Citrix ADC

Erweiterte ACLs und erweiterte ACL6s

Erweiterte ACLs und erweiterte ACL6s bieten Parameter und Aktionen, die mit einfachen ACLs nicht verfügbar sind. Sie können Daten anhand von Parametern wie Quell-IP-Adresse, Quellport, Aktion und Protokoll filtern. Sie können Aufgaben angeben, um ein Paket zuzulassen, ein Paket zu verweigern oder ein Paket zu überbrücken.

Erweiterte ACLs und ACL6s können geändert werden, nachdem sie erstellt wurden, und Sie können ihre Prioritäten neu nummerieren, um die Reihenfolge anzugeben, in der sie ausgewertet werden.

Hinweis: Wenn Sie sowohl einfache als auch erweiterte ACLs konfigurieren, haben einfache ACLs Vorrang vor erweiterten ACLs.

Die folgenden Aktionen können für erweiterte ACLs und ACL6s ausgeführt werden: Ändern, Übernehmen, Deaktivieren, Aktivieren, Entfernen und Umnummerieren (Priorität). Sie können erweiterte ACLs und ACL6s anzeigen, um deren Konfiguration zu überprüfen, und Sie können deren Statistiken anzeigen.

Sie können Citrix ADC so konfigurieren, dass Details für Pakete protokolliert werden, die mit einer erweiterten ACL übereinstimmen. Sie können jedoch keine Details von Paketen protokollieren, die einem ext entsprechen

Anwenden erweiterter ACLs und erweiterter ACL6s: Im Gegensatz zu einfachen ACLs und ACL6s funktionieren erweiterte ACLs und ACL6s, die auf dem Citrix ADC erstellt wurden, erst dann, wenn sie angewendet werden. Wenn Sie Änderungen an einer erweiterten ACL oder ACL6 vornehmen, z. B. das Deaktivieren der ACLs, das Ändern einer Priorität oder das Löschen der ACLs, müssen Sie die erweiterten ACLs oder ACL6s erneut anwenden. Sie müssen sie auch nach dem Aktivieren der Protokollierung erneut anwenden. Das Verfahren zum Anwenden erweiterter ACLs oder ACL6s wendet alle ACLs erneut an. Wenn Sie beispielsweise erweiterte ACL-Regeln 1 bis 10 angewendet haben und dann Regel 11 erstellen und anwenden, werden die ersten 10 Regeln neu angewendet.

Wenn eine Sitzung mit einer DENY-ACL verknüpft ist, wird diese Sitzung beendet, wenn Sie die ACLs anwenden.

Erweiterte ACLs und ACL6s sind standardmäßig aktiviert. Wenn sie angewendet werden, beginnt Citrix ADC, eingehende Pakete mit ihnen zu vergleichen. Wenn Sie sie jedoch deaktivieren, werden sie erst verwendet, wenn Sie sie erneut aktivieren, selbst wenn sie erneut angewendet werden.

Neunummerieren der Prioritäten von erweiterten ACLs und erweiterten ACL6s: Prioritätsnummern bestimmen die Reihenfolge, in der erweiterte ACLs oder ACL6s mit einem Paket abgeglichen werden. Eine ACL mit einer niedrigeren Prioritätsnummer hat eine höhere Priorität. Es wird vor ACLs mit höherer Priorität (niedrigere Prioritäten) ausgewertet, und die erste ACL, die mit dem Paket übereinstimmt, bestimmt die Aktion, die auf das Paket angewendet wird.

Wenn Sie eine erweiterte ACL oder ACL6 erstellen, weist das Citrix ADC automatisch eine Prioritätsnummer zu, die ein Vielfaches von 10 ist, sofern Sie nichts anderes angeben. Wenn beispielsweise zwei erweiterte ACLs Prioritäten von 20 bzw. 30 haben und Sie möchten, dass eine dritte ACL einen Wert zwischen diesen Zahlen hat, können Sie ihr den Wert 25 zuweisen. Wenn Sie später die Reihenfolge beibehalten möchten, in der die ACLs ausgewertet werden, aber ihre Nummerierung auf ein Vielfaches von 10 wiederherstellen möchten, können Sie das Verfahren zum Neunummerieren verwenden.

