Citrix ADC

ACL ampliadas y ACL6 ampliadas

Las ACL extendidas y las ACL6S extendidas proporcionan parámetros y acciones que no están disponibles con ACL simples. Puede filtrar datos en función de parámetros tales como la dirección IP de origen, el puerto de origen, la acción y el protocolo. Puede especificar tareas para permitir un paquete, denegar un paquete o conectar un paquete.

Las ACL y ACL6 extendidas se pueden modificar una vez creadas y se pueden volver a numerar sus prioridades para especificar el orden en que se evalúan.

Nota: Si configura tanto las ACL simples como las extendidas, las ACL simples tienen prioridad sobre las ACL extendidas.

Se pueden realizar las siguientes acciones en ACL y ACL6 extendidas: Modificar, Aplicar, Inhabilitar, Activar, Quitar y Renumerar (la prioridad). Puede mostrar las ACL y ACL6 extendidas para verificar su configuración y mostrar sus estadísticas.

Puede configurar Citrix ADC para que registre los detalles de los paquetes que coinciden con una ACL extendida.

Aplicación de ACL extendidas y ACL6S extendidas: A diferencia de ACL simples y ACL6S, las ACL ampliadas y ACL6S creadas en Citrix ADC no funcionan hasta que se aplican. Además, si realiza cambios en una ACL extendida o ACL6, como inhabilitar las ACL, cambiar una prioridad o eliminar las ACL, debe volver a aplicar las ACL extendidas o ACL6. Debe volver a aplicarlos después de habilitar el registro. El procedimiento para aplicar ACL ampliadas o ACL6s vuelve a aplicarlas todas. Por ejemplo, si ha aplicado las reglas de ACL extendidas 1 a 10 y, a continuación, crea y aplica la regla 11, las primeras 10 reglas se aplican de nuevo.

Si una sesión tiene una ACL DENY relacionada, esa sesión finaliza cuando aplica las ACL.

Las ACL extendidas y ACL6 están habilitadas de forma predeterminada. Cuando se aplican, Citrix ADC comienza a comparar los paquetes entrantes con ellos. Sin embargo, si las inhabilitas, no se usarán hasta que las vuelvas a habilitar, aunque se vuelvan a aplicar.

Cambio denumeración de las prioridades de las ACL extendidas y las ACL6 ampliadas: los números de prioridad determinan el orden en que las ACL o ACL6 extendidas se comparan con un paquete. Una ACL con un número de prioridad inferior tiene una prioridad más alta. Se evalúa antes que las ACL con números de prioridad más altos (prioridades más bajas) y la primera ACL que coincida con el paquete determina la acción aplicada al paquete.

Al crear una ACL o ACL6 extendida, Citrix ADC le asigna automáticamente un número de prioridad múltiplo de 10, a menos que especifique lo contrario. Por ejemplo, si dos ACL extendidas tienen prioridades de 20 y 30, respectivamente, y quiere que una tercera ACL tenga un valor entre esos números, podría asignarle un valor de 25. Si más adelante quiere mantener el orden en que se evalúan las ACL pero restaura su numeración a múltiplos de 10, puede utilizar el procedimiento de renumeración.

Configuración de ACL extendidas y ACL6 ampliadas

La configuración de una ACL extendida o ACL6 en un Citrix ADC consiste en las siguientes tareas.

  • Cree una ACL o ACL6 extendida. Cree una ACL o ACL6 extendida para permitir, denegar o conectar un paquete. Puede especificar una dirección IP o un intervalo de direcciones IP para que coincidan con las direcciones IP de origen o destino de los paquetes. Puede especificar un protocolo para que coincida con el protocolo de los paquetes entrantes.
  • (Opcional) Modifique una ACL o ACL6 extendida. Puede modificar las ACL extendidas o ACL6 que creó anteriormente. O bien, si quiere dejar de usarlo temporalmente, puede desactivarlo y volver a activarlo más tarde.
  • Aplique ACL o ACL6 extendidas. Después de crear, modificar, inhabilitar o volver a habilitar, o eliminar una ACL o ACL6 ampliadas, debe aplicar las ACL o ACL6 ampliadas para activarlas.
  • (Opcional) Cambie la numeración de las prioridades de las ACL o ACL6 ampliadas. Si ha configurado ACL con prioridades que no son múltiplos de 10 y quiere restaurar la numeración a múltiplos de 10, utilice el procedimiento de renumeración.

