Citrix ADC

ACL extendidas y ACL6 extendidas

Las ACL extendidas y las ACL6S extendidas proporcionan parámetros y acciones que no están disponibles con ACL simples. Puede filtrar datos sobre la base de parámetros como la dirección IP de origen, el puerto de origen, la acción y el protocolo. Puede especificar tareas para permitir un paquete, denegar un paquete o conectar un paquete.

Las ACL y ACL6S extendidas se pueden modificar después de crearlas, y puede volver a numerar sus prioridades para especificar el orden en que se evalúan.

Nota: Si configura ACL simples y extendidas, las ACL simples tienen prioridad sobre las ACL extendidas.

Se pueden realizar las siguientes acciones en ACL y ACL6S extendidas: Modificar, Aplicar, Inhabilitar, Habilitar, Quitar y Renumerar (la prioridad). Puede mostrar ACL extendidas y ACL6S para verificar su configuración, y puede mostrar sus estadísticas.

Puede configurar Citrix ADC para registrar los detalles de los paquetes que coincidan con una ACL extendida. Sin embargo, no puede registrar detalles de paquetes que coincidan con un archivo ext

Aplicación de ACL extendidas y ACL6S extendidas: A diferencia de ACL simples y ACL6S, las ACL ampliadas y ACL6S creadas en Citrix ADC no funcionan hasta que se aplican. Además, si realiza modificaciones en una ACL extendida o ACL6, como inhabilitar las ACL, cambiar una prioridad o eliminar las ACL, debe volver a aplicar las ACL extendidas o ACL6. También debe volver a aplicarlos después de habilitar el registro. El procedimiento para aplicar ACL ampliadas o ACL6s vuelve a aplicarlas todas. Por ejemplo, si ha aplicado reglas de ACL extendidas 1 a 10 y, a continuación, crea y aplica la regla 11, se aplicarán de nuevo las 10 primeras reglas.

Si una sesión tiene una ACL DENY relacionada con ella, esa sesión finaliza cuando se aplican las ACL.

Las ACL extendidas y ACL6s están habilitadas de forma predeterminada. Cuando se aplican, Citrix ADC comienza a comparar los paquetes entrantes con ellos. Sin embargo, si los inhabilita, no se utilizarán hasta que los vuelva a habilitar, incluso si se vuelven a aplicar.

Cambiarla numeración de las prioridades de las ACL extendidas y ACL6 extendidas: los números de prioridad determinan el orden en que las ACL extendidas o ACL6 se asocian con un paquete. Una ACL con un número de prioridad más bajo tiene una prioridad más alta. Se evalúa antes de que las ACL con números de prioridad más altos (prioridades más bajas), y la primera ACL que coincida con el paquete determina la acción aplicada al paquete.

Cuando crea una ACL extendida o ACL6, Citrix ADC le asigna automáticamente un número de prioridad que es un múltiplo de 10, a menos que especifique lo contrario. Por ejemplo, si dos ACL extendidas tienen prioridades de 20 y 30, respectivamente, y quiere que una tercera ACL tenga un valor entre esos números, puede asignarle un valor de 25. Si posteriormente quiere conservar el orden en el que se evalúan las ACL pero restaurar su numeración a múltiplos de 10, puede utilizar el procedimiento de renumeración.

Configuración de ACL extendidas y ACL6S extendidas

La configuración de una ACL o ACL6 extendida en un dispositivo Citrix ADC consiste en las siguientes tareas.

