ADC

ACL ampliadas y ACL6 ampliadas

Las ACL extendidas y las ACL6S extendidas proporcionan parámetros y acciones que no están disponibles con ACL simples. Puede filtrar datos en función de parámetros tales como la dirección IP de origen, el puerto de origen, la acción y el protocolo. Puede especificar tareas para permitir un paquete, denegar un paquete o conectar un paquete.

Las ACL extendidas y ACL6 se pueden modificar después de crearlas, y puede volver a numerar sus prioridades para especificar el orden en que se evalúan.

Nota: Si configura ACL simples y extendidas, las ACL simples tienen prioridad sobre las ACL extendidas.

Las siguientes acciones se pueden realizar en ACL extendidas y ACL6: Modificar, Aplicar, Deshabilitar, Habilitar, Quitar y Renumerar (la prioridad). Puede mostrar ACL extendidas y ACL6 para verificar su configuración y mostrar sus estadísticas.

Puede configurar Citrix ADC para registrar los detalles de los paquetes que coinciden con una ACL extendida.

Aplicación de ACL extendidas y ACL6S extendidas: A diferencia de ACL simples y ACL6S, las ACL ampliadas y ACL6S creadas en Citrix ADC no funcionan hasta que se aplican. Además, si realiza cambios en una ACL extendida o ACL6, como inhabilitar las ACL, cambiar una prioridad o eliminar las ACL, debe volver a aplicar las ACL extendidas o ACL6. Debe volver a aplicarlos después de habilitar el registro. El procedimiento para aplicar ACL ampliadas o ACL6s vuelve a aplicarlas todas. Por ejemplo, si ha aplicado las reglas de ACL ampliadas del 1 al 10 y, a continuación, crea y aplica la regla 11, las 10 primeras reglas se aplicarán de nuevo.

Si una sesión tiene una ACL DENY relacionada con ella, dicha sesión finaliza cuando se aplican las ACL.

Las ACL extendidas y ACL6 están habilitadas de forma predeterminada. Cuando se aplican, Citrix ADC comienza a comparar los paquetes entrantes con ellos. Sin embargo, si los deshabilita, no se utilizarán hasta que se vuelven a habilitar, incluso si se vuelven a aplicar.

Renumeración de las prioridades de las ACL extendidas y las ACL6 extendidas: Los números de prioridad determinan el orden en que las ACL extendidas o ACL6 se corresponden con un paquete. Una ACL con un número de prioridad inferior tiene una prioridad mayor. Se evalúa ante las ACL con números de prioridad más altos (prioridades inferiores) y la primera ACL que coincide con el paquete determina la acción aplicada al paquete.

Al crear una ACL extendida o ACL6, Citrix ADC le asigna automáticamente un número de prioridad múltiplo de 10, a menos que especifique lo contrario. Por ejemplo, si dos ACL extendidas tienen prioridades de 20 y 30, respectivamente, y desea que una tercera ACL tenga un valor entre esos números, puede asignarle un valor de 25. Si posteriormente desea conservar el orden en que se evalúan las ACL pero restaurar su numeración a múltiplos de 10, puede utilizar el procedimiento de renumeración.

Configuración de ACL extendidas y ACL6 ampliadas

La configuración de una ACL extendida o ACL6 en un Citrix ADC consta de las siguientes tareas.

  • Cree una ACL extendida o ACL6. Cree una ACL extendida o ACL6 para permitir, denegar o unir un paquete. Puede especificar una dirección IP o un rango de direcciones IP para que coincidan con las direcciones IP de origen o destino de los paquetes. Puede especificar un protocolo que coincida con el protocolo de los paquetes entrantes.
  • (Opcional) Modifique una ACL extendida o ACL6. Puede modificar ACL extendidas o ACL6 que ha creado anteriormente. O bien, si quieres dejar de usar temporalmente uno, puedes deshabilitarlo y volver a habilitarlo posteriormente.
  • Aplique ACL extendidas o ACL6. Después de crear, modificar, deshabilitar o volver a habilitar o eliminar una ACL extendida o ACL6, debe aplicar las ACL extendidas o ACL6 para activarlas.
  • (Opcional) Renumerar las prioridades de las ACL extendidas o ACL6. Si ha configurado ACL con prioridades que no son múltiplos de 10 y desea restaurar la numeración a múltiplos de 10, utilice el procedimiento de renumeración.