Konfigurieren von erweiterten ACLs und erweiterten ACL6s

Die Konfiguration einer erweiterten ACL oder ACL6 auf einem Citrix ADC besteht aus den folgenden Tasks.

  • Erstellen Sie eine erweiterte ACL oder ACL6. Erstellen Sie eine erweiterte ACL oder ACL6, um ein Paket zu erlauben, zu verweigern oder zu überbrücken. Sie können eine IP-Adresse oder einen IP-Adressbereich angeben, der mit den Quell- oder Ziel-IP-Adressen der Pakete übereinstimmt. Sie können ein Protokoll angeben, das mit dem Protokoll eingehender Pakete übereinstimmt.
  • (Optional) Ändern Sie eine erweiterte ACL oder ACL6. Sie können erweiterte ACLs oder ACL6s ändern, die Sie zuvor erstellt haben. Oder, wenn Sie eine vorübergehend außer Betrieb nehmen möchten, können Sie sie deaktivieren und später wieder aktivieren.
  • Wenden Sie erweiterte ACLs oder ACL6san. Nachdem Sie eine erweiterte ACL oder ACL6 erstellt, geändert, deaktiviert oder erneut aktiviert oder gelöscht haben, müssen Sie die erweiterten ACLs oder ACL6s anwenden, um sie zu aktivieren.
  • (Optional) Nummerieren Sie die Prioritäten erweiterter ACLs oder ACL6sneu. Wenn Sie ACLs mit Prioritäten konfiguriert haben, die kein Vielfaches von 10 sind und die Nummerierung auf ein Vielfaches von 10 wiederherstellen möchten, verwenden Sie das Verfahren zum Umbenennen.

CLI-Verfahren

So erstellen Sie eine erweiterte ACL über die CLI:

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add ns acl <aclname> <aclaction> [-srcIP [<operator>] <srcIPVal>] [-srcPort [<operator>] <srcPortVal>] [-destIP [<operator>] <destIPVal>] [-destPort [<operator>] <destPortVal>] [-TTL <positive_integer>] [-srcMac <mac_addr>] [(-protocol <protocol> [-established]) | -protocolNumber <positive_integer>] [-vlan <positive_integer>] [-interface <interface_name>] [-icmpType <positive_integer> [-icmpCode <positive_integer>]] [-priority <positive_integer>] [-state ( ENABLED | DISABLED )] [-logstate ( ENABLED | DISABLED ) [-ratelimit <positive_integer>]]
  • show ns acl [<aclName>]

Beispiel:

> add ns acl restrict DENY -srcport 45-1024 -destIP 192.168.1.1 -protocol TCP
 Done

So erstellen Sie eine erweiterte ACL6 mit der CLI:

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add ns acl6 <acl6name> <acl6action> [-srcIPv6 [<operator>] <srcIPv6Val>] [-srcPort [<operator>] <srcPortVal>] [-destIPv6 [<operator>] <destIPv6Val>] [-destPort [<operator>] <destPortVal>] [-TTL <positive_integer>] [-srcMac <mac_addr>] [(-protocol <protocol> [-established]) | -protocolNumber <positive_integer>] [-vlan <positive_integer>] [-interface <interface_name>] [-icmpType <positive_integer> [-icmpCode <positive_integer>]] [-priority <positive_integer>] [-state ( ENABLED | DISABLED )]
  • show ns acl6 [<aclName>]

Beispiel:

> add ns acl6 rule6  DENY -srcport 45-1024 -destIPv6 2001::45 -protocol TCP
 Done

So ändern Sie eine erweiterte ACL über die CLI:

Um eine erweiterte ACL zu ändern, geben Sie den Befehl set ns acl, den Namen der erweiterten ACL und die zu ändernden Parameter mit ihren neuen Werten ein.

So ändern Sie einen erweiterten ACL6 über die CLI:

Um eine erweiterte ACL6 zu ändern, geben Sie den Befehl set ns acl6, den Namen des erweiterten ACL6 und die zu ändernden Parameter mit ihren neuen Werten ein.