  • Cree una ACL extendida o ACL6. Cree una ACL o ACL6 extendida para permitir, denegar o conectar un paquete. Puede especificar una dirección IP o un intervalo de direcciones IP para que coincida con las direcciones IP de origen o destino de los paquetes. Puede especificar un protocolo para que coincida con el protocolo de los paquetes entrantes.
  • (Opcional) Modifique una ACL extendida o ACL6. Puede modificar las ACL extendidas o ACL6 que haya creado anteriormente. O bien, si quiere eliminar temporalmente uno de su uso, puede inhabilitarlo y volver a habilitarlo posteriormente.
  • Aplique ACL o ACL6 extendidos. Después de crear, modificar, inhabilitar o volver a habilitar, o eliminar una ACL extendida o ACL6, debe aplicar las ACL extendidas o ACL6 para activarlas.
  • (Opcional) Renumérense las prioridades de las ACL extendidas o ACL6. Si ha configurado ACL con prioridades que no son múltiplos de 10 y quiere restaurar la numeración a múltiplos de 10, utilice el procedimiento de renumeración.

Procedimientos CLI

Para crear una ACL extendida mediante la CLI:

En el símbolo del sistema, escriba:

  • add ns acl <aclname> <aclaction> [-srcIP [<operator>] <srcIPVal>] [-srcPort [<operator>] <srcPortVal>] [-destIP [<operator>] <destIPVal>] [-destPort [<operator>] <destPortVal>] [-TTL <positive_integer>] [-srcMac <mac_addr>] [(-protocol <protocol> [-established]) | -protocolNumber <positive_integer>] [-vlan <positive_integer>] [-interface <interface_name>] [-icmpType <positive_integer> [-icmpCode <positive_integer>]] [-priority <positive_integer>] [-state ( ENABLED | DISABLED )] [-logstate ( ENABLED | DISABLED ) [-ratelimit <positive_integer>]]
  • show ns acl [<aclName>]

Ejemplo:

> add ns acl restrict DENY -srcport 45-1024 -destIP 192.168.1.1 -protocol TCP
 Done

Para crear una ACL6 extendida mediante la CLI:

En el símbolo del sistema, escriba:

  • add ns acl6 <acl6name> <acl6action> [-srcIPv6 [<operator>] <srcIPv6Val>] [-srcPort [<operator>] <srcPortVal>] [-destIPv6 [<operator>] <destIPv6Val>] [-destPort [<operator>] <destPortVal>] [-TTL <positive_integer>] [-srcMac <mac_addr>] [(-protocol <protocol> [-established]) | -protocolNumber <positive_integer>] [-vlan <positive_integer>] [-interface <interface_name>] [-icmpType <positive_integer> [-icmpCode <positive_integer>]] [-priority <positive_integer>] [-state ( ENABLED | DISABLED )]
  • show ns acl6 [<aclName>]

Ejemplo:

> add ns acl6 rule6  DENY -srcport 45-1024 -destIPv6 2001::45 -protocol TCP
 Done

Para modificar una ACL extendida mediante la CLI:

Para modificar una ACL extendida, escriba el comando set ns acl, el nombre de la ACL extendida y los parámetros que se van a cambiar, con sus nuevos valores.

Para modificar una ACL6 extendida mediante la CLI:

Para modificar una ACL6 extendida, escriba el comando set ns acl6, el nombre de la ACL6 extendida y los parámetros que se van a cambiar, con sus nuevos valores.

Para inhabilitar o habilitar una ACL extendida mediante la CLI:

En el símbolo del sistema, escriba uno de los siguientes comandos:

  • disable ns acl <aclname>
  • enable ns acl <aclname>

Para inhabilitar o habilitar una ACL6 extendida mediante la CLI:

En el símbolo del sistema, escriba uno de los siguientes comandos:

  • inhabilitar ns acl6 <aclname>
  • enable ns acl6<aclname>

Para aplicar ACL extendidas mediante la CLI:

En el símbolo del sistema, escriba:

  • apply ns acls

Para aplicar ACL6 extendidos mediante la CLI:

En el símbolo del sistema, escriba:

  • apply ns acls6

Para renumerar las prioridades de las ACL extendidas mediante la CLI:

En el símbolo del sistema, escriba:

  • renumber ns acls

Para renumerar las prioridades de los ACL6 extendidos mediante la CLI:

En el símbolo del sistema, escriba:

  • renumber ns acls6

Procedimientos de GUI

Para configurar una ACL extendida mediante la GUI:

Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas, agregue una ACL extendida nueva o modifique una ACL extendida existente. Para habilitar o inhabilitar una ACL extendida existente, selecciónela y, a continuación, seleccione Habilitar o Inhabilitar en la lista Acción.

