Citrix ADC

Erweiterte ACLs und erweiterte ACL6s

Erweiterte ACLs und erweiterte ACL6s bieten Parameter und Aktionen, die mit einfachen ACLs nicht verfügbar sind. Sie können Daten basierend auf Parametern wie Quell-IP-Adresse, Quellport, Aktion und Protokoll filtern. Sie können Aufgaben angeben, um ein Paket zuzulassen, ein Paket zu verweigern oder ein Paket zu überbrücken.

Erweiterte ACLs und ACL6s können nach ihrer Erstellung geändert werden, und Sie können ihre Prioritäten neu nummerieren, um die Reihenfolge anzugeben, in der sie ausgewertet werden.

Hinweis: Wenn Sie sowohl einfache als auch erweiterte ACLs konfigurieren, haben einfache ACLs Vorrang vor erweiterten ACLs.

Die folgenden Aktionen können für erweiterte ACLs und ACL6s ausgeführt werden: Ändern, Anwenden, Deaktivieren, Aktivieren, Entfernen und Umnummerieren (Priorität). Sie können erweiterte ACLs und ACL6s anzeigen, um ihre Konfiguration zu überprüfen, und Sie können ihre Statistiken anzeigen.

Sie können den Citrix ADC so konfigurieren, dass Details für Pakete protokolliert werden, die einer erweiterten ACL entsprechen.

Anwenden erweiterter ACLs und erweiterter ACL6s: Im Gegensatz zu einfachen ACLs und ACL6s funktionieren erweiterte ACLs und ACL6s, die auf dem Citrix ADC erstellt wurden, erst dann, wenn sie angewendet werden. Wenn Sie Änderungen an einer erweiterten ACL oder ACL6 vornehmen, z. B. das Deaktivieren der ACLs, das Ändern einer Priorität oder das Löschen der ACLs, müssen Sie die erweiterten ACLs oder ACL6 erneut anwenden. Sie müssen sie erneut anwenden, nachdem Sie die Protokollierung aktiviert haben. Das Verfahren zum Anwenden erweiterter ACLs oder ACL6s wendet alle ACLs erneut an. Wenn Sie beispielsweise erweiterte ACL-Regeln 1 bis 10 angewendet haben und dann Regel 11 erstellen und anwenden, werden die ersten 10 Regeln neu angewendet.

Wenn eine Sitzung über eine DENY-ACL verfügt, wird diese Sitzung beendet, wenn Sie die ACLs anwenden.

Erweiterte ACLs und ACL6s sind standardmäßig aktiviert. Wenn sie angewendet werden, beginnt der Citrix ADC, eingehende Pakete mit ihnen zu vergleichen. Wenn Sie sie jedoch deaktivieren, werden sie erst verwendet, wenn Sie sie wieder aktivieren, selbst wenn sie erneut angewendet werden.

Neunummerierung der Prioritäten von Extended ACLs und Extended ACL6: Prioritätsnummern bestimmen die Reihenfolge, in der erweiterte ACLs oder ACL6 mit einem Paket abgeglichen werden. Eine ACL mit einer niedrigeren Prioritätsnummer hat eine höhere Priorität. Es wird vor ACLs mit höheren Prioritätsnummern (niedrigere Prioritäten) ausgewertet, und die erste ACL, die mit dem Paket übereinstimmt, bestimmt die auf das Paket angewendete Aktion.

Wenn Sie eine erweiterte ACL oder ACL6 erstellen, weist der Citrix ADC ihm automatisch eine Prioritätsnummer zu, die ein Vielfaches von 10 ist, sofern Sie nichts anderes angeben. Wenn beispielsweise zwei erweiterte ACLs Prioritäten von 20 bzw. 30 haben und Sie möchten, dass eine dritte ACL einen Wert zwischen diesen Zahlen hat, können Sie ihr einen Wert von 25 zuweisen. Wenn Sie später die Reihenfolge beibehalten möchten, in der die ACLs ausgewertet werden, aber ihre Nummerierung auf ein Vielfaches von 10 zurücksetzen möchten, können Sie die Neunummerierungsprozedur verwenden.

Konfigurieren von erweiterten ACLs und Extended ACL6s

Die Konfiguration einer erweiterten ACL oder ACL6 auf einem Citrix ADC besteht aus den folgenden Aufgaben.