Procedimientos CLI

Para crear una ACL extendida mediante la CLI:

En el símbolo del sistema, escriba:

  • add ns acl <aclname> <aclaction> [-**srcIP** [\<operator>] <srcIPVal>] [-**srcPort** [\<operator>] <srcPortVal>] [-**destIP** [\<operator>] <destIPVal>] [-**destPort** [\<operator>] <destPortVal>] [-**TTL** \<positive_integer>] [-**srcMac** \<mac_addr>] [(-**protocol** \<protocol> [-established]) | -protocolNumber <positive_integer>] [-**vlan** \<positive_integer>] [-**interface** \<interface_name>] [-**icmpType** \<positive_integer> [-**icmpCode** \<positive_integer>]] [-**priority** \<positive_integer>] [-**state** ( ENABLED | DISABLED )] [-**logstate** ( ENABLED | DISABLED ) [-**ratelimit** \<positive_integer>]]

  • show ns acl [\<aclName>]

Para crear una ACL6 extendida mediante la CLI:

En el símbolo del sistema, escriba:

  • add ns acl6 <acl6name> <acl6action> [-**srcIPv6** [\<operator>] <srcIPv6Val>] [-**srcPort** [\<operator>] <srcPortVal>] [-**destIPv6** [\<operator>] <destIPv6Val>] [-**destPort** [\<operator>] <destPortVal>] [-**TTL** \<positive_integer>] [-**srcMac** \<mac_addr>] [(-**protocol** \<protocol> [-established]) | -protocolNumber <positive_integer>] [-**vlan** \<positive_integer>] [-**interface** \<interface_name>] [-**icmpType** \<positive_integer> [-**icmpCode** \<positive_integer>]] [-**priority** \<positive_integer>] [-**state** ( ENABLED | DISABLED )]

  • show ns acl6 [\<aclName>]

Para modificar una ACL extendida mediante la CLI:

Para modificar una ACL extendida, escriba el comando set ns acl, el nombre de la ACL extendida y los parámetros que se van a cambiar, con sus nuevos valores.

Para modificar una ACL6 extendida mediante la CLI:

Para modificar una ACL6 extendida, escriba el comando set ns acl6, el nombre de la ACL6 extendida y los parámetros que se van a cambiar, con sus nuevos valores.

Para inhabilitar o habilitar una ACL extendida mediante la CLI:

En el símbolo del sistema, escriba uno de los siguientes comandos:

  • disable ns acl <aclname>
  • enable ns acl <aclname>

Para inhabilitar o habilitar una ACL6 extendida mediante la CLI:

En el símbolo del sistema, escriba uno de los siguientes comandos:

  • disable ns acl6 <aclname>
  • enable ns acl6 <aclname>

Para aplicar ACL extendidas mediante la CLI:

En el símbolo del sistema, escriba:

  • apply ns acls

Para aplicar ACL6 extendidos mediante la CLI:

En el símbolo del sistema, escriba:

  • apply ns acls6

Para renumerar las prioridades de las ACL extendidas mediante la CLI:

En el símbolo del sistema, escriba:

  • renumber ns acls

Para renumerar las prioridades de los ACL6 extendidos mediante la CLI:

En el símbolo del sistema, escriba:

  • renumber ns acls6

Procedimientos de GUI

Para configurar una ACL extendida mediante la GUI:

  • Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas, agregue una nueva ACL ampliada o modifique una ACL extendida existente. Para habilitar o inhabilitar una ACL extendida existente, selecciónela y, a continuación, seleccione Habilitar o Inhabilitar en la lista Acción.

Para configurar un ACL6 ampliado mediante la GUI:

  • Vaya a Sistema > Red > ACL y, en la ficha ACL6 extendidas, agregue una nueva ACL6 ampliada o modifique una ACL6 extendida existente. Para habilitar o inhabilitar una ACL6 extendida existente, selecciónela y, a continuación, seleccione Habilitar o Inhabilitar en la lista Acción.

Para aplicar ACL extendidas mediante la GUI:

  • Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas, en la lista Acción, haga clic en Aplicar.

Para aplicar ACL6 ampliados mediante la GUI:

  • Vaya a Sistema > Red > ACL y, en la ficha ACL6 ampliadas, en la lista Acción, haga clic en Aplicar.