Para configurar un ACL6 extendido mediante la GUI:

Vaya a Sistema > Red > ACL y, en la ficha ACL6s extendidos, agregue una ACL6 extendida nueva o modifique una ACL6 extendida existente. Para habilitar o inhabilitar una ACL6 extendida existente, selecciónela y, a continuación, seleccione Habilitar o Inhabilitar en la lista Acción.

Para aplicar ACL extendidas mediante la GUI:

Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas, en la lista Acción, haga clic en Aplicar.

Para aplicar ACL6 extendidos mediante la GUI:

Vaya a Sistema > Red > ACL y, en la ficha ACL6s extendidos, en la lista Acción, haga clic en Aplicar.

Para renumerar las prioridades de las ACL extendidas mediante la GUI:

Desplácese hasta Sistema > Red > ACL y, en la ficha ACL extendidas, en la lista Acción, haga clic en Renumerar prioridades.

Para renumerar las prioridades de las ACL6 ampliadas mediante la GUI:

Desplácese hasta Sistema > Red > ACL y, en la ficha ACL6s extendidos, en la lista Acción, haga clic en Renumerar Prioridad (s).

Configuraciones de ejemplo

La tabla siguiente muestra ejemplos de configuración de reglas de ACL extendidas a través de la interfaz de línea de comandos: Configuraciones de ejemplo de ACL.

Registro de ACL extendidas

Puede configurar Citrix ADC para registrar los detalles de los paquetes que coincidan con ACL extendidas.

Nota: No puede habilitar el registro para ACL6 extendidos.

Además del nombre de ACL, los detalles registrados incluyen información específica del paquete, como las direcciones IP de origen y destino. La información se almacena en el archivo syslog o en el archivo nslog, dependiendo del tipo de registro global (syslog o nslog) habilitado.

El registro debe estar habilitado tanto en el nivel global como en el nivel ACL. La configuración global tiene prioridad. Para obtener más información sobre cómo habilitar el registro globalmente, consulte “.”

Para optimizar el registro, cuando varios paquetes del mismo flujo coinciden con una ACL, solo se registran los detalles del primer paquete y el contador se incrementa para cada paquete que pertenece al mismo flujo. Un flujo se define como un conjunto de paquetes que tienen los mismos valores para la dirección IP de origen, la dirección IP de destino, el puerto de origen, el puerto de destino y los parámetros de protocolo. Para evitar la inundación de mensajes de registro, Citrix ADC realiza una limitación de velocidad interna para que los paquetes que pertenecen al mismo flujo no se registren repetidamente. El número total de flujos diferentes que se pueden registrar en un momento dado está limitado a 10.000.

Nota: Debe aplicar ACL después de habilitar el registro.

Procedimientos CLI

Para configurar el registro de ACL extendido mediante la CLI:

En el símbolo del sistema, escriba los siguientes comandos para configurar el registro y verificar la configuración:

  • set ns acl <aclName> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
  • show ns acl [<aclName>]

Ejemplo:

> set ns acl restrict -logstate ENABLED -ratelimit 120
Warning: ACL modified, apply ACLs to activate change

Procedimientos de GUI

Para configurar el registro de ACL extendido mediante la GUI:

  1. Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas, abra la ACL extendida.
  2. Defina los siguientes parámetros:
    • Estado del registro: Habilite o inhabilite el registro de eventos relacionados con la regla de ACL extendida. Los mensajes de registro se almacenan en el servidor syslog o auditlog configurado.
    • Límite de velocidad de registro: Número máximo de mensajes de registro que se generarán por segundo. Si establece este parámetro, debe habilitar el parámetro Log State.