So deaktivieren oder aktivieren Sie eine erweiterte ACL über die CLI:

Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:

  • disable ns acl <aclname>
  • enable ns acl <aclname>

So deaktivieren oder aktivieren Sie eine erweiterte ACL6 über die CLI:

Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:

  • disable ns acl6 <aclname>
  • enable ns acl6<aclname>

So wenden Sie erweiterte ACLs über die CLI an:

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • apply ns acls

So wenden Sie erweiterte ACL6s über die CLI an:

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • apply ns acls6

So nummerieren Sie die Prioritäten erweiterter ACLs über die CLIneu:

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • renumber ns acls

So nummerieren Sie die Prioritäten erweiterter ACL6s über die CLIneu:

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • renumber ns acls6

GUI-Verfahren

So konfigurieren Sie eine erweiterte ACL über die GUI:

Navigieren Sie zu System > Netzwerk > ACLs, und fügen Sie auf der Registerkarte Erweiterte ACLs eine neue erweiterte ACL hinzu, oder bearbeiten Sie eine vorhandene erweiterte ACL. Um eine vorhandene erweiterte ACL zu aktivieren oder zu deaktivieren, wählen Sie diese aus, und wählen Sie dann in der Liste Aktion die Option Aktivieren oder Deaktivieren aus.

So konfigurieren Sie erweiterte ACL6s über die GUI:

Navigieren Sie zu System > Netzwerk > ACLs, und fügen Sie auf der Registerkarte Erweiterte ACL6s eine neue erweiterte ACL6 hinzu, oder bearbeiten Sie eine vorhandene erweiterte ACL6. Um eine vorhandene erweiterte ACL6 zu aktivieren oder zu deaktivieren, wählen Sie diese aus, und wählen Sie dann in der Liste Aktion die Option Aktivieren oder Deaktivieren aus.

So wenden Sie erweiterte ACLs über die GUIan:

Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie auf der Registerkarte Erweiterte ACLs in der Liste Aktion auf Übernehmen.

So wenden Sie erweiterte ACL6s über die GUIan:

Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie auf der Registerkarte Erweiterte ACL6s in der Liste Aktion auf Übernehmen.

So nummerieren Sie die Prioritäten erweiterter ACLs über die GUIneu:

Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie auf der Registerkarte Erweiterte ACLsin der Liste Aktion auf Priorität neu nummerieren.

So nummerieren Sie die Prioritäten erweiterter ACL6s über die GUIneu:

Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie auf der Registerkarte Erweiterte ACL6s in der Liste Aktion auf Priorität neu nummerieren.

Beispielkonfigurationen

Die folgende Tabelle zeigt Beispiele für die Konfiguration erweiterter ACL-Regeln über die Befehlszeilenschnittstelle: Beispielkonfigurationen für ACLs.

Protokollieren erweiterter ACLs

Sie können Citrix ADC so konfigurieren, dass Details für Pakete protokolliert werden, die mit erweiterten ACLs übereinstimmen.

Hinweis: Sie können die Protokollierung für erweiterte ACL6s nicht aktivieren.

Zusätzlich zum ACL-Namen enthalten die protokollierten Details paketspezifische Informationen wie Quell- und Ziel-IP-Adressen. Die Informationen werden entweder in der Syslog-Datei oder in der Datei nslog gespeichert, abhängig vom Typ der aktivierten globalen Protokollierung (syslog oder nslog).

Die Protokollierung muss sowohl auf globaler Ebene als auch auf ACL-Ebene aktiviert sein. Die globale Einstellung hat Vorrang. Weitere Informationen zum globalen Aktivieren der Protokollierung finden Sie unter .