Para volver a numerar las prioridades de las ACL extendidas mediante la GUI:

  • Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas, en la lista Acción, haga clic en Renumerar prioridades.

Para volver a numerar las prioridades de los ACL6 ampliados mediante la GUI:

  • Vaya a Sistema > Red > ACL y, en la ficha ACL6 ampliadas, en la lista Acción, haga clic en Renumerar prioridades.

Configuraciones de ejemplo

En la tabla siguiente se muestran ejemplos de configuración de reglas ACL ampliadas a través de la interfaz de línea de comandos: configuraciones de ejemplo de ACL.

Registro de ACL extendidas

Puede configurar Citrix ADC para que registre los detalles de los paquetes que coinciden con las ACL extendidas.

Además del nombre de ACL, los detalles registrados incluyen información específica del paquete, como las direcciones IP de origen y destino. La información se almacena en el archivo syslog o en el archivo nslog, según el tipo de registro global (syslog or nslog) habilitado.

El registro debe estar habilitado tanto en el nivel global como en el nivel ACL. La configuración global tiene prioridad.

Para optimizar el registro, cuando varios paquetes del mismo flujo coinciden con una ACL, solo se registran los detalles del primer paquete y el contador se incrementa para cada paquete que pertenece al mismo flujo. Un flujo se define como un conjunto de paquetes que tienen los mismos valores para la dirección IP de origen, la dirección IP de destino, el puerto de origen, el puerto de destino y los parámetros del protocolo. Para evitar la inundación de mensajes de registro, Citrix ADC realiza una limitación de velocidad interna para que los paquetes pertenecientes al mismo flujo no se registren repetidamente. El número total de flujos diferentes que se pueden registrar en un momento dado está limitado a 10.000.

Nota: Debe aplicar las ACL después de habilitar el registro.

Procedimientos CLI

Para configurar el registro de ACL extendido mediante la CLI:

En el símbolo del sistema, escriba los siguientes comandos para configurar el registro y verificar la configuración:

  • set ns acl <aclName>[-**logState** (HABILITADO | DESHABILITADO)] [-**RateLimit** \<positive_integer>]
  • apply acls
  • mostrar ns acl [\<aclName>]

Procedimientos de GUI

Para configurar el registro de ACL extendido mediante la interfaz gráfica de usuario:

  1. Vaya a Sistema > Red > ACL y, en la ficha ACL ampliadas, abra la ACL extendida.
  2. Defina los siguientes parámetros:
    • Estado del registro: Habilite o inhabilite el registro de eventos relacionados con la regla de ACL extendida. Los mensajes de registro se almacenan en el servidor syslog or auditlog configurado.
    • Límite de velocidad de registro: Número máximo de mensajes de registro que se generarán por segundo. Si establece este parámetro, debe habilitar el parámetro Estado de registro.

Configuración de ejemplo

> set ns acl restrict -logstate ENABLED -ratelimit 120
Warning: ACL modified, apply ACLs to activate change

> apply ns acls
Done
<!--NeedCopy-->

Registro de ACL6s extendidos

Puede configurar el dispositivo Citrix ADC para que registre los detalles de los paquetes que coinciden con una regla ACL6 ampliada. Además del nombre ACL6, los detalles registrados incluyen información específica del paquete, como las direcciones IP de origen y destino. La información se almacena en un syslog o en un archivo nslog, según el tipo de registros (syslog or nslog) que haya configurado en el dispositivo Citrix ADC.

Para optimizar el registro, cuando varios paquetes del mismo flujo coinciden con una ACL6, solo se registran los detalles del primer paquete. El contador se incrementa para todos los demás paquetes que pertenecen al mismo flujo. Un flujo se define como un conjunto de paquetes que tienen los mismos valores para los siguientes parámetros:

  • IP de origen
  • IP de destino
  • Puerto de origen
  • Puerto de destino
  • Protocolo (TCP o UDP)

Si un paquete entrante no procede del mismo flujo, se crea un nuevo flujo. El número total de flujos diferentes que se pueden registrar en un momento dado está limitado a 10.000.