Registro ampliado de ACL6

Puede configurar el dispositivo Citrix ADC para registrar los detalles de los paquetes que coinciden con una regla ACL6 extendida. Además del nombre ACL6, los detalles registrados incluyen información específica del paquete, como las direcciones IP de origen y destino. La información se almacena en un archivo syslog o nslog, dependiendo del tipo de registro (syslog o nslog) que haya configurado en el dispositivo Citrix ADC.

Para optimizar el registro, cuando varios paquetes del mismo flujo coinciden con un ACL6, solo se registran los detalles del primer paquete. El contador se incrementa para cada otro paquete que pertenece al mismo flujo. Un flujo se define como un conjunto de paquetes que tienen los mismos valores para los siguientes parámetros:

  • IP de origen
  • IP de destino
  • Puerto de origen
  • Puerto de destino
  • Protocolo (TCP o UDP)

Si un paquete entrante no es del mismo flujo, se crea un nuevo flujo. El número total de flujos diferentes que se pueden registrar en un momento dado está limitado a 10.000.

Procedimientos CLI

Para configurar el registro de una regla ACL6 extendida mediante la CLI:

  • Para configurar el registro mientras agrega la regla ACL6 extendida, en el símbolo del sistema, escriba:

    • add acl6 <acl6Name> <acl6action> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
    • show acl6 [<acl6Name>]
    • apply acls6
  • Para configurar el registro de una regla ACL6 extendida existente, escriba en el símbolo del sistema:
    • set acl6 <acl6Name> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
    • show acl6 [<acl6Name>]
    • apply acls6

Procedimientos de GUI

Para configurar el registro de ACL6 extendido mediante la GUI:

  1. Vaya a Sistema > Red > ACL y, a continuación, haga clic en la ficha ACL6s extendidos.
  2. Establezca los siguientes parámetros al agregar o modificar una regla ACL6 extendida existente.
    • Estado del registro: Habilite o inhabilite el registro de eventos relacionados con la regla ACL6s extendida. Los mensajes de registro se almacenan en el servidor syslog o auditlog configurado.
    • Límite de velocidad de registro: Número máximo de mensajes de registro que se generarán por segundo. Si establece este parámetro, debe habilitar el parámetro Log State.

Ejemplo:

> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120
Done

> apply acls6
Done

Visualización de las ACL extendidas y las estadísticas de ACL6 extendidas

Puede mostrar estadísticas de ACL extendidas y ACL6.

En la siguiente tabla se enumeran las estadísticas asociadas a las ACL y ACL6 extendidas, así como sus descripciones.

Estadística Especifica
Permitir accesos ACL Paquetes que coinciden con ACL con el modo de procesamiento establecido en ALLOW. Citrix ADC procesa estos paquetes.
NAT ACL aciertos Paquetes que coinciden con una ACL NAT, lo que da como resultado una sesión NAT.
Denegar accesos de ACL Paquetes eliminados porque coinciden con ACL con el modo de procesamiento establecido en DENY.
Golpes de ACL de puente Paquetes que coinciden con una ACL de puente, que en modo transparente omite el procesamiento del servicio.
ACL aciertos Paquetes que coinciden con una ACL.
ACL falla Paquetes que no coinciden con ninguna ACL.
Recuento de ACL Número total de reglas de ACL configuradas por los usuarios.
Recuento de ACL efectivo Número total de ACL efectiva configurada internamente. Para una ACL extendida con un rango de direcciones IP, el dispositivo Citrix ADC crea internamente una ACL extendida para cada dirección IP. Por ejemplo, para una ACL extendida con 1000 direcciones IPv4 (rango o conjunto de datos), Citrix ADC creó internamente 1000 ACL extendidas.