Wenn mehrere Pakete aus demselben Flow mit einer ACL übereinstimmen, werden nur die Details des ersten Pakets protokolliert, und der Leistungsindikator wird für jedes Paket erhöht, das zu demselben Flow gehört. Ein Flow wird als eine Reihe von Paketen definiert, die dieselben Werte für die Quell-IP-Adresse, die Ziel-IP-Adresse, den Quellport, den Zielport und die Protokollparameter aufweisen. Um ein Überfluten von Protokollmeldungen zu vermeiden, führt Citrix ADC interne Ratenbegrenzungen durch, sodass Pakete, die zu demselben Fluss gehören, nicht wiederholt protokolliert werden. Die Gesamtzahl der verschiedenen Flows, die zu einem bestimmten Zeitpunkt protokolliert werden können, ist auf 10.000 begrenzt.

Hinweis: Sie müssen ACLs anwenden, nachdem Sie die Protokollierung aktiviert haben.

CLI-Verfahren

So konfigurieren Sie die erweiterte ACL-Protokollierung mit der CLI:

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Protokollierung zu konfigurieren und die Konfiguration zu überprüfen:

  • set ns acl <aclName> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
  • show ns acl [<aclName>]

Beispiel:

> set ns acl restrict -logstate ENABLED -ratelimit 120
Warning: ACL modified, apply ACLs to activate change

GUI-Verfahren

So konfigurieren Sie die erweiterte ACL-Protokollierung mit der GUI:

  1. Navigieren Sie zu System > Netzwerk > ACLs, und öffnen Sie auf der Registerkarte Erweiterte ACLs die erweiterte ACL.
  2. Legen Sie die folgenden Parameter fest:
    • Protokollstatus— Aktiviert oder deaktiviert die Protokollierung von Ereignissen, die sich auf die erweiterte ACL-Regel beziehen. Die Protokollmeldungen werden auf dem konfigurierten Syslog- oder Auditlog-Server gespeichert.
    • Log Rate Limit— Maximale Anzahl von Protokollmeldungen, die pro Sekunde generiert werden sollen. Wenn Sie diesen Parameter festlegen, müssen Sie den Parameter Log-Status aktivieren.

Erweiterte ACL6-Protokollierung

Sie können die Citrix ADC Appliance so konfigurieren, dass Details für Pakete protokolliert werden, die einer erweiterten ACL6-Regel entsprechen. Zusätzlich zum ACL6-Namen enthalten die protokollierten Details paketspezifische Informationen wie Quell- und Ziel-IP-Adressen. Die Informationen werden je nach Art der Protokollierung (syslog oder nslog), die Sie in der Citrix ADC Appliance konfiguriert haben, entweder in einer syslog- oder nslog-Datei gespeichert.

Wenn mehrere Pakete aus demselben Flow mit einer ACL6 übereinstimmen, werden nur die Details des ersten Pakets protokolliert, um die Protokollierung zu optimieren. Der Zähler wird für jedes andere Paket erhöht, das zu demselben Fluss gehört. Ein Flow wird als Satz von Paketen definiert, die dieselben Werte für die folgenden Parameter haben:

  • Quell-IP
  • Ziel-IP
  • Quellport
  • Destination port
  • Protokoll (TCP oder UDP)

Wenn ein eingehendes Paket nicht aus demselben Flow stammt, wird ein neuer Flow erstellt. Die Gesamtzahl der verschiedenen Flows, die zu einem bestimmten Zeitpunkt protokolliert werden können, ist auf 10.000 begrenzt.

CLI-Verfahren

So konfigurieren Sie die Protokollierung für eine erweiterte ACL6-Regel mit der CLI:

  • Um die Protokollierung beim Hinzufügen der erweiterten ACL6-Regel zu konfigurieren, geben Sie an der Eingabeaufforderung Folgendes ein:

    • add acl6 <acl6Name> <acl6action> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
    • show acl6 [<acl6Name>]
    • apply acls6
  • Um die Protokollierung für eine vorhandene erweiterte ACL6-Regel zu konfigurieren, geben Sie an der Eingabeaufforderung Folgendes ein:

    • set acl6 <acl6Name> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
    • show acl6 [<acl6Name>]
    • apply acls6

GUI-Verfahren

So konfigurieren Sie die erweiterte ACL6-Protokollierung mit der GUI:

  1. Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie dann auf die Registerkarte Erweiterte ACL6s.
  2. Legen Sie beim Hinzufügen oder Ändern einer vorhandenen erweiterten ACL6-Regel die folgenden Parameter fest.
    • Log State— Aktiviert oder deaktiviert die Protokollierung von Ereignissen, die sich auf die erweiterte ACL6s-Regel beziehen. Die Protokollmeldungen werden auf dem konfigurierten Syslog- oder Auditlog-Server gespeichert.
    • Log Rate Limit— Maximale Anzahl von Protokollmeldungen, die pro Sekunde generiert werden sollen. Wenn Sie diesen Parameter festlegen, müssen Sie den Parameter Log-Status aktivieren.

