-
-
-
Configuración de Citrix ADC para Citrix Virtual Apps and Desktops
-
Preferencia de zona alimentada de Equilibrio de carga de servidor global (GSLB)
-
Implemente una plataforma de publicidad digital en AWS con Citrix ADC
-
Mejorar el análisis de Clickstream en AWS mediante Citrix ADC
-
Citrix ADC en una nube privada administrada por Microsoft Windows Azure Pack y Cisco ACI
-
-
Implementar una instancia de Citrix ADC VPX
-
Instalar una instancia de Citrix ADC VPX en un servidor desnudo
-
Instalar una instancia de Citrix ADC VPX en Citrix Hypervisor
-
Instalar una instancia de Citrix ADC VPX en la nube de VMware en AWS
-
Instalar una instancia de Citrix ADC VPX en servidores Microsoft Hyper-V
-
Instalar una instancia de Citrix ADC VPX en la plataforma Linux-KVM
-
Requisitos previos para instalar dispositivos virtuales Citrix ADC VPX en la plataforma Linux-KVM
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante OpenStack
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante Virtual Machine Manager
-
Configuración de Citrix ADC Virtual Appliances para utilizar la interfaz de red SR-IOV
-
Configuración de Citrix ADC Virtual Appliances para utilizar la interfaz de red PCI Passthrough
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante el programa virsh
-
Aprovisionamiento de Citrix ADC Virtual Appliance con SR-IOV, en OpenStack
-
-
Implementar una instancia de Citrix ADC VPX en AWS
-
Implementar una instancia independiente de Citrix ADC VPX en AWS
-
Servidores de equilibrio de carga en diferentes zonas de disponibilidad
-
Implementar un par de alta disponibilidad VPX con direcciones IP privadas en diferentes zonas de AWS
-
Agregar el servicio de escalado automático de AWS de back-end
-
Configurar una instancia de Citrix ADC VPX para utilizar la interfaz de red SR-IOV
-
Configurar una instancia de Citrix ADC VPX para utilizar redes mejoradas con AWS ENA
-
Implementar una instancia de Citrix ADC VPX en Microsoft Azure
-
Arquitectura de red para instancias de Citrix ADC VPX en Microsoft Azure
-
Configurar varias direcciones IP para una instancia independiente de Citrix ADC VPX
-
Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC
-
Configurar una instancia de Citrix ADC VPX para usar redes aceleradas de Azure
-
Configurar nodos HA-INC mediante la plantilla de alta disponibilidad de Citrix con ILB de Azure
-
Configurar GSLB en una configuración de alta disponibilidad en espera activa
-
Configurar grupos de direcciones (IIP) para un dispositivo Citrix Gateway
-
Scripts de PowerShell adicionales para la implementación de Azure
-
Implementar una instancia de Citrix ADC VPX en Google Cloud Platform
-
Automatizar la implementación y las configuraciones de Citrix ADC
-
Soluciones para proveedores de servicios de telecomunicaciones
-
Tráfico de plano de control de equilibrio de carga basado en los protocolos de diameter, SIP y SMPP
-
Utilización del ancho de banda mediante la funcionalidad de redirección de caché
-
Optimización TCP de Citrix ADC
-
Autenticación, autorización y auditoría del tráfico de aplicaciones
-
Cómo funciona la autenticación, la autorización y la auditoría
-
Componentes básicos de configuración de autenticación, autorización y auditoría
-
Autorizar el acceso de usuario a los recursos de la aplicación
-
Citrix ADC como proxy del servicio de federación de Active Directory
-
Citrix Gateway local como proveedor de identidades para Citrix Cloud
-
Compatibilidad de configuración para el atributo de cookie SameSite
-
Configuración de autenticación, autorización y auditoría para protocolos de uso común
-
Solucionar problemas relacionados con la autenticación y la autorización
-
-
-
-
Configuración de la expresión de directiva avanzada: Introducción
-
Expresiones de directiva avanzadas: Trabajar con fechas, horas y números
-
Expresiones de directiva avanzadas: Análisis de datos HTTP, TCP y UDP
-
Expresiones de directiva avanzadas: Análisis de certificados SSL
-
Expresiones de directivas avanzadas: Direcciones IP y MAC, rendimiento, ID de VLAN
-
Expresiones de directiva avanzadas: Funciones de análisis de flujo
-
Ejemplos de resumen de expresiones y directivas de sintaxis predeterminadas
-
Ejemplos de tutoriales de directivas de sintaxis predeterminadas para reescribir
-
Migración de las reglas mod_rewrite de Apache a la sintaxis predeterminada
-
-
-
-
Traducir la dirección IP de destino de una solicitud a la dirección IP de origen
-
-
Compatibilidad con la configuración de Citrix ADC en un clúster
-
-
Administración del clúster de Citrix ADC
-
Grupos de nodos para configuraciones manchadas y parcialmente rayadas
-
Desactivación de la dirección en el plano anterior del clúster
-
Quitar un nodo de un clúster implementado mediante la agregación de vínculos de clúster
-
Supervisión de la configuración del clúster mediante SNMP MIB con enlace SNMP
-
Supervisión de errores de propagación de comandos en una implementación de clúster
-
Compatibilidad con logotipos listos para IPv6 para clústeres
-
Enlace de interfaz VRRP en un clúster activo de un solo nodo
-
Casos de configuración y uso del clúster
-