Procedimientos CLI

Para configurar el registro de una regla ACL6 ampliada mediante la CLI:

  • Para configurar el registro mientras agrega la regla ACL6 extendida, en el símbolo del sistema, escriba:

    • add acl6 <acl6Name><acl6action>[-**logState** (HABILITADO | DESHABILITADO)] [-**RateLimit** \<positive_integer>]
    • apply acls6
    • mostrar acl6 [\<acl6Name>]
  • Para configurar el registro de una regla ACL6 extendida existente, escriba en el símbolo del sistema:

    • set acl6 <acl6Name>[-**logState** (HABILITADO | DESHABILITADO)] [-**RateLimit** \<positive_integer>]
    • mostrar acl6 [\<acl6Name>]
    • apply acls6

Procedimientos de GUI

Para configurar el registro ACL6 extendido mediante la interfaz gráfica de usuario:

  1. Vaya a Sistema > Red > ACL y, a continuación, haga clic en la ficha ACL6s ampliados.
  2. Defina los siguientes parámetros al agregar o modificar una regla ACL6 extendida existente.
    • Estado de registro: Habilita o inhabilita el registro de eventos relacionados con la regla ACL6s ampliada. Los mensajes de registro se almacenan en el syslog o el servidor auditlog configurados.
    • Límite de velocidad de registro: Número máximo de mensajes de registro que se generarán por segundo. Si establece este parámetro, debe habilitar el parámetro Estado de registro.

Configuración de ejemplo

> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120
Done

> apply acls6
Done
<!--NeedCopy-->

Visualización de ACL extendidas y estadísticas ACL6 extendidas

Puede mostrar estadísticas de ACL ampliadas y ACL6.

En la tabla siguiente se enumeran las estadísticas asociadas a las ACL y ACL6 ampliadas y sus descripciones.

Estadística Especifica
Permitir coincidencias de ACL Paquetes que coinciden con ACL con el modo de procesamiento establecido en ALLOW. Citrix ADC procesa estos paquetes.
Partidos de NAT ACL Paquetes que coinciden con una ACL NAT, lo que da como resultado una sesión NAT.
Partidos de Deny ACL Paquetes eliminados porque coinciden con ACL con el modo de procesamiento establecido en DENY.
Partidos de Bridge ACL Paquetes que coinciden con una ACL de puente, que en modo transparente omite el procesamiento del servicio.
Partidos ACL Paquetes que coinciden con una ACL.
ACL falla Paquetes que no coinciden con ninguna ACL.
Recuento ACL Número total de reglas de ACL configuradas por los usuarios.
Recuento efectivo de ACL Número total de ACL efectivas configuradas internamente. Para una ACL ampliada con un rango de direcciones IP, el dispositivo Citrix ADC crea internamente una ACL extendida para cada dirección IP. Por ejemplo, para una ACL ampliada con 1000 direcciones IPv4 (rango o conjunto de datos), Citrix ADC crea internamente 1000 ACL extendidas.

Procedimientos CLI

Para mostrar las estadísticas de todas las ACL extendidas mediante la CLI:

En el símbolo del sistema, escriba:

  • stat ns acl

Para mostrar las estadísticas de todos los ACL6 ampliados mediante la CLI:

En el símbolo del sistema, escriba:

  • stat ns acl6

Procedimientos de GUI

Para mostrar las estadísticas de una ACL extendida mediante la GUI:

  • Vaya a Sistema > Red > ACL, en la ficha ACL extendida, seleccione la ACL extendida y haga clic en Estadísticas.

Para mostrar las estadísticas de una ACL6 ampliada mediante la interfaz gráfica de usuario:

  • Vaya a Sistema > Red > ACL, en la ficha ACL6 extendida, seleccione la ACL extendida y haga clic en Estadísticas.

ACL con estado

Una regla de ACL con estado crea una sesión cuando una solicitud coincide con la regla y permite las respuestas resultantes incluso si estas respuestas coinciden con una regla de ACL de denegación del dispositivo Citrix ADC. Una ACL con estado descarga el trabajo de crear más reglas de ACL/reglas de sesión de reenvío para permitir estas respuestas específicas.

Las ACL con estado se pueden utilizar mejor en una implementación de firewall perimetral de un dispositivo Citrix ADC con los siguientes requisitos:

  • El dispositivo Citrix ADC debe permitir las solicitudes iniciadas desde clientes internos y las respuestas relacionadas de Internet.
  • El dispositivo debe descartar los paquetes de Internet que no están relacionados con ninguna conexión de cliente.