Beispiel:

> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120
Done

> apply acls6
Done

Anzeigen von erweiterten ACL- und erweiterten ACL6s Statistiken

Sie können Statistiken von erweiterten ACLs und ACL6s anzeigen.

In der folgenden Tabelle sind die Statistiken aufgeführt, die mit erweiterten ACLs und ACL6s verknüpft sind, sowie deren Beschreibungen.

Statistik Gibt an
ACL-Treffer zulassen Pakete, die ACLs entsprechen, wobei der Verarbeitungsmodus auf Allow festgelegt ist. Citrix ADC verarbeitet diese Pakete.
NAT ACL Treffer Pakete, die mit einer NAT-ACL übereinstimmen, was zu einer NAT-Sitzung führt.
ACL-Treffer verweigern Pakete wurden gelöscht, weil sie ACLs mit dem Verarbeitungsmodus auf DENY festgelegt sind.
Brücken-ACL-Treffer Pakete, die einer Bridge-ACL entsprechen, die im transparenten Modus die Dienstverarbeitung umgeht.
ACL Treffer Pakete, die mit einer ACL übereinstimmen.
ACL Fehler Pakete, die keiner ACL entsprechen.

CLI-Verfahren

So zeigen Sie die Statistiken aller erweiterten ACLs mit der CLI an:

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • stat ns acl

So zeigen Sie die Statistiken aller erweiterten ACL6s mit der CLI an:

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • stat ns acl6

GUI-Verfahren

So zeigen Sie die Statistiken einer erweiterten ACL mit der GUI an:

Navigieren Sie zu System > Netzwerk > ACLs, wählen Sie auf der Registerkarte Erweiterte ACLs die erweiterte ACL aus, und klicken Sie auf Statistiken.

So zeigen Sie die Statistiken eines erweiterten ACL6 mit der GUI an:

Navigieren Sie zu System > Netzwerk > ACLs, wählen Sie auf der Registerkarte Erweiterte ACL6s die erweiterte ACL aus, und klicken Sie auf Statistiken.

Stateful-ACLs

Eine statusbehaftete ACL-Regel erstellt eine Sitzung, wenn eine Anforderung mit der Regel übereinstimmt, und erlaubt die resultierenden Antworten auch dann, wenn diese Antworten mit einer Deny-ACL-Regel in der Citrix ADC Appliance übereinstimmen. Eine statusbehaftete ACL entlastet die Arbeit, zusätzliche ACL-Regeln/Weiterleitungssitzungsregeln zu erstellen, um diese spezifischen Antworten zuzulassen.

Stateful ACLs können am besten in einer Edge-Firewall-Bereitstellung einer Citrix ADC Appliance verwendet werden, die folgende Anforderungen erfüllt:

  • Die Citrix ADC Appliance muss Anfragen, die von internen Clients initiiert wurden, und die zugehörigen Antworten aus dem Internet zulassen.
  • Die Appliance muss die Pakete aus dem Internet löschen, die nicht mit Clientverbindungen verbunden sind.

