NetScaler SDX

访问控制列表

访问控制列表 (ACL) 是一组条件,您可以将这些条件应用于网络设备,以过滤 IP 流量并保护设备免受未经授权的访问。

您可以在 NetScaler SDX Management Service GUI 上配置 ACL 以限制和控制对设备的访问。

注意:

从版本 12.0 57.19 起支持 SDX 设备上的 ACL。

本主题包括以下几个部分:

  • 用法指南
  • 如何配置 ACL
  • ACL 规则的其他操作
  • 故障排除

用法指南

在设备上创建 ACL 时,请记住以下几点:

  • 将 SDX 设备升级到版本 11.0 57.19 时,默认情况下会禁用 ACL 功能。
  • SDX 管理员只能通过 SDX 设备上的 ACL 控制入站数据包。
  • 如果您使用 NetScaler 控制台来管理 SDX 设备,则必须创建适当的 ACL 规则,以允许 MAS 与 SDX 管理服务之间的通信。
  • SDX 设备上的任何其他配置(如置备或删除 VPX、添加/删除外部服务器、SNMP 管理)都不需要对现有 ACL 配置进行任何更改。与这些实体的沟通由管理处负责。

如何配置 ACL

配置 ACL 涉及以下步骤:

  • 启用 ACL 功能
  • 创建 ACL 规则
  • 启用 ACL 规则

注意:

您可以在不启用 ACL 功能的情况下创建 ACL 规则。但是,如果未启用该功能,则无法在创建 ACL 规则后启用该规则。

启用 ACL 功能

  1. 要启用 ACL 功能,请登录 SDX 管理服务 GUI,然后导航到 配置 > 系统 > ACL

  2. 通过使用切换按钮,打开 ACL 功能。

    ACL 规则

创建 ACL 规则

  1. 在 ACL 页面上,单击 创建规则

  2. 此时将打开创建规则窗口。添加下表中列出的详细信息。

    属性 说明
    名称 添加一个名字。
    协议 从菜单中选择协议。默认情况下,TCP 处于选中状态。您可以选择 ANY 以允许所有协议。
    源 IP 地址/子网 指定应用规则的源 IP 地址或源子网。如果必须将规则应用于所有传入通信,请选择 ANY
    目标 IP SDX 管理服务 IP 地址将自动填充为目标 IP。无法编辑此字段。
    目标端口 指定规则适用的目标端口。如果规则适用于所有目标端口,请选择 ANY
    操作 选择规则的操作,即“允许”或“拒绝”。
    优先级 分配优先级以指定评估规则的顺序。优先级编号决定了 ACL 规则与传入数据包的匹配顺序。优先级较低的数字具有较高的优先级。例如,优先级编号 1 的优先级高于优先级编号 1。如果没有任何规则与传入的数据包匹配,则该数据包将被阻止。
  3. 单击“确定”创建规则。

    图: ACL 规则的示例

    SDX ACL 规则

    创建规则后,它将处于禁用状态。要使规则生效,必须启用该规则。

    注意:

    要启用规则,必须启用 ACL 功能。如果禁用了该功能,并且您尝试启用 ACL 规则,则会显示一条消息“ACL 未运行”。

启用 ACL 规则

  1. 将鼠标悬停在要启用的规则上,然后单击带有三个点的圆圈。

  2. 从菜单中选择“启用”。

  3. 或者,选择该规则的单选按钮,然后单击 启用 选项卡。

  4. 出现提示时,单击“”进行确认。

ACL 规则的其他操作

您可以对 ACL 规则应用以下操作:

  1. 禁用 ACL 规则

  2. 编辑 ACL 规则

  3. 删除 ACL 规则

  4. 重新编号 ACL 规则的优先级

禁用 ACL 规则

  1. 将鼠标悬停在要禁用的规则上,然后选择带有三个点的圆圈。

  2. 从列表中单击“禁用”。

  3. 或者,选择该规则的单选按钮,然后单击 禁用 选项卡。

  4. 单击进行确认。

注意:

禁用规则后,该规则将不再适用于传入流量。但是,规则配置仍保留在 ACL 设置下。

编辑 ACL 规则

  1. 将鼠标悬停在要编辑的规则上,然后选择带有三个点的圆。

  2. 在列表中单击 编辑规则修改规则窗口随即打开。

  3. 或者,选择该规则的单选按钮,然后单击 编辑规则 选项卡。修改规则窗口随即打开

  4. 进行编辑,然后单击“确定”

注意:

您可以编辑处于启用和禁用状态的规则。如果编辑的规则已经启用,编辑内容将立即应用。对于处于禁用状态的规则,启用规则时将应用编辑内容。

删除 ACL 规则

  1. 确保规则处于禁用状态。

  2. 将鼠标悬停在要删除的规则上,然后选择带有三个点的圆圈。单击列表中的 删除规则

  3. 或者,选择该规则的单选按钮,然后单击 删除规则 选项卡。

  4. 单击进行确认。

注意:

您无法删除处于启用状态的规则。

重新编号 ACL 规则的优先级

  1. 将鼠标悬停在要为其重新编号优先级的规则上,然后选择带有三个点的圆圈。从列表中单击“重新编号优先级”。

  2. 或者,选择该规则的单选按钮,然后单击 选择操作 选项卡。

  3. 选择“重新编号优先级”。

  4. SDX 管理服务会自动为所有现有规则分配新的优先级编号,即 10 的倍数。

  5. 编辑规则以根据需要分配优先级编号。有关如何编辑规则的更多信息,请参阅“编辑 ACL 规则”部分。

。现有优先级号码的示例

现有优先级编号

。优先级重新编号后优先级编号为 10 的倍数的示例

重新编号的优先级

故障排除

如果 ACL 规则设置不当,所有用户帐户都可能被拒绝访问。如果由于 ACL 设置不当而无意中失去了对 SDX Management Service 的所有网络访问权限,请按照以下步骤获取访问权限。

  1. 使用 SSH 和您的“root”帐户登录Citrix Hypervisor 管理 IP 地址。

  2. 使用管理员权限登录管理服务虚拟机的控制台。

  3. 运行命令 pfctl –d

  4. 通过 GUI 登录到管理服务,然后相应地重新配置 ACL。

访问控制列表