Antes de comenzar

Antes de configurar reglas de ACL con estado, tenga en cuenta los siguientes puntos:

  • El dispositivo Citrix ADC admite reglas de ACL con estado y reglas ACL6 con estado.
  • En una configuración de alta disponibilidad, las sesiones de una regla de ACL con estado no se sincronizan con el nodo secundario.
  • No se puede configurar una regla de ACL como con estado si la regla está vinculada a cualquier configuración NAT de Citrix ADC. Algunos ejemplos de configuraciones NAT de Citrix ADC son:
    • RNAT
    • NAT a gran escala (NAT44 a gran escala, DS-Lite, NAT64 a gran escala)
    • NAT64
    • Sesión de reenvío
  • No puede configurar una regla de ACL como con estado si se establecen los parámetros TTL y Establecida para esta regla de ACL.
  • Las sesiones creadas para una regla de ACL con estado continúan existiendo hasta que se agote el tiempo de espera, independientemente de las siguientes operaciones de ACL:
    • Quitar ACL
    • Inhabilitar ACL
    • Borrar ACL
  • Las ACL con estado no son compatibles con los siguientes protocolos:
    • FTP activo
    • TFTP

Configurar reglas ACL IPv4 con estado

La configuración de una regla de ACL con estado consiste en habilitar el parámetro con estado de una regla de ACL.

Para habilitar el parámetro con estado de una regla de ACL mediante la CLI:

  • Para habilitar el parámetro con estado al agregar una regla de ACL, escriba en el símbolo del sistema:

    • add acl <lname> ALLOW -stateful (ENABLED | DISABLED)
    • apply acls
    • show acl <name>
  • Para habilitar el parámetro con estado de una regla de ACL existente, en el símbolo del sistema, escriba:

    • set acl <name> -stateful (ENABLED | DISABLED)
    • apply acls
    • show acl <name>

Para habilitar el parámetro con estado de una regla de ACL mediante la GUI:

  1. Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas.

  2. Habilite el parámetro Stateful al agregar o modificar una regla de ACL existente.

Configuración de ejemplo

> add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes

Done

> apply acls

Done

> show acl

1)         Name: ACL-1

    Action: ALLOW                          Hits: 0

    srcIP = 1.1.1.1

    destIP

    srcMac:

    Protocol:

    Vlan:                                 Interface:

    Active Status: ENABLED                 Applied Status: NOTAPPLIED

    Priority: 10                           NAT: NO

    TTL:

    Log Status: DISABLED

    Forward Session: NO

    Stateful: YES
<!--NeedCopy-->

Configurar reglas ACL6 con estado

La configuración de una regla ACL6 con estado consiste en habilitar el parámetro con estado de una regla ACL6.

Para habilitar el parámetro con estado de una regla ACL6 mediante la CLI:

  • Para habilitar el parámetro con estado al agregar una regla ACL6, en el símbolo del sistema, escriba:

    • add acl6 <name> ALLOW -stateful ( ENABLED | DISABLD )
    • apply acls6
    • show acl6 <name>
  • Para habilitar el parámetro con estado de una regla ACL6 existente, en el símbolo del sistema, escriba:

    • set acl6 <name> -stateful ( ENABLED | DISABLED )
    • apply acls6
    • show acl6 <name>

Para habilitar el parámetro con estado de una regla ACL6 mediante la GUI:

  1. Vaya a Sistema > Red > ACL y, en la ficha ACL6s extendidas.
  2. Habilite el parámetro Stateful al agregar o modificar una regla ACL6 existente.

Configuración de ejemplo

>  add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes

Done

>  apply acls6

Done

> show acl6

1)    Name: ACL6-1

    Action: ALLOW                          Hits: 0

    srcIPv6 = 1000::1

    destIPv6

    srcMac:

    Protocol:

    Vlan:                                 Interface:

    Active Status: ENABLED                 Applied Status: NOTAPPLIED

    Priority: 10                           NAT: NO

    TTL:

    Forward Session: NO

    Stateful: YES
<!--NeedCopy-->

ACL extendidas basadas en conjunto de datos

Se requieren muchas ACL en una empresa. Configurar y administrar muchas ACL es difícil y engorroso cuando requieren cambios frecuentes.