  • Erstellen Sie eine erweiterte ACL oder ACL6. Erstellen Sie eine erweiterte ACL oder ACL6, um ein Paket entweder zuzulassen, zu verweigern oder zu überbrücken. Sie können eine IP-Adresse oder einen Bereich von IP-Adressen angeben, die mit den Quell- oder Ziel-IP-Adressen der Pakete übereinstimmen. Sie können ein Protokoll angeben, das mit dem Protokoll eingehender Pakete übereinstimmt.
  • (Optional) Ändern Sie eine erweiterte ACL oder ACL6. Sie können erweiterte ACLs oder ACL6s ändern, die Sie zuvor erstellt haben. Oder wenn Sie einen vorübergehend außer Betrieb nehmen möchten, können Sie ihn deaktivieren und später wieder aktivieren.
  • Wenden Sie erweiterte ACLs oder ACL6san. Nachdem Sie eine erweiterte ACL oder ACL6 erstellt, geändert, deaktiviert oder erneut aktiviert oder gelöscht haben, müssen Sie die erweiterten ACLs oder ACL6 anwenden, um sie zu aktivieren.
  • (Optional) Nummerieren Sie die Prioritäten von erweiterten ACLs oder ACL6neu. Wenn Sie ACLs mit Prioritäten konfiguriert haben, die kein Vielfaches von 10 sind und die Nummerierung auf ein Vielfaches von 10 wiederherstellen möchten, verwenden Sie die Neunummerierungsprozedur.

CLI-Verfahren

So erstellen Sie eine erweiterte ACL mit der CLI:

Geben Sie an der Eingabeaufforderung ein:

  • add ns acl <aclname> <aclaction> [-srcIP [<operator>] <srcIPVal>] [-srcPort [<operator>] <srcPortVal>] [-destIP [<operator>] <destIPVal>] [-destPort [<operator>] <destPortVal>] [-TTL <positive_integer>] [-srcMac <mac_addr>] [(-protocol <protocol> [-established]) | -protocolNumber <positive_integer>] [-vlan <positive_integer>] [-interface <interface_name>] [-icmpType <positive_integer> [-icmpCode <positive_integer>]] [-priority <positive_integer>] [-state ( ENABLED | DISABLED )] [-logstate ( ENABLED | DISABLED ) [-ratelimit <positive_integer>]]

  • show ns acl [<aclName>]

So erstellen Sie eine erweiterte ACL6 mit der CLI:

Geben Sie an der Eingabeaufforderung ein:

  • add ns acl6 <acl6name> <acl6action> [-srcIPv6 [<operator>] <srcIPv6Val>] [-srcPort [<operator>] <srcPortVal>] [-destIPv6 [<operator>] <destIPv6Val>] [-destPort [<operator>] <destPortVal>] [-TTL <positive_integer>] [-srcMac <mac_addr>] [(-protocol <protocol> [-established]) | -protocolNumber <positive_integer>] [-vlan <positive_integer>] [-interface <interface_name>] [-icmpType <positive_integer> [-icmpCode <positive_integer>]] [-priority <positive_integer>] [-state ( ENABLED | DISABLED )]

  • show ns acl6 [<aclName>]

So ändern Sie eine erweiterte ACL mit der CLI:

Um eine erweiterte ACL zu ändern, geben Sie den Befehl set ns acl, den Namen der erweiterten ACL und die zu ändernden Parameter mit ihren neuen Werten ein.

So ändern Sie eine erweiterte ACL6 mit der CLI:

Um eine erweiterte ACL6 zu ändern, geben Sie den Befehl set ns acl6, den Namen des erweiterten ACL6 und die zu ändernden Parameter mit ihren neuen Werten ein.