Procedimientos CLI

Para crear una ACL ampliada mediante la CLI:

En el símbolo del sistema, escriba:

  • **add ns acl** <aclname><aclaction>[-**ScrIP** [] <operator><srcIPVal>] [-**ScrPort** [] <operator><srcPortVal>] [-**DesTip** [] <operator><destIPVal>] [-**DestPort** [] <operator><destPortVal>] [-**TTL** ] <positive_integer>[-**SRCMac** ] <mac_addr>[(-**protocolo** \ [-establecido]<protocol>) | -**Número de protocolo** <positive_integer>] [-**vlan** ] <positive_integer>[-**interfaz** ] <interface_name>[-**Tipo ICMP** \ [-**ICMP Code** ]<positive_integer><positive_integer>] [-**prioridad** ] <positive_integer>[-**estado** (HABILITADO | DESHABILITADO)] [-**logstate** (HABILITADO | DESHABILITADO) [-**límite de velocidad** ]<positive_integer>]

  • mostrar ns acl []<aclName>

Para crear una ACL6 ampliada mediante la CLI:

En el símbolo del sistema, escriba:

  • **add ns acl6** <acl6name><acl6action>[-**srciPv6** [] <operator><srcIPv6Val>] [-**ScrPort** [] <srcPortVal>] [-**destipV6** [] <operator><destIPv6Val>] [-**DestPort** [] <destPortVal>] [-**TTL** ] [-**SRCMac** ] [(-**protocolo** \ [-establecido]) | -**Número de protocolo** <positive_integer>] [-**vlan** ] [-**interfaz** ] [-**Tipo ICMP** \ [-**ICMP Code** ]] [-**prioridad** ] [-**estado** (HABILITADO | DESHABILITADO)]

  • mostrar ns acl6 []

Para modificar una ACL extendida mediante la CLI:

Para modificar una ACL extendida, escriba el comando set ns acl, el nombre de la ACL extendida y los parámetros que se van a cambiar, con sus nuevos valores.

Para modificar una ACL6 ampliada mediante la CLI:

Para modificar una ACL6 extendida, escriba el comando set ns acl6, el nombre de la ACL6 extendida y los parámetros que se van a cambiar, con sus nuevos valores.

Para deshabilitar o habilitar una ACL extendida mediante la CLI:

En el símbolo del sistema, escriba uno de los siguientes comandos:

  • deshabilitar ns acl <aclname>
  • habilitar ns acl <aclname>

Para inhabilitar o habilitar una ACL6 extendida mediante la CLI:

En el símbolo del sistema, escriba uno de los siguientes comandos:

  • deshabilitar ns acl6 <aclname>
  • habilitar ns acl6 <aclname>

Para aplicar ACL ampliadas mediante la CLI:

En el símbolo del sistema, escriba:

  • aplicar ns acls

Para aplicar ACL6 extendidos mediante la CLI:

En el símbolo del sistema, escriba:

  • aplica ns acls6

Para renumerar las prioridades de las ACL extendidas mediante la CLI:

En el símbolo del sistema, escriba:

  • renumerar llamadas ns

Para renumerar las prioridades de los ACL6 extendidos mediante la CLI:

En el símbolo del sistema, escriba:

  • renumerar ns acls6

Procedimientos de GUI

Para configurar una ACL ampliada mediante la GUI:

  • Vaya a Sistema > Red > ACL y, en la pestaña ACL extendida, agregue una nueva ACL extendida o edite una ACL extendida existente. Para habilitar o deshabilitar una ACL extendida existente, selecciónela y, a continuación, seleccione Habilitar o Deshabilitar en la lista Acción .