Un dispositivo Citrix ADC admite conjuntos de datos en ACL extendidas. El conjunto de datos es una función existente de un dispositivo Citrix ADC. Un conjunto de datos es una matriz de tipos de patrones indexados: número (entero), dirección IPv4 o dirección IPv6.

La compatibilidad con conjuntos de datos en las ACL ampliadas resulta útil para crear varias reglas de ACL, que requieren parámetros de ACL comunes.

Al crear una regla de ACL, en lugar de especificar los parámetros comunes, puede especificar un conjunto de datos, que incluye estos parámetros comunes.

Cualquier cambio realizado en el conjunto de datos se refleja automáticamente en las reglas de ACL que utilizan este conjunto de datos. Las ACL con conjuntos de datos son más fáciles de configurar y administrar. También son más pequeños y fáciles de leer que los ACL convencionales.

En la actualidad, el dispositivo Citrix ADC solo admite los siguientes tipos de conjuntos de datos para las ACL extendidas:

  • Dirección IPv4 (para especificar la dirección IP de origen o la dirección IP de destino o ambas para una regla ACL)
  • número (para especificar el puerto de origen o el puerto de destino o ambos para una regla de ACL)

Antes de comenzar

Antes de configurar reglas de ACL extendidas basadas en conjuntos de datos, tenga en cuenta los siguientes puntos:

  • Asegúrese de estar familiarizado con la función de conjunto de datos de un dispositivo Citrix ADC. Para obtener más información sobre los conjuntos de datos, consulte Conjuntos de patrones y conjuntos de datos.

  • El dispositivo Citrix ADC admite conjuntos de datos solo para ACL extendidas IPv4.

  • El dispositivo Citrix ADC solo admite los siguientes tipos de conjuntos de datos para las ACL ampliadas:

    • Dirección IPv4
    • número
  • El dispositivo Citrix ADC admite ACL extendidas basadas en conjuntos de datos para todas las configuraciones de Citrix ADC: autónomas, de alta disponibilidad y de clústeres.
  • Para una ACL ampliada con conjuntos de datos que contienen rangos, el dispositivo Citrix ADC crea internamente una ACL ampliada para cada combinación de los valores del conjunto de datos.

    • Ejemplo 1: Para una ACL extendida basada en dataset IPv4 con 1000 direcciones IPv4 enlazadas al conjunto de datos y el conjunto de datos se establece en el parámetro IP de origen, el dispositivo Citrix ADC crea internamente 1000 ACL extendidas.

    • Ejemplo 2: ACL extendida basada en un conjunto de datos con los siguientes parámetros establecidos:

      • La IP de origen se establece en un conjunto de datos que contiene 5 direcciones IP.
      • La IP de destino se establece en un conjunto de datos que contiene 5 direcciones IP.
      • El puerto de origen se establece en un conjunto de datos que contiene 5 puertos.
      • El puerto de destino se establece en un conjunto de datos que contiene 5 puertos.

      El dispositivo Citrix ADC crea internamente 625 ACL extendidas. Cada una de estas ACL internas contiene una combinación única de los cuatro valores de parámetros mencionados anteriormente.

    • El dispositivo Citrix ADC admite un máximo de 10.000 ACL extendidas. Para una ACL extendida basada en datasets IPv4 con un rango de direcciones IP enlazadas al conjunto de datos, el dispositivo Citrix ADC deja de crear ACL internas una vez que el número total de ACL extendidas alcanza el límite máximo.

    • Los siguientes contadores están presentes como parte de las estadísticas de ACL ampliadas:

      • Recuento de LCA. Número total de reglas de ACL configuradas por los usuarios.
      • Recuento efectivo del LCA. Número total de reglas de ACL efectivas que el dispositivo Citrix ADC configura internamente.

      Para obtener más información, consulte Visualización de estadísticas ACL extendidas y ACL6 ampliadas.

  • El dispositivo Citrix ADC no admite set ni realiza operaciones unset para asociar/disociar conjuntos de datos a los parámetros de una ACL extendida. Puede establecer los parámetros de ACL en un conjunto de datos solo durante la operación add.