Procedimientos CLI

Para mostrar las estadísticas de todas las ACL extendidas mediante la CLI:

En el símbolo del sistema, escriba:

  • stat ns acl

Para mostrar las estadísticas de todas las ACL6 extendidas mediante la CLI:

En el símbolo del sistema, escriba:

  • stat ns acl6

Procedimientos de GUI

Para mostrar las estadísticas de una ACL extendida mediante la GUI:

Vaya a Sistema > Red > ACL, en la ficha ACL extendidas, seleccione la ACL extendida y haga clic en Estadísticas.

Para mostrar las estadísticas de una ACL6 extendida mediante la GUI:

Vaya a Sistema > Red > ACL, en la ficha ACL6s extendida, seleccione la ACL extendida y haga clic en Estadísticas.

ACL con estado

Una regla de ACL con estado crea una sesión cuando una solicitud coincide con la regla y permite las respuestas resultantes, incluso si estas respuestas coinciden con una regla de denegación de ACL en el dispositivo Citrix ADC. Una ACL con estado descarga el trabajo de creación de reglas de ACL/reglas de sesión de reenvío adicionales para permitir estas respuestas específicas.

Las ACL con estado se pueden utilizar mejor en una implementación de firewall perimetral de un dispositivo Citrix ADC con los siguientes requisitos:

  • El dispositivo Citrix ADC debe permitir las solicitudes iniciadas desde clientes internos y las respuestas relacionadas de Internet.
  • El dispositivo debe quitar los paquetes de Internet que no están relacionados con ninguna conexión de cliente.

Antes de comenzar

Antes de configurar reglas de ACL con estado, tenga en cuenta los siguientes puntos:

  • El dispositivo Citrix ADC admite reglas de ACL con estado, así como reglas ACL6 con estado.
  • En una configuración de alta disponibilidad, las sesiones de una regla de ACL con estado no se sincronizan con el nodo secundario.
  • No puede configurar una regla ACL como con estado si la regla está enlazada a cualquier configuración NAT de Citrix ADC. Algunos ejemplos de configuraciones NAT de Citrix ADC son:
    • RNAT
    • NAT a gran escala (NAT44 a gran escala, DS-Lite, NAT64 a gran escala)
    • NAT64
    • Sesión de reenvío
  • No puede configurar una regla de ACL como con estado si se establecen los parámetros TTL y Establecida para esta regla de ACL.
  • Las sesiones creadas para una regla de ACL con estado continúan existiendo hasta el tiempo de espera, independientemente de las siguientes operaciones de ACL:
    • Quitar ACL
    • Inhabilitar ACL
    • Borrar ACL
  • Las ACL con estado no son compatibles con los siguientes protocolos:
    • FTP activo
    • TFTP

Configurar reglas de ACL IPv4 con estado

La configuración de una regla ACL con estado consiste en habilitar el parámetro stateful de una regla ACL.

Para habilitar el parámetro con estado de una regla ACL mediante la CLI:

  • Para habilitar el parámetro con estado al agregar una regla de ACL, escriba en el símbolo del sistema:
    • add acl <lname> ALLOW -stateful ( ENABLED | DISABLED )
    • aplicar ACL
    • show acl <name>
  • Para habilitar el parámetro con estado de una regla de ACL existente, en el símbolo del sistema, escriba:
    • set acl <name> -stateful ( ENABLED | DISABLED )
    • aplicar ACL
    • show acl <name>

Para habilitar el parámetro con estado de una regla ACL mediante la CLI:

  1. Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas.
  2. Habilite el parámetro Stateful al agregar o modificar una regla de ACL existente.
    > add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes

    Done

    > apply acls

    Done

    > show acl

    1)         Name: ACL-1

      Action: ALLOW                          Hits: 0

      srcIP = 1.1.1.1

      destIP

      srcMac:

      Protocol:

      Vlan:                                 Interface:

      Active Status: ENABLED                 Applied Status: NOTAPPLIED

      Priority: 10                           NAT: NO

      TTL:

      Log Status: DISABLED

      Forward Session: NO

     Stateful: YES

Configurar reglas ACL6 con estado

La configuración de una regla ACL6 con estado consiste en habilitar el parámetro con estado de una regla ACL6.