So deaktivieren oder aktivieren Sie eine erweiterte ACL mit der CLI:

Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:

  • disable ns acl <aclname>
  • enable ns acl <aclname>

So deaktivieren oder aktivieren Sie eine erweiterte ACL6 über die CLI:

Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:

  • disable ns acl6 <aclname>
  • enable ns acl6 <aclname>

So wenden Sie erweiterte ACLs über die CLIan:

Geben Sie an der Eingabeaufforderung ein:

  • apply ns acls

So wenden Sie erweiterte ACL6s über die CLI an:

Geben Sie an der Eingabeaufforderung ein:

  • apply ns acls6

So nummerieren Sie die Prioritäten erweiterter ACLs über die CLIneu:

Geben Sie an der Eingabeaufforderung ein:

  • ns acls neu nummerieren

So nummerieren Sie die Prioritäten erweiterter ACL6s über die CLI neu:

Geben Sie an der Eingabeaufforderung ein:

  • renumber ns acls6

GUI-Verfahren

So konfigurieren Sie eine erweiterte ACL mit der GUI:

  • Navigieren Sie zu System > Netzwerk > ACLs und fügen Sie auf der Registerkarte Erweiterte ACLs eine neue erweiterte ACL hinzu oder bearbeiten Sie eine vorhandene erweiterte ACL. Um eine vorhandene erweiterte ACL zu aktivieren oder zu deaktivieren, wählen Sie sie aus und wählen Sie dann Aktivieren oder Deaktivieren aus der Aktionsliste aus.

So konfigurieren Sie eine erweiterte ACL6s mit der GUI:

  • Navigieren Sie zu System > Netzwerk > ACLs und fügen Sie auf der Registerkarte Erweiterte ACL6s eine neue erweiterte ACL6 hinzu oder bearbeiten Sie eine vorhandene erweiterte ACL6. Um eine vorhandene erweiterte ACL6 zu aktivieren oder zu deaktivieren, wählen Sie es aus und wählen Sie dann Aktivieren oder Deaktivieren aus der Aktionsliste aus.

So wenden Sie erweiterte ACLs mit der GUI an:

  • Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie auf der Registerkarte Erweiterte ACLs in der Liste Aktion auf Anwenden.

So wenden Sie erweiterte ACL6s mit der GUI an:

  • Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie auf der Registerkarte Erweiterte ACL6s in der Liste Aktion auf Anwenden.

So nummerieren Sie die Prioritäten erweiterter ACLs über die GUI neu:

  • Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie auf der Registerkarte Erweiterte ACLs in der Liste Aktion auf Priorität(n) neu nummerieren.

So nummerieren Sie die Prioritäten von erweiterten ACL6s über die GUI neu:

  • Navigieren Sie zu System > Netzwerk > ACLs, und klicken Sie auf der Registerkarte Erweiterte ACL6s in der Liste Aktion auf Priorität(n) neu nummerieren.

Beispielkonfigurationen

Die folgende Tabelle zeigt Beispiele für die Konfiguration erweiterter ACL-Regeln über die Befehlszeilenschnittstelle: ACLS-Beispielkonfigurationen.

Protokollieren von erweiterten ACLs

Sie können den Citrix ADC so konfigurieren, dass Details für Pakete protokolliert werden, die erweiterten ACLs entsprechen.

Zusätzlich zum ACL-Namen enthalten die protokollierten Details paketspezifische Informationen wie Quell- und Ziel-IP-Adressen. Die Informationen werden je nach Art der aktivierten globalen Protokollierung (syslog or nslog) entweder in der Syslog-Datei oder in der Datei nslog gespeichert.

Die Protokollierung muss sowohl auf globaler Ebene als auch auf ACL-Ebene aktiviert sein. Die globale Einstellung hat Vorrang.

Um die Protokollierung zu optimieren, werden, wenn mehrere Pakete aus demselben Flow mit einer ACL übereinstimmen, nur die Details des ersten Pakets protokolliert, und der Zähler wird für jedes Paket, das zum selben Flow gehört, inkrementiert. Ein Flow ist definiert als eine Reihe von Paketen, die dieselben Werte für die Quell-IP-Adresse, die Ziel-IP-Adresse, den Quellport, den Zielport und die Protokollparameter aufweisen. Um eine Überschwemmung von Protokollmeldungen zu vermeiden, führt der Citrix ADC eine interne Ratenbegrenzung durch, sodass Pakete, die zum selben Flow gehören, nicht wiederholt protokolliert werden. Die Gesamtzahl der verschiedenen Flows, die zu einem bestimmten Zeitpunkt protokolliert werden können, ist auf 10.000 begrenzt.

Hinweis: Sie müssen ACLs anwenden, nachdem Sie die Protokollierung aktiviert haben.