Para configurar un ACL6s extendido mediante la GUI:

  • Vaya a Sistema > Red > ACL y, en la pestaña ACL6 extendida, agregue una nueva ACL6 extendida o edite una ACL6 extendida existente. Para habilitar o deshabilitar una ACL6 extendida existente, selecciónela y, a continuación, seleccione Habilitar o Deshabilitar en la lista Acción .

Para aplicar ACL ampliadas mediante la GUI:

  • Vaya a Sistema > Red > ACL y, en la pestaña ACL ampliadas, en la lista Acción, haga clic en Aplicar.

Para aplicar ACL6 ampliados mediante la GUI:

  • Vaya a Sistema > Red > ACL y, en la pestaña ACL6 ampliadas, en la lista Acción, haga clic en Aplicar.

Para volver a numerar las prioridades de las ACL ampliadas mediante la GUI:

  • Vaya a Sistema > Red > ACL y, en la pestaña ACL ampliadas, en la lista Acción, haga clic en Renumerar prioridad (s).

Para renumerar las prioridades de los ACL6 ampliados mediante la GUI:

  • Vaya a Sistema > Red > ACL y, en la pestaña ACL6 extendidos, en la lista Acción, haga clic en Renumerar prioridad (s).

Configuraciones de ejemplo

En la tabla siguiente se muestran ejemplos de configuración de reglas ACL ampliadas a través de la interfaz de línea de comandos: configuraciones de ejemplo de ACL.

Registro de ACL ampliadas

Puede configurar Citrix ADC para registrar los detalles de los paquetes que coinciden con las ACL extendidas.

Además del nombre de ACL, los detalles registrados incluyen información específica del paquete, como las direcciones IP de origen y destino. La información se almacena en el archivo syslog o en el nslog archivo, según el tipo de logging global (syslog or nslog) habilitado.

El registro debe estar habilitado tanto en el nivel global como en el nivel ACL. El entorno global tiene prioridad.

Para optimizar el registro, cuando varios paquetes del mismo flujo coinciden con una ACL, solo se registran los detalles del primer paquete y el contador se incrementa para cada paquete que pertenece al mismo flujo. Un flujo se define como un conjunto de paquetes que tienen los mismos valores para la dirección IP de origen, la dirección IP de destino, el puerto de origen, el puerto de destino y los parámetros de protocolo. Para evitar la inundación de mensajes de registro, Citrix ADC realiza una limitación de velocidad interna para que los paquetes pertenecientes al mismo flujo no se registren repetidamente. El número total de flujos diferentes que se pueden registrar en cualquier momento se limita a 10.000.

Nota: Debe aplicar las ACL después de habilitar el registro.

Procedimientos CLI

Para configurar el registro de ACL ampliado mediante la CLI:

En el símbolo del sistema, escriba los siguientes comandos para configurar el registro y verificar la configuración:

  • **set ns acl** <aclName>[-**LogState** (HABILITADO | DESHABILITADO)] [-**RateLimit** ]<positive_integer>
  • aplicar acls
  • mostrar ns acl []

Procedimientos de GUI

Para configurar el registro de ACL ampliado mediante la GUI:

  1. Vaya a Sistema > Red > ACL y, en la ficha ACL ampliadas, abra la ACL extendida.
  2. Defina los siguientes parámetros:
    • Estado del registro: Habilite o inhabilite el registro de eventos relacionados con la regla de ACL extendida. Los mensajes de registro se almacenan en el syslog or auditlog servidor configurado.
    • Límite de velocidad de registro: Número máximo de mensajes de registro que se generarán por segundo. Si establece este parámetro, debe habilitar el parámetro Estado de registro.

Configuración de ejemplo

> set ns acl restrict -logstate ENABLED -ratelimit 120
Warning: ACL modified, apply ACLs to activate change

> apply ns acls
Done
<!--NeedCopy-->

Registro de ACL6s extendidos

Puede configurar el dispositivo Citrix ADC para registrar los detalles de los paquetes que coinciden con una regla ACL6 ampliada. Además del nombre ACL6, los detalles registrados incluyen información específica del paquete, como las direcciones IP de origen y destino. La información se almacena en un syslog o en un nslog archivo, según el tipo de logging (syslog or nslog) que haya configurado en el dispositivo Citrix ADC.