Configurar ACL extendidas basadas en conjuntos de datos

La configuración de una regla de ACL ampliada basada en conjuntos de datos consta de las siguientes tareas:

  • Agrega un conjunto de datos. Un conjunto de datos es una matriz de tipos de patrones indexados: número (entero), dirección IPv4 o dirección IPv6. En esta tarea, crea un tipo de conjunto de datos, por ejemplo, un conjunto de datos de tipo IPv4.

  • Enlazar valores al conjunto de datos. Especifique un valor o un rango de valores en el conjunto de datos. Los valores especificados deben ser del mismo tipo que el tipo de conjunto de datos. Por ejemplo, puede especificar una dirección IPv4, un rango de direcciones IPv4 o un rango de direcciones IPv4 en notación CIDR para un conjunto de datos IPv4.

  • Agregue una ACL extendida y establezca los parámetros de ACL al conjunto de datos. Agregue una ACL ampliada y defina los parámetros de ACL necesarios en el conjunto de datos. Esta configuración da como resultado que los parámetros se establezcan en los valores especificados en el conjunto de datos.

  • Aplicar ACL extendidas. Aplique las ACL para activar cualquier ACL ampliada nueva o modificada.

Para agregar un conjunto de datos de directivas mediante la CLI:

En el símbolo del sistema, escriba:

  • add policy dataset <name> <type>
  • show policy dataset

Para enlazar un patrón al conjunto de datos mediante la CLI:

En el símbolo del sistema, escriba:

  • bind policy dataset <name> <value> [-endRange \<string>]
  • show policy dataset

Para agregar una ACL extendida y establecer los parámetros de ACL en el conjunto de datos mediante la CLI:

En el símbolo del sistema, escriba:

  • add ns acl <aclname> <aclaction> [-**srcIP** [\<operator>] <srcIPVal>] [-**srcPort** [\<operator>] <srcPortVal>] [-**destIP** [\<operator>] <destIPVal>] [-**destPort** [\<operator>] <destPortVal>] …
  • show acls

Para aplicar ACL extendidas mediante la CLI:

En el símbolo del sistema, escriba:

  • apply acls

Configuración de ejemplo

En la siguiente configuración de ejemplo de una ACL extendida basada en conjuntos de datos, se crean dos conjuntos de datos IPv4 DATASET_IP_ACL_1 y DATASET_IP_ACL_2. Se crean dos conjuntos de datos de puertos DATASET_PORT_ACL_1 y DATASET_PORT_ACL_1.

Dos direcciones IPv4: 192.0.2.30 y 192.0.2.60 están vinculadas DATASET_IP_ACL_1. Dos intervalos de direcciones IPv4: (198.51.100.15 - 45) y (203.0.113.60-90) están vinculados a DATASET_IP_ACL_2. DATASET_IP_ACL_1 se especifica en el parámetro srcIP, y DATASET_IP_ACL_1 en el parámetro destIP de la ACL extendida ACL-1.

Dos números de puerto: 2001 y 2004, están vinculados DATASET_PORT_ACL_1. Dos intervalos de puertos: (5001 - 5040) y (8001 - 8040) están vinculados DATASET-PORT-ACL-2. DATASET_IP_ACL_1 se especifica en el parámetro srcIP, y DATASET_IP_ACL_1 en el parámetro destIP de la ACL extendida ACL-1.

add policy dataset DATASET_IP_ACL_1 IPV4
add policy dataset DATASET_IP_ACL_2 IPV4

add policy dataset DATASET_PORT_ACL_1 NUM
add policy dataset DATASET_PORT_ACL_2 NUM

bind dataset DATASET_IP_ACL_1 192.0.2.30
bind dataset DATASET_IP_ACL_1 192.0.2.60
bind dataset DATASET_IP_ACL_2 198.51.100.15 -endrange 198.51.100.45
bind dataset DATASET_IP_ACL_2 203.0.113.1/24

bind dataset DATASET_PORT_ACL_1 2001
bind dataset DATASET_PORT_ACL_1 2004
bind dataset DATASET_PORT_ACL_2 5001 -endrange 5040
bind dataset DATASET_PORT_ACL_2 8001 -endrange 8040

add ns acl ACL-1 ALLOW -srcIP DATASET_IP_ACL_1 -destIP DATASET_IP_ACL_2
-srcPort DATASET_PORT_ACL_1 -destPort DATASET_PORT_ACL_2 –protocol TCP
<!--NeedCopy-->
ACL ampliadas y ACL6 ampliadas