 在“简单 ACL6s”选项卡的“操作”列表中,单击“清除”。
显示简单 ACL 和简单 ACL6 统计信息
您可以显示简单 ACL(或简单的 ACL6)统计信息,其中包括匹配项数、未命中次数和配置的简单 ACL 数量。
下表介绍了可以为简单 ACL 和简单 ACL6 显示的统计信息。
| 统计信息 | 表示 |
|---|---|
| ACL 匹配 | 匹配 ACL 的数据包 |
| ACL 错过 | 不匹配任何 ACL 的数据包 |
| ACL 数量 | 配置的 ACL 数量 |
CLI 过程
要使用 CLI 显示简单的 ACL 统计信息,请执行以下操作:
在命令提示符下,键入:
- stat ns simpleacl
示例:
> stat ns simpleacl
SimpleACL Statistics
Rate (/s) Total
SimpleACL hits 0 0
SimpleACL misses 0 51872
SimpleACLs count -- 2
Done
要使用 CLI 显示简单的 ACL6 统计信息,请执行以下操作:
在命令提示符下,键入:
- stat ns simpleacl6
GUI 程序
要使用 GUI 显示简单的 ACL 统计信息,请执行以下操作:
导航到“系统”>“网络”>“ACL”,然后在“简单 ACL”选项卡上选择 ACL,然后单击“统计”。
要使用 GUI 显示简单的 ACL6 统计信息,请执行以下操作:
导航到“系统”>“网络”>“ACL”,然后在“简单 ACL6s”选项卡上,选择简单的 ACL6,然后单击统 计信息。
终止已建立的连接
对于简单的 ACL 或简单的 ACL6,NetScaler 会阻止任何与 ACL 中指定的条件相匹配的新连接。与创建 ACL 之前建立的现有连接相关的数据包不会被阻止。要终止先前建立的与现有 ACL 匹配的连接,可以从 CLI 或 GUI 运行刷新操作。
flush 在以下情况下可能很有用:
- 您会收到一份列入黑名单的 IP 地址列表,并希望完全阻止这些 IP 地址访问 NetScaler。在这种情况下,您将创建简单 ACL 或简单 ACL6,以阻止来自这些 IP 地址的任何新连接,然后刷新与这些地址关联的任何现有连接。
- 您希望终止来自特定网络的许多连接,而不必花时间逐个终止它们。
开始之前的准备工作
-
当您运行 flush 时,NetScaler 会搜索其所有已建立的连接,并终止与 ADC 上配置的任何简单 ACL 中指定的条件相匹配的连接。
-
如果您计划创建多个简单 ACL 并刷新与其中任何一个连接匹配的现有连接,则可以首先创建所有简单 ACL 然后仅运行刷新一次,从而最大限度地减少对性能的影响。
CLI 过程
要使用 CLI 终止与您配置的任何简单 ACL 匹配的所有已建立 IPv4 连接,请执行以下操作:
在命令提示符下,键入:
- flush simpleacl -estSessions
要使用 CLI 终止所有与您配置的简单 ACL6 匹配的已建立 IPv6 连接,请执行以下操作:
在命令提示符下,键入:
- flush simpleacl6 -estSessions
GUI 程序
要使用 GUI 终止与您配置的任何简单 ACL 匹配的所有已建立 IPv4 连接,请执行以下操作:
- 导航到 系统 > 网络 > ACL。
- 在“简单 ACL”选项卡的“操作”列表中,单击 Flush。
要使用 GUI 终止所有与您配置的简单 ACL6 匹配的已建立 IPv6 连接,请执行以下操作:
- 导航到 系统 > 网络 > ACL。
- 在 Simple ACL6s 选项卡的 操作 列表中,单击 Flush。