Para optimizar el registro, cuando varios paquetes del mismo flujo coinciden con un ACL6, solo se registran los detalles del primer paquete. El contador se incrementa para todos los demás paquetes que pertenecen al mismo flujo. Un flujo se define como un conjunto de paquetes que tienen los mismos valores para los siguientes parámetros:

  • IP de origen
  • IP de destino
  • Puerto de origen
  • Puerto de destino
  • Protocolo (TCP o UDP)

Si un paquete entrante no procede del mismo flujo, se crea un nuevo flujo. El número total de flujos diferentes que se pueden registrar en cualquier momento se limita a 10.000.

Procedimientos CLI

Para configurar el registro de una regla ACl6 ampliada mediante la CLI:

  • Para configurar el registro mientras agrega la regla ACL6 extendida, en el símbolo del sistema, escriba:

    • **añadir acl6** <acl6Name><acl6action> [-**LogState** (HABILITADO | DESHABILITADO)] [-**RateLimit** ]
    • aplicar acls6
    • mostrar acl6 []<acl6Name>
  • Para configurar el registro de una regla ACL6 extendida existente, escriba en el símbolo del sistema:

    • **set acl6** <acl6Name> [-**LogState** (HABILITADO | DESHABILITADO)] [-**RateLimit** ]
    • mostrar acl6 []
    • aplicar acls6

Procedimientos de GUI

Para configurar el registro ACL6 ampliado mediante la GUI:

  1. Vaya a Sistema > Red > ACL y, a continuación, haga clic en la pestaña ACL6 ampliadas .
  2. Establezca los siguientes parámetros al agregar o modificar una regla ACL6 extendida existente.
    • Estado de registro : habilita o deshabilita el registro de eventos relacionados con la regla ACL6s extendida. Los mensajes de registro se almacenan en el syslog o auditlog servidor configurados.
    • Límite de velocidad de registro: Número máximo de mensajes de registro que se generarán por segundo. Si establece este parámetro, debe habilitar el parámetro Estado de registro .

Configuración de ejemplo

> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120
Done

> apply acls6
Done
<!--NeedCopy-->

Visualización de ACL extendidas y estadísticas ACL6 extendidas

Puede mostrar estadísticas de ACL extendidas y ACL6.

En la tabla siguiente se enumeran las estadísticas asociadas a las ACL extendidas y ACL6, así como sus descripciones.

Estadística Especifica
Permitir coincidencias de ACL Paquetes que coinciden con ACL con el modo de procesamiento establecido en ALLOW. Citrix ADC procesa estos paquetes.
Partidos de NAT ACL Paquetes que coinciden con una ACL NAT, lo que da como resultado una sesión NAT.
Partidos de Deny ACL Paquetes eliminados porque coinciden con ACL con el modo de procesamiento establecido en DENY.
Partidos de Bridge ACL Paquetes que coinciden con una ACL de puente, que en modo transparente omite el procesamiento del servicio.
Partidos ACL Paquetes que coinciden con una ACL.
ACL falla Paquetes que no coinciden con ninguna ACL.
Recuento de ACL Número total de reglas de ACL configuradas por los usuarios.
Recuento de LCA efectivo Número total de ACL efectivas configuradas internamente. Para una ACL ampliada con un rango de direcciones IP, el dispositivo Citrix ADC crea internamente una ACL ampliada para cada dirección IP. Por ejemplo, para una ACL extendida con 1000 direcciones IPv4 (rango o conjunto de datos), Citrix ADC creó internamente 1000 ACL ampliadas.