Bevor Sie beginnen

Bevor Sie statusbehaftete ACL-Regeln konfigurieren, beachten Sie die folgenden Punkte:

  • Die Citrix ADC Appliance unterstützt statusbehaftete ACL-Regeln sowie statusbehaftete ACL6-Regeln.
  • In einem Hochverfügbarkeits-Setup werden die Sitzungen für eine statusbehaftete ACL-Regel nicht mit dem sekundären Knoten synchronisiert.
  • Sie können eine ACL-Regel nicht als statusbehaftete Konfiguration konfigurieren, wenn die Regel an eine Citrix ADC NAT-Konfiguration gebunden ist. Einige Beispiele für Citrix ADC NAT-Konfigurationen sind:
    • RNAT
    • Großes NAT (groß NAT44, DS-lite, groß NAT64)
    • NAT64
    • Weiterleitungssitzung
  • Sie können eine ACL-Regel nicht als statusbehaftet konfigurieren, wenn TTL und Established Parameter für diese ACL-Regel festgelegt sind.
  • Die Sitzungen, die für eine statusbehaftete ACL-Regel erstellt wurden, bestehen weiterhin bis zum Timeout, unabhängig von den folgenden ACL-Vorgängen:
    • ACL entfernen
    • ACL deaktivieren
    • ACL löschen
  • Stateful ACLs werden für die folgenden Protokolle nicht unterstützt:
    • Aktive FTP
    • TFTP

Konfigurieren von Stateful-IPv4-ACL-Regeln

Das Konfigurieren einer statusbehafteten ACL-Regel besteht darin, den statusbehafteten Parameter einer ACL-Regel zu aktivieren.

So aktivieren Sie den statusbehafteten Parameter einer ACL-Regel mit der CLI:

  • Um den statusbehafteten Parameter beim Hinzufügen einer ACL-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:
    • add acl <lname> ALLOW -stateful ( ENABLED | DISABLED )
    • acls anwenden
    • show acl <name>
  • Um den statusbehafteten Parameter einer vorhandenen ACL-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:
    • set acl <name> -stateful ( ENABLED | DISABLED )
    • acls anwenden
    • show acl <name>

So aktivieren Sie den statusbehafteten Parameter einer ACL-Regel mit der CLI:

  1. Navigieren Sie zu System > Netzwerk > ACLs und auf der Registerkarte Erweiterte ACLs.
  2. Aktivieren Sie den Stateful-Parameter beim Hinzufügen oder Ändern einer vorhandenen ACL-Regel.
    > add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes

    Done

    > apply acls

    Done

    > show acl

    1)         Name: ACL-1

      Action: ALLOW                          Hits: 0

      srcIP = 1.1.1.1

      destIP

      srcMac:

      Protocol:

      Vlan:                                 Interface:

      Active Status: ENABLED                 Applied Status: NOTAPPLIED

      Priority: 10                           NAT: NO

      TTL:

      Log Status: DISABLED

      Forward Session: NO

     Stateful: YES

Stateful-ACL6-Regeln konfigurieren

Das Konfigurieren einer statusbehafteten ACL6-Regel besteht darin, den statusbehafteten Parameter einer ACL6-Regel zu aktivieren.

So aktivieren Sie den statusbehafteten Parameter einer ACL6-Regel mit der CLI:

  • Um den statusbehafteten Parameter beim Hinzufügen einer ACL6-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:
    • add acl6 <name> ALLOW -stateful ( ENABLED | DISABLD )
    • acls6 anwenden
    • show acl6 <name>
  • Um den statusbehafteten Parameter einer vorhandenen ACL6-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:
    • set acl6 <name> -stateful ( ENABLED | DISABLED )
    • acls6 anwenden
    • show acl6 <name>

So aktivieren Sie den statusbehafteten Parameter einer ACL6-Regel mit der CLI:

  1. Navigieren Sie zu System > Netzwerk > ACLs und auf der Registerkarte Erweiterte ACL6s .
  2. Aktivieren Sie den Stateful-Parameter beim Hinzufügen oder Ändern einer vorhandenen ACL6-Regel.
    >  add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes

    Done

    >  apply acls6

    Done

    > show acl6

    1)    Name: ACL6-1

      Action: ALLOW                          Hits: 0

      srcIPv6 = 1000::1

      destIPv6

      srcMac:

      Protocol:

      Vlan:                                 Interface:

      Active Status: ENABLED                 Applied Status: NOTAPPLIED

      Priority: 10                           NAT: NO

      TTL:

     Forward Session: NO

     Stateful: YES

Erweiterte ACLs und erweiterte ACL6s