CLI-Verfahren

So konfigurieren Sie die erweiterte ACL-Protokollierung mit der CLI:

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Protokollierung zu konfigurieren und die Konfiguration zu überprüfen:

  • set ns acl <aclName> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
  • apply acls
  • show ns acl [<aclName>]

GUI-Verfahren

So konfigurieren Sie die erweiterte ACL-Protokollierung mit der GUI:

  1. Navigieren Sie zu System > Netzwerk > ACLs und öffnen Sie auf der Registerkarte Erweiterte ACLs die erweiterte ACL.
  2. Legen Sie die folgenden Parameter fest:
    • Protokollstatus— Aktiviert oder deaktiviert die Protokollierung von Ereignissen, die sich auf die erweiterte ACL-Regel beziehen. Die Protokollmeldungen werden auf dem konfigurierten syslog or auditlog Server gespeichert.
    • Log Rate Limit— Maximale Anzahl von Protokollmeldungen, die pro Sekunde generiert werden sollen. Wenn Sie diesen Parameter festlegen, müssen Sie den Parameter Log State aktivieren.

Beispielkonfiguration

> set ns acl restrict -logstate ENABLED -ratelimit 120
Warning: ACL modified, apply ACLs to activate change

> apply ns acls
Done
<!--NeedCopy-->

Protokollieren von erweiterten ACL6s

Sie können die Citrix ADC-Appliance so konfigurieren, dass Details für Pakete protokolliert werden, die einer erweiterten ACL6-Regel entsprechen. Zusätzlich zum ACL6-Namen enthalten die protokollierten Details paketspezifische Informationen wie Quell- und Ziel-IP-Adressen. Die Informationen werden entweder in einem Syslog oder einer nslog Datei gespeichert, abhängig von der Art der Protokollierung (syslog or nslog), die Sie in der Citrix ADC-Appliance konfiguriert haben.

Um die Protokollierung zu optimieren, werden nur die Details des ersten Pakets protokolliert, wenn mehrere Pakete aus demselben Fluss mit einem ACL6 übereinstimmen. Der Zähler wird für jedes andere Paket erhöht, das zum selben Flow gehört. Ein Flow ist definiert als eine Reihe von Paketen, die dieselben Werte für die folgenden Parameter haben:

  • Quell-IP
  • Ziel-IP
  • Quell-Port
  • Destination port
  • Protokoll (TCP oder UDP)

Wenn ein eingehendes Paket nicht aus demselben Flow stammt, wird ein neuer Flow erstellt. Die Gesamtzahl der verschiedenen Flows, die zu einem bestimmten Zeitpunkt protokolliert werden können, ist auf 10.000 begrenzt.

CLI-Verfahren

So konfigurieren Sie die Protokollierung für eine erweiterte aCl6-Regel mit der CLI:

  • Um die Protokollierung beim Hinzufügen der erweiterten ACL6-Regel zu konfigurieren, geben Sie an der Eingabeaufforderung Folgendes ein:

    • add acl6 <acl6Name> <acl6action> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
    • apply acls6
    • show acl6 [<acl6Name>]
  • Um die Protokollierung für eine vorhandene erweiterte ACL6-Regel zu konfigurieren, geben Sie an der Eingabeaufforderung Folgendes ein:

    • set acl6 <acl6Name> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
    • show acl6 [<acl6Name>]
    • apply acls6

GUI-Verfahren

So konfigurieren Sie die erweiterte ACL6-Protokollierung mit der GUI:

  1. Navigieren Sie zu System > Netzwerk > ACLs und klicken Sie dann auf die Registerkarte Extended ACL6s .
  2. Legen Sie die folgenden Parameter fest, während Sie eine vorhandene erweiterte ACL6-Regel hinzufügen oder ändern.
    • Protokollstatus — Aktivieren oder deaktivieren Sie die Protokollierung von Ereignissen im Zusammenhang mit der erweiterten ACL6s-Regel. Die Protokollmeldungen werden im konfigurierten Syslog oder auditlog Server gespeichert.
    • Log Rate Limit— Maximale Anzahl von Protokollmeldungen, die pro Sekunde generiert werden sollen. Wenn Sie diesen Parameter festlegen, müssen Sie den Parameter Log State aktivieren.

Beispielkonfiguration

> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120
Done

> apply acls6
Done
<!--NeedCopy-->

Anzeigen erweiterter ACLs und erweiterter ACL6s-Statistiken

Sie können Statistiken zu erweiterten ACLs und ACL6s anzeigen.