Procedimientos CLI

Para mostrar las estadísticas de todas las ACL ampliadas mediante la CLI:

En el símbolo del sistema, escriba:

  • inicio ns acl

Para mostrar las estadísticas de todos los ACL6 ampliados mediante la CLI:

En el símbolo del sistema, escriba:

  • estado ns acl6

Procedimientos de GUI

Para mostrar las estadísticas de una ACL extendida mediante la GUI:

  • Vaya a Sistema > Red > ACL, en la ficha ACL extendida, seleccione la ACL extendida y haga clic en Estadísticas.

Para mostrar las estadísticas de una ACL6 ampliada mediante la GUI:

  • Vaya a Sistema > Red > ACL, en la ficha ACL6 extendida, seleccione la ACL extendida y haga clic en Estadísticas.

ACL con estado

Una regla de ACL con estado crea una sesión cuando una solicitud coincide con la regla y permite las respuestas resultantes incluso si estas respuestas coinciden con una regla de ACL de denegación del dispositivo Citrix ADC. Una ACL con estado descarga el trabajo de crear más reglas de ACL/reglas de sesión de reenvío para permitir estas respuestas específicas.

Las ACL con estado se pueden utilizar mejor en una implementación de firewall perimetral de un dispositivo Citrix ADC con los siguientes requisitos:

  • El dispositivo Citrix ADC debe permitir las solicitudes iniciadas desde clientes internos y las respuestas relacionadas de Internet.
  • El dispositivo debe eliminar los paquetes de Internet que no están relacionados con ninguna conexión de cliente.

Antes de comenzar

Antes de configurar reglas de ACL con estado, tenga en cuenta los siguientes puntos:

  • El dispositivo Citrix ADC admite reglas de ACL con estado y reglas ACL6 con estado.
  • En una configuración de alta disponibilidad, las sesiones de una regla de ACL con estado no se sincronizan con el nodo secundario.
  • No puede configurar una regla de ACL como con estado si la regla está enlazada a cualquier configuración NAT de Citrix ADC. Algunos ejemplos de configuraciones NAT de Citrix ADC son:
    • ALQUILAR
    • NAT de gran escala (NAT44, DS-Lite, NAT64 de gran escala)
    • NAT64
    • Sesión de reenvío
  • No puede configurar una regla de ACL como con estado si se establecen los parámetros TTL y Establecida para esta regla de ACL.
  • Las sesiones creadas para una regla de ACL con estado continúan existiendo hasta que se agote el tiempo de espera, independientemente de las siguientes operaciones de ACL:
    • Quitar ACL
    • Deshabilitar ACL
    • ACL transparente
  • Las ACL con estado no se admiten para los siguientes protocolos:
    • FTP activo
    • TFTP

Configurar reglas ACL IPv4 con estado

La configuración de una regla de ACL con estado consiste en habilitar el parámetro con estado de una regla ACL.

Para habilitar el parámetro con estado de una regla de ACL mediante la CLI:

  • Para habilitar el parámetro con estado al agregar una regla de ACL, escriba en el símbolo del sistema:

    • add acl <lname>ALLOW -con estado (HABILITADO | DESHABILITADO)
    • aplicar acls
    • mostrar acl <name>
  • Para habilitar el parámetro con estado de una regla de ACL existente, en el símbolo del sistema, escriba:

    • set acl <name>- conestado (HABILITADO | DESHABILITADO)
    • aplicar acls
    • mostrar acl <name>

Para habilitar el parámetro con estado de una regla de ACL mediante la GUI:

  1. Vaya a Sistema > Red > ACL y, en la pestaña ACL ampliadas .

  2. Habilite el parámetro Stateful al agregar o modificar una regla ACL existente.

Configuración de ejemplo

> add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes

Done

> apply acls

Done

> show acl

1)         Name: ACL-1

    Action: ALLOW                          Hits: 0

    srcIP = 1.1.1.1

    destIP

    srcMac:

    Protocol:

    Vlan:                                 Interface:

    Active Status: ENABLED                 Applied Status: NOTAPPLIED

    Priority: 10                           NAT: NO

    TTL:

    Log Status: DISABLED

    Forward Session: NO

    Stateful: YES
<!--NeedCopy-->

Configurar reglas ACL6 con estado

La configuración de una regla ACL6 con estado consiste en habilitar el parámetro con estado de una regla ACL6.