Para habilitar el parámetro con estado de una regla ACL6 mediante la CLI:

  • Para habilitar el parámetro con estado al agregar una regla ACL6, en el símbolo del sistema, escriba:
    • add acl6 <name> ALLOM -stateful ( ENABLED | DISABLED )
    • apply acls6
    • show acl6 <name>
  • Para habilitar el parámetro con estado de una regla ACL6 existente, en el símbolo del sistema, escriba:
    • set acl6 <name> -stateful ( ENABLED | DISABLED )
    • apply acls6
    • show acl6 <name>

Para habilitar el parámetro con estado de una regla ACL6 mediante la CLI:

  1. Vaya a Sistema > Red > ACL y, en la ficha ACL6s extendidos.
  2. Habilite el parámetro Stateful al agregar o modificar una regla ACL6 existente.
    >  add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes

    Done

    >  apply acls6

    Done

    > show acl6

    1)    Name: ACL6-1

      Action: ALLOW                          Hits: 0

      srcIPv6 = 1000::1

      destIPv6

      srcMac:

      Protocol:

      Vlan:                                 Interface:

      Active Status: ENABLED                 Applied Status: NOTAPPLIED

      Priority: 10                           NAT: NO

      TTL:

     Forward Session: NO

     Stateful: YES

ACL extendidas basadas en conjunto de datos

Se requiere una gran cantidad de ACL en una empresa. Configurar y administrar un gran número de ACL es difícil y engorroso cuando requieren cambios frecuentes.

Un dispositivo Citrix ADC admite conjuntos de datos en ACL extendidas. Conjunto de datos es una función existente de un dispositivo Citrix ADC. Un conjunto de datos es una matriz de patrones indexados de tipos: número (entero), dirección IPv4 o dirección IPv6.

La compatibilidad con conjuntos de datos en ACL extendidas es útil para crear varias reglas de ACL, que requieren parámetros de ACL comunes.

Al crear una regla de ACL, en lugar de especificar los parámetros comunes, puede especificar un conjunto de datos, que incluya estos parámetros comunes.

Cualquier cambio realizado en el conjunto de datos se refleja automáticamente en las reglas de ACL que utilizan este conjunto de datos. Las ACL con conjuntos de datos son más fáciles de configurar y administrar. También son más pequeños y más fáciles de leer que las ACL convencionales.

Actualmente, el dispositivo Citrix ADC solo admite el conjunto de datos de tipo de dirección IPv4 para ACL extendidas.

Antes de comenzar

Antes de configurar reglas de ACL extendidas basadas en conjunto de datos, tenga en cuenta los siguientes puntos:

  • Asegúrese de estar familiarizado con la función de conjunto de datos de un dispositivo Citrix ADC. Para obtener más información acerca de los conjuntos de datos, consulte Conjuntos de patrones y conjuntos de datos.
  • El dispositivo Citrix ADC admite conjuntos de datos solo para ACL extendidas IPv4.
  • El dispositivo Citrix ADC solo admite los conjuntos de datos de tipo IPv4 para ACL extendidas.
  • El dispositivo Citrix ADC admite ACL extendidas basadas en Conjunto de datos para todas las configuraciones: autónomas, alta disponibilidad y clúster.
  • Para una ACL extendida con un rango de direcciones IP, el dispositivo Citrix ADC crea internamente una ACL extendida para cada dirección IP. Por ejemplo, para una ACL extendida basada en conjunto de datos IPv4 con 1000 direcciones IPv4 enlazadas al conjunto de datos, el dispositivo Citrix ADC creó internamente 1000 ACL extendidas.

    • El dispositivo Citrix ADC admite un máximo de 10K ACL extendidas. Para una ACL extendida basada en conjunto de datos IPv4 con un rango de direcciones IP enlazadas al conjunto de datos, el dispositivo Citrix ADC deja de crear ACL internas una vez que el número total de ACL extendidas alcanza el límite máximo.

    • Los siguientes contadores están presentes como parte de las estadísticas de ACL ampliadas:

      • Cuenta de ACL. Número total de reglas de ACL configuradas por los usuarios.
      • Recuento de ACL efectivo. Número total de reglas de ACL efectivas que el dispositivo Citrix ADC configura internamente.

      Para obtener más información, consulte Visualización de las estadísticas de ACL extendidas y ACL6 extendidas.

  • El dispositivo Citrix ADC no admite set ni realiza unset operaciones para asociar/disociar conjuntos de datos con los parámetros de una ACL extendida. Puede establecer los parámetros de ACL en un conjunto de datos solo durante la add operación.

Configurar ACL extendidas basadas en conjunto de datos

La configuración de una regla de ACL extendida basada en conjunto de datos consta de las siguientes tareas:

  • Agregue un conjunto de datos. Un conjunto de datos es una matriz de patrones indexados de tipos: número (entero), dirección IPv4 o dirección IPv6. En esta tarea, se crea un tipo de conjunto de datos, por ejemplo, un conjunto de datos de tipo IPv4.

  • Enlazar valores al conjunto de datos. Especifique un valor o un rango de valores para el conjunto de datos. Los valores especificados deben ser del mismo tipo que el tipo de conjunto de datos. Por ejemplo, puede especificar una dirección IPv4 o un rango de direcciones IPv4 al conjunto de datos de tipo IPv4.

  • Agregue una ACL extendida y establezca los parámetros de ACL al conjunto de datos. Agregue una ACL extendida y establezca los parámetros de ACL necesarios al conjunto de datos. Esta configuración da como resultado los parámetros establecidos en los valores especificados en el conjunto de datos.

  • Aplique ACL extendidas. Aplique las ACL para activar las ACL ampliadas nuevas o modificadas.

Para agregar un conjunto de datos de directivas mediante la CLI:

En el símbolo del sistema, escriba:

  • add policy dataset <name> <type>
  • show policy dataset

Para enlazar un patrón al conjunto de datos mediante la CLI:

En el símbolo del sistema, escriba:

  • bind policy dataset <name> <value> [-endRange <string>]
  • show policy dataset

Para agregar una ACL extendida y establecer los parámetros de ACL en el conjunto de datos mediante la CLI:

En el símbolo del sistema, escriba:

  • add ns acl <aclname> <aclaction> [-srcIP [<operator>] <srcIPVal>] [-srcPort [<operator>] <srcPortVal>] [-destIP [<operator>] <destIPVal>] [-destPort [<operator>] <destPortVal>] …
  • show acls

Para aplicar ACL extendidas mediante la CLI:

En el símbolo del sistema, escriba:

  • apply acls

Configuración de ejemplo

En la siguiente configuración de ejemplo de una ACL extendida basada en conjunto de datos, se crea un conjunto de datos IPv4 DATASET-ACL-1. Dos direcciones IPv4:192.0.2.30 y 192.0.2.60, y dos rangos de direcciones IPv4: (198.51.100.15 - 45) y (203.0.113.60-90) están vinculados a DATASET-ACL-1. A continuación, se especifica DATASET-ACL-1 para los parámetros SRCIp y DeSip de la ACL extendida ACL-1.

add policy dataset DATASET-ACL-1 IPV4

bind dataset DATASET-ACL-1 192.0.2.30

bind dataset DATASET-ACL-1 192.0.2.60

bind dataset DATASET-ACL-1 198.51.100.15 -endrange 198.51.100.45

bind dataset DATASET-ACL-1 203.0.113.60 -endrange 203.0.113.90

add ns acl ACL-1 ALLOW -srcIP DATASET-ACL-1 -destIP DATASET-ACL-1
ACL extendidas y ACL6 extendidas