In der folgenden Tabelle sind die Statistiken aufgeführt, die mit erweiterten ACLs und ACL6s verknüpft sind, sowie deren Beschreibungen.

Statistik Gibt an
ACL-Übereinstimmungen zulassen Pakete, die ACLs entsprechen, wobei der Verarbeitungsmodus auf Allow festgelegt ist. Citrix ADC verarbeitet diese Pakete.
NAT ACL Begegnungen Pakete, die mit einer NAT-ACL übereinstimmen, was zu einer NAT-Sitzung führt.
ACL-Spiele verweigern Pakete wurden gelöscht, weil sie ACLs mit dem Verarbeitungsmodus auf DENY festgelegt sind.
Bridge ACL Übereinstimmungen Pakete, die einer Bridge-ACL entsprechen, die im transparenten Modus die Dienstverarbeitung umgeht.
ACL-Übereinstimmungen Pakete, die mit einer ACL übereinstimmen.
ACL verpasst Pakete, die keiner ACL entsprechen.
ACL-Anzahl Gesamtzahl der von Benutzern konfigurierten ACL-Regeln.
Effektive ACL-Anzahl Gesamtzahl der intern konfigurierten effektiven ACL. Für eine erweiterte ACL mit einer Reihe von IP-Adressen erstellt die Citrix ADC-Appliance intern eine erweiterte ACL für jede IP-Adresse. Beispielsweise erstellt der Citrix ADC für eine erweiterte ACL mit 1000 IPv4-Adressen (Bereich oder Datensatz) intern 1000 erweiterte ACLs.

CLI-Verfahren

So zeigen Sie die Statistiken aller erweiterten ACLs mit der CLI an:

Geben Sie an der Eingabeaufforderung ein:

  • stat ns acl

So zeigen Sie die Statistiken aller erweiterten ACL6s mit der CLI an:

Geben Sie an der Eingabeaufforderung ein:

  • stat ns acl6

GUI-Verfahren

So zeigen Sie die Statistiken einer erweiterten ACL über die GUI an:

  • Navigieren Sie zu System > Netzwerk > ACLs, wählen Sie auf der Registerkarte Erweiterte ACLs die erweiterte ACL aus und klicken Sie auf Statistik.

So zeigen Sie die Statistiken einer erweiterten ACL6 über die GUI an:

  • Navigieren Sie zu System > Netzwerk > ACLs, wählen Sie auf der Registerkarte Erweiterte ACL6s die erweiterte ACL aus und klicken Sie auf Statistik.

Stateful-ACLs

Eine statusbehaftete ACL-Regel erstellt eine Sitzung, wenn eine Anforderung mit der Regel übereinstimmt, und erlaubt die resultierenden Antworten, auch wenn diese Antworten mit einer Ablehnungs-ACL-Regel in der Citrix ADC-Appliance übereinstimmen. Eine stateful ACL entlastet die Arbeit, mehr ACL-Regeln/Weiterleitungssitzungsregeln zu erstellen, um diese spezifischen Antworten zuzulassen.

Stateful ACLs können am besten in einer Edge-Firewall-Bereitstellung einer Citrix ADC-Appliance verwendet werden, die folgende Anforderungen erfüllt:

  • Die Citrix ADC-Appliance muss Anfragen zulassen, die von internen Clients initiiert wurden, und die zugehörigen Antworten aus dem Internet.
  • Die Appliance muss die Pakete aus dem Internet löschen, die nicht mit Clientverbindungen zusammenhängen.

Voraussetzungen

Bevor Sie statusbehaftete ACL-Regeln konfigurieren, beachten Sie die folgenden Punkte:

  • Die Citrix ADC-Appliance unterstützt statusbehaftete ACL-Regeln und stateful ACL6-Regeln.
  • In einem Hochverfügbarkeitssetup werden die Sitzungen für eine statusbehaftete ACL-Regel nicht mit dem sekundären Knoten synchronisiert.
  • Sie können eine ACL-Regel nicht als stateful konfigurieren, wenn die Regel an eine Citrix ADC NAT-Konfiguration gebunden ist. Einige Beispiele für Citrix ADC NAT-Konfigurationen sind:
    • RNAT
    • Large Scale NAT (Großmaßstab NAT44, DS-Lite, Großmaßstab NAT64)
    • NAT64
    • Weiterleitungssitzung
  • Sie können eine ACL-Regel nicht als statusbehaftet konfigurieren, wenn TTL und Established Parameter für diese ACL-Regel festgelegt sind.
  • Die für eine stateful ACL-Regel erstellten Sitzungen existieren unabhängig von den folgenden ACL-Operationen bis zum Timeout weiterhin:
    • ACL entfernen
    • Deaktivieren Sie ACL
    • Löschen Sie ACL
  • Stateful-ACLs werden für die folgenden Protokolle nicht unterstützt:
    • Aktiv FTP
    • TFTP

Konfigurieren von stateful IPv4-ACL-Regeln

Die Konfiguration einer stateful ACL-Regel besteht darin, den stateful Parameter einer ACL-Regel zu aktivieren.

So aktivieren Sie den stateful Parameter einer ACL-Regel über die CLI:

  • Um den statusbehafteten Parameter beim Hinzufügen einer ACL-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:

    • add acl <lname> ALLOW -stateful (ENABLED | DISABLED)
    • apply acls
    • show acl <name>
  • Um den statusbehafteten Parameter einer vorhandenen ACL-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:

    • set acl <name> -stateful (ENABLED | DISABLED)
    • apply acls
    • show acl <name>

So aktivieren Sie den stateful Parameter einer ACL-Regel über die GUI:

  1. Navigieren Sie zu System > Netzwerk > ACLs und auf der Registerkarte Erweiterte ACLs.

  2. Aktivieren Sie den Stateful-Parameter, während Sie eine vorhandene ACL-Regel hinzufügen oder ändern.

Beispielkonfiguration

> add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes

Done

> apply acls

Done

> show acl

1)         Name: ACL-1

    Action: ALLOW                          Hits: 0

    srcIP = 1.1.1.1

    destIP

    srcMac:

    Protocol:

    Vlan:                                 Interface:

    Active Status: ENABLED                 Applied Status: NOTAPPLIED

    Priority: 10                           NAT: NO

    TTL:

    Log Status: DISABLED

    Forward Session: NO

    Stateful: YES
<!--NeedCopy-->

Konfigurieren Sie stateful ACL6-Regeln

Die Konfiguration einer stateful ACL6-Regel besteht darin, den stateful Parameter einer ACL6-Regel zu aktivieren.

So aktivieren Sie den stateful Parameter einer ACL6-Regel über die CLI:

  • Um den statusbehafteten Parameter beim Hinzufügen einer ACL6-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:

    • add acl6 <name> ALLOW -stateful ( ENABLED | DISABLD )
    • apply acls6
    • show acl6 <name>
  • Um den statusbehafteten Parameter einer vorhandenen ACL6-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:

    • set acl6 <name> -stateful ( ENABLED | DISABLED )
    • apply acls6
    • show acl6 <name>

So aktivieren Sie den stateful Parameter einer ACL6-Regel über die GUI:

  1. Navigieren Sie zu System > Netzwerk > ACLs und auf der Registerkarte Erweiterte ACL6s .
  2. Aktivieren Sie den Stateful-Parameter, während Sie eine vorhandene ACL6-Regel hinzufügen oder ändern.

Beispielkonfiguration

>  add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes

Done

>  apply acls6

Done

> show acl6

1)    Name: ACL6-1

    Action: ALLOW                          Hits: 0

    srcIPv6 = 1000::1

    destIPv6

    srcMac:

    Protocol:

    Vlan:                                 Interface:

    Active Status: ENABLED                 Applied Status: NOTAPPLIED

    Priority: 10                           NAT: NO

    TTL:

    Forward Session: NO

    Stateful: YES
<!--NeedCopy-->

Datensatzbasierte erweiterte ACLs

Viele ACLs sind in einem Unternehmen erforderlich. Das Konfigurieren und Verwalten vieler ACLs ist schwierig und umständlich, wenn sie häufige Änderungen erfordern.

Eine Citrix ADC-Appliance unterstützt Datensätze in erweiterten ACLs. Dataset ist ein vorhandenes Feature einer Citrix ADC-Appliance. Ein Datensatz ist ein Array von indizierten Mustern von Typen: Zahl (Ganzzahl), IPv4-Adresse oder IPv6-Adresse.

Die Unterstützung von Datensätzen in erweiterten ACLs ist nützlich, um mehrere ACL-Regeln zu erstellen, die gemeinsame ACL-Parameter erfordern.

Während Sie eine ACL-Regel erstellen, können Sie anstelle der allgemeinen Parameter ein Dataset angeben, das diese allgemeinen Parameter enthält.

Alle am Datensatz vorgenommenen Änderungen werden automatisch in den ACL-Regeln wiedergegeben, die diesen Datensatz verwenden. ACLs mit Datensätzen sind einfacher zu konfigurieren und zu verwalten. Sie sind auch kleiner und einfacher zu lesen als die herkömmlichen ACLs.

Derzeit unterstützt die Citrix ADC-Appliance nur die folgenden Arten von Datensätzen für die erweiterten ACLs:

  • IPv4-Adresse (zur Angabe der Quell-IP-Adresse oder der Ziel-IP-Adresse oder beides für eine ACL-Regel)
  • number (zur Angabe des Quellports oder des Zielports oder beides für eine ACL-Regel)

Voraussetzungen

Beachten Sie vor dem Konfigurieren von datensatzbasierten erweiterten ACL-Regeln die folgenden Punkte:

  • Stellen Sie sicher, dass Sie mit der Dataset-Funktion einer Citrix ADC-Appliance vertraut sind. Weitere Informationen zu Datensätzen finden Sie unter Mustersätze und Datensätze.

  • Die Citrix ADC-Appliance unterstützt Datasets nur für erweiterte IPv4-ACLs.

  • Die Citrix ADC-Appliance unterstützt nur die folgenden Arten von Datensätzen für die erweiterten ACLs:

    • IPv4-Adresse
    • Nummer
  • Die Citrix ADC-Appliance unterstützt datensatzbasierte erweiterte ACLs für alle Citrix ADC-Setups: Standalone, Hochverfügbarkeit und Cluster.
  • Für eine erweiterte ACL mit Datensätzen, die Bereiche enthalten, erstellt die Citrix ADC-Appliance intern eine erweiterte ACL für jede Kombination der Datensatzwerte.

    • Beispiel 1: Für eine IPv4-Datensatzbasierte erweiterte ACL mit 1000 IPv4-Adressen, die an den Datensatz gebunden sind und der Datensatz auf den Quell-IP-Parameter festgelegt ist, erstellt die Citrix ADC-Appliance intern 1000 erweiterte ACLs.

    • Beispiel 2: Eine datensatzbasierte erweiterte ACL mit folgenden Parametern:

      • Die Quell-IP ist auf einen Datensatz mit 5 IP-Adressen festgelegt.
      • Die Ziel-IP ist auf einen Datensatz mit 5 IP-Adressen festgelegt.
      • Der Quellport ist auf einen Datensatz mit 5 Ports eingestellt.
      • Der Zielport ist auf einen Datensatz mit 5 Ports festgelegt.

      Die Citrix ADC-Appliance erstellt intern 625 erweiterte ACLs. Jede dieser internen ACLs enthält eine eindeutige Kombination der oben genannten vier Parameterwerte.

    • Die Citrix ADC-Appliance unterstützt maximal 10K erweiterte ACLs. Für eine IPv4-Dataset-basierte erweiterte ACL mit einer Reihe von IP-Adressen, die an den Datensatz gebunden sind, erstellt die Citrix ADC-Appliance keine internen ACLs, sobald die Gesamtzahl der erweiterten ACLs die maximale Grenze erreicht hat.

    • Die folgenden Zähler sind im Rahmen der erweiterten ACL-Statistik vorhanden:

      • ACL-Zählung. Gesamtzahl der von Benutzern konfigurierten ACL-Regeln.
      • Effektive ACL-Anzahl. Gesamtzahl der effektiven ACL-Regeln, die die Citrix ADC-Appliance intern konfiguriert.

      Weitere Informationen finden Sie unter Anzeigen von erweiterten ACL und erweiterten ACL6s-Statistiken.

  • Die Citrix ADC-Appliance unterstützt keine Vorgänge set und unset zum Verbinden/Dissoziieren von Datensätzen mit den Parametern einer erweiterten ACL. Sie können die ACL-Parameter nur während des Vorgangs add auf ein Dataset einstellen.

Konfigurieren von datensatzbasierten erweiterten ACLs

Das Konfigurieren einer auf Dataset basierenden erweiterten ACL-Regel besteht aus den folgenden Aufgaben:

  • Fügen Sie einen Datensatz hinzu. Ein Datensatz ist ein Array von indizierten Mustern von Typen: Zahl (Ganzzahl), IPv4-Adresse oder IPv6-Adresse. In dieser Aufgabe erstellen Sie einen Datasetyp, z. B. einen Datensatz vom Typ IPv4.

  • Binden Sie Werte an das Dataset. Geben Sie einen Wert oder einen Wertebereich für das Dataset an. Die angegebenen Werte müssen vom gleichen Typ wie der Dataset-Typ sein. Sie können beispielsweise eine IPv4-Adresse oder einen Bereich von IPv4-Adressen für den Datensatz vom Typ IPv4 angeben.

  • Fügen Sie eine erweiterte ACL hinzu und legen Sie ACL-Parameter für das Dataset fest. Fügen Sie eine erweiterte ACL hinzu und legen Sie die erforderlichen ACL-Parameter für den Datensatz fest. Diese Einstellung führt dazu, dass die Parameter auf die im Datensatz angegebenen Werte festgelegt sind.

  • Wenden Sie erweiterte ACLs an. Wenden Sie die ACLs an, um neue oder geänderte erweiterte ACLs zu aktivieren.

So fügen Sie ein Richtlinien-Dataset mit der CLI hinzu:

Geben Sie an der Eingabeaufforderung ein:

  • add policy dataset <name> <type>
  • show policy dataset

So binden Sie ein Muster mit der CLI an den Datensatz:

Geben Sie an der Eingabeaufforderung ein:

  • bind policy dataset <name> <value> [-endRange <string>]
  • show policy dataset

So fügen Sie eine erweiterte ACL hinzu und legen die ACL-Parameter über die Befehlszeilenschnittstelle auf das Dataset fest:

Geben Sie an der Eingabeaufforderung ein:

  • add ns acl <aclname> <aclaction> [-srcIP [<operator>] <srcIPVal>] [-srcPort [<operator>] <srcPortVal>] [-destIP [<operator>] <destIPVal>] [-destPort [<operator>] <destPortVal>] …
  • show acls

So wenden Sie erweiterte ACLs mit der CLI an:

Geben Sie an der Eingabeaufforderung ein:

  • apply acls

Beispielkonfiguration

In der folgenden Beispielkonfiguration einer datensatzbasierten erweiterten ACL werden ein IPv4-Datensatz DATASET-IP-ACL-1 und ein Port-Dataset DATASET-PORT-ACL-2 erstellt.

Zwei IPv4-Adressen: 192.0.2.30 und 192.0.2.60 und zwei IPv4-Adressbereiche: (198,51.100.15 - 45) und (203.0.113.60-90) sind an DATASET-IP-ACL-1 gebunden. DATASET-IP-ACL-1 wird dann für die destIP Parameter srcIP und der erweiterten ACL spezifiziert ACL-1.

Zwei Portnummern: 2001 und 2004, und zwei Portbereiche: (5001-5040) und (8001-8040) sind an gebunden DATASET-PORT-ACL-2. DATASET-PORT-ACL-2 wird dann für die destPort Parameter srcPort und der erweiterten ACL spezifiziert ACL-1.

add policy dataset DATASET-IP-ACL-1 IPV4

bind dataset DATASET-IP-ACL-1 192.0.2.30

bind dataset DATASET-IP-ACL-1 192.0.2.60

bind dataset DATASET-IP-ACL-1 198.51.100.15 -endrange 198.51.100.45

bind dataset DATASET-IP-ACL-1 203.0.113.60 -endrange 203.0.113.90

bind dataset DATASET-PORT-ACL-2 2001

bind dataset DATASET-PORT-ACL-2 2004

bind dataset DATASET-PORT-ACL-2 5001 -endrange 5040

bind dataset DATASET-PORT-ACL-2 8001 -endrange 8040


add ns acl ACL-1 ALLOW -srcIP DATASET-IP-ACL-1 -destIP DATASET-IP-ACL-1  -srcPort DATASET-PORT-ACL-2 -destPort DATASET-PORT-ACL-2
<!--NeedCopy-->
Erweiterte ACLs und erweiterte ACL6s