Para habilitar el parámetro con estado de una regla ACL6 mediante la CLI:

  • Para habilitar el parámetro con estado al agregar una regla ACL6, en el símbolo del sistema, escriba:

    • add acl6 ALLOW <name>-stateful (HABILITADO | DESHABILITADO)
    • aplicar acls6
    • mostrar acl6 <name>
  • Para habilitar el parámetro con estado de una regla ACL6 existente, en el símbolo del sistema, escriba:

    • set acl6 <name>- conestado (HABILITADO | DESHABILITADO)
    • aplicar acls6
    • mostrar acl6 <name>

Para habilitar el parámetro con estado de una regla ACL6 mediante la GUI:

  1. Vaya a Sistema > Red > ACL y, en la pestaña ACL6 ampliadas .
  2. Habilite el parámetro Stateful al agregar o modificar una regla ACL6 existente.

Configuración de ejemplo

>  add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes

Done

>  apply acls6

Done

> show acl6

1)    Name: ACL6-1

    Action: ALLOW                          Hits: 0

    srcIPv6 = 1000::1

    destIPv6

    srcMac:

    Protocol:

    Vlan:                                 Interface:

    Active Status: ENABLED                 Applied Status: NOTAPPLIED

    Priority: 10                           NAT: NO

    TTL:

    Forward Session: NO

    Stateful: YES
<!--NeedCopy-->

ACL extendidas basadas en conjunto de datos

Se requieren muchas ACL en una empresa. Configurar y administrar muchas ACL es difícil y engorroso cuando requieren cambios frecuentes.

Un dispositivo Citrix ADC admite conjuntos de datos en ACL extendidas. El conjunto de datos es una característica existente de un dispositivo Citrix ADC. Un conjunto de datos es una matriz de patrones indexados de tipos: número (entero), dirección IPv4 o dirección IPv6.

La compatibilidad con conjuntos de datos en ACL ampliadas resulta útil para crear varias reglas de ACL, que requieren parámetros de ACL comunes.

Al crear una regla de ACL, en lugar de especificar los parámetros comunes, puede especificar un conjunto de datos, que incluye estos parámetros comunes.

Los cambios realizados en el conjunto de datos se reflejan automáticamente en las reglas de ACL que utilizan este conjunto de datos. Las ACL con conjuntos de datos son más fáciles de configurar y administrar. También son más pequeñas y fáciles de leer que las ACL convencionales.

En la actualidad, el dispositivo Citrix ADC solo admite el dataset de tipo de dirección IPv4 para ACL ampliadas.

Antes de comenzar

Antes de configurar reglas de ACL extendidas basadas en conjuntos de datos, tenga en cuenta los siguientes puntos:

  • Asegúrese de estar familiarizado con la función de conjunto de datos de un dispositivo Citrix ADC. Para obtener más información sobre los conjuntos de datos, consulte Conjuntos de patrones y conjuntos de datos.
  • El dispositivo Citrix ADC admite conjuntos de datos solo para ACL extendidas IPv4.
  • El dispositivo Citrix ADC solo admite los conjuntos de datos de tipo IPv4 para ACL extendidas.
  • El dispositivo Citrix ADC admite ACL extendidas basadas en conjuntos de datos para todas las configuraciones: autónoma, alta disponibilidad y clúster.
  • Para una ACL ampliada con un rango de direcciones IP, el dispositivo Citrix ADC crea internamente una ACL ampliada para cada dirección IP. Por ejemplo, para una ACL extendida basada en dataset IPv4 con 1000 direcciones IPv4 enlazadas al conjunto de datos, el dispositivo Citrix ADC creó internamente 1000 ACL ampliadas.

    • El dispositivo Citrix ADC admite un máximo de 10 000 ACL extendidas. Para una ACL extendida basada en dataset IPv4 con un rango de direcciones IP enlazadas al conjunto de datos, el dispositivo Citrix ADC deja de crear ACL internas una vez que el número total de ACL extendidas alcanza el límite máximo.