Migración de una configuración de alta disponibilidad a una configuración de clúster
-
Interfaces comunes para cliente y servidor e interfaces dedicadas para plano anterior
-
Conmutador común para cliente y servidor y conmutador dedicado para plano anterior
-
Servicios de supervisión en un clúster mediante supervisión de rutas
-
Copia de seguridad y restauración de la configuración del clúster
-
-
-
Caso de uso 1: Configurar DataStream para una arquitectura de base de datos primaria/secundaria
-
Caso de uso 2: Configurar el método de token de equilibrio de carga para DataStream
-
Caso de uso 3: Registrar transacciones MSSQL en modo transparente
-
Caso de uso 4: Equilibrio de carga específico de base de datos
-
-
Configurar Citrix ADC como un solucionador de stub-aware no validador de seguridad
-
Soporte de tramas jumbo para DNS para manejar respuestas de tamaños grandes
-
Configurar el almacenamiento en caché negativo de registros DNS
-
Equilibrio de carga global del servidor
-
Configurar entidades GSLB individualmente
-
Caso de uso: Implementación de un grupo de servicios de escalado automático basado en direcciones IP
-
-
Estado de servicio y servidor virtual de equilibrio de carga
-
Insertar atributos de cookie a las cookies generadas por ADC
-
Proteger una configuración de equilibrio de carga contra fallos
-
Administrar el tráfico del cliente
-
Configurar servidores virtuales de equilibrio de carga sin sesión
-
Reescritura de puertos y protocolos para la redirección HTTP
-
Insertar la dirección IP y el puerto de un servidor virtual en el encabezado de solicitud
-
Usar una IP de origen especificada para la comunicación de back-end
-
Establecer un valor de tiempo de espera para las conexiones de cliente inactivas
-
Administrar el tráfico del cliente sobre la base de la tasa de tráfico
-
Usar un puerto de origen de un intervalo de puertos especificado para la comunicación de back-end
-
Configurar la persistencia de IP de origen para la comunicación de back-end
-
-
Configuración avanzada de equilibrio de carga
-
Incremente gradualmente la carga en un nuevo servicio con inicio lento a nivel de servidor virtual
-
Proteja las aplicaciones en servidores protegidos contra sobretensiones de tráfico
-
Habilitar la limpieza de las conexiones de servidor virtual y servicio
-
Habilitar o inhabilitar la sesión de persistencia en los servicios TROFS
-
Habilitar la comprobación externa del estado de TCP para servidores virtuales UDP
-
Mantener la conexión de cliente para varias solicitudes de cliente
-
Inserte la dirección IP del cliente en el encabezado de solicitud
-
Usar la dirección IP de origen del cliente al conectarse al servidor
-
Configurar el puerto de origen para las conexiones del lado del servidor
-
Establecer un límite en el número de solicitudes por conexión al servidor
-
Establecer un valor de umbral para los monitores enlazados a un servicio
-
Establecer un valor de tiempo de espera para las conexiones de cliente inactivas
-
Establecer un valor de tiempo de espera para las conexiones de servidor inactivas
-
Establecer un límite en el uso del ancho de banda por parte de los clientes
-
Conservar el identificador de VLAN para la transparencia de VLAN
-
-
Configurar monitores en una configuración de equilibrio de carga
-
Configurar el equilibrio de carga para los protocolos de uso común
-
Caso de uso 3: Configurar el equilibrio de carga en el modo de retorno directo del servidor
-
Caso de uso 6: Configurar el equilibrio de carga en modo DSR para redes IPv6 mediante el campo TOS
-
Caso de uso 7: Configurar el equilibrio de carga en modo DSR mediante IP sobre IP
-
Caso de uso 8: Configurar el equilibrio de carga en modo de un brazo
-
Caso de uso 9: Configurar el equilibrio de carga en el modo en línea
-
Caso de uso 10: Equilibrio de carga de servidores del sistema de detección de intrusiones
-
Caso de uso 11: Aislamiento del tráfico de red mediante directivas de escucha
-
Caso de uso 12: Configurar XenDesktop para el equilibrio de carga
-
Caso de uso 13: Configurar XenApp para el equilibrio de carga
-
Caso de uso 14: Asistente para ShareFile para equilibrio de carga Citrix ShareFile
-
-
-
ACL extendidas y ACL6 extendidas
-
-
Compatibilidad con el protocolo TLSv1.3 tal como se define en RFC 8446
-
Tabla compatibilidad con certificados de servidor en el dispositivo ADC
-
Compatibilidad con plataformas basadas en chips Intel Coleto SSL
-
Soporte para el módulo de seguridad de hardware de red Gemalto SafeNet
-
-
-
-
-
Configuración de un túnel de conector de CloudBridge entre dos centros de datos
-
Configuración de CloudBridge Connector entre Datacenter y AWS Cloud
-
Configuración de un túnel de conector de CloudBridge entre un centro de datos y Azure Cloud
-
Configuración de CloudBridge Connector Tunnel entre Datacenter y SoftLayer Enterprise Cloud
-
Diagnóstico y solución de problemas del túnel del conector de CloudBridge
-
-
Puntos a tener en cuenta para una configuración de alta disponibilidad
-
Sincronizar archivos de configuración en una configuración de alta disponibilidad
-
Restricción del tráfico de sincronización de alta disponibilidad a una