    • Los siguientes contadores están presentes como parte de las estadísticas de ACL ampliadas:

      • Recuento de LCA. Número total de reglas de ACL configuradas por los usuarios.
      • Recuento de LCA efectivo. Número total de reglas de ACL efectivas que el dispositivo Citrix ADC configura internamente.

      Para obtener más información, consulte Visualización de estadísticas ACL extendidas y ACL6 ampliadas.

  • El dispositivo Citrix ADC no admite set ni realiza unset operaciones para asociar/disociar conjuntos de datos con los parámetros de una ACL extendida. Puede establecer los parámetros de ACL en un conjunto de datos solo durante la add operación.

Configurar ACL extendidas basadas en conjuntos de datos

La configuración de una regla ACL extendida basada en conjuntos de datos consta de las siguientes tareas:

  • Agregue un conjunto de datos. Un conjunto de datos es una matriz de patrones indexados de tipos: número (entero), dirección IPv4 o dirección IPv6. En esta tarea, creará un tipo de conjunto de datos, por ejemplo, un conjunto de datos de tipo IPv4.

  • Enlazar valores al conjunto de datos. Especifique un valor o un rango de valores para el conjunto de datos. Los valores especificados deben ser del mismo tipo que el tipo de conjunto de datos. Por ejemplo, puede especificar una dirección IPv4 o un rango de direcciones IPv4 para el conjunto de datos de tipo IPv4.

  • Agregue una ACL extendida y establezca los parámetros de ACL al conjunto de datos. Agregue una ACL extendida y establezca los parámetros de ACL necesarios en el conjunto de datos. Esta configuración da como resultado los parámetros establecidos en los valores especificados en el conjunto de datos.

  • Aplique ACL extendidas. Aplique las ACL para activar cualquier ACL ampliada nueva o modificada.

Para agregar un conjunto de datos de políticas mediante la CLI:

En el símbolo del sistema, escriba:

  • agregar conjunto de datos de políticas <name><type>
  • mostrar conjunto de datos de política

Para enlazar un patrón al conjunto de datos mediante la CLI:

En el símbolo del sistema, escriba:

  • conjunto de datos de política de <name><value>[enlace -endRange]<string>
  • mostrar conjunto de datos de política

Para agregar una ACL extendida y establecer los parámetros de ACL en el conjunto de datos mediante la CLI:

En el símbolo del sistema, escriba:

  • añadir ns acl [-ScrIP** [][-ScrPort []** <aclname><aclaction><srcIPVal><srcPortVal>] [-DesTip [] <destIPVal>] [-DestPort [] <destPortVal>]…
  • mostrar acls

Para aplicar ACL ampliadas mediante la CLI:

En el símbolo del sistema, escriba:

  • aplicar acls

Configuración de ejemplo

En la siguiente configuración de ejemplo de una ACL extendida basada en conjunto de datos, se crea un dataset IPv4 DATASET-ACL-1. Dos direcciones IPv4:192.0.2.30 y 192.0.2.60 y dos rangos de direcciones IPv4: (198.51.100.15 - 45) y (203.0.113.60-90) están enlazados a DATASET-ACL-1. A continuación, DATASET-ACL-1 se especifica en los parámetros SRCiP y DesTiP de la ACL extendida ACL-1.

add policy dataset DATASET-ACL-1 IPV4

bind dataset DATASET-ACL-1 192.0.2.30

bind dataset DATASET-ACL-1 192.0.2.60

bind dataset DATASET-ACL-1 198.51.100.15 -endrange 198.51.100.45

bind dataset DATASET-ACL-1 203.0.113.60 -endrange 203.0.113.90

add ns acl ACL-1 ALLOW -srcIP DATASET-ACL-1 -destIP DATASET-ACL-1

apply acls
<!--NeedCopy-->
ACL ampliadas y ACL6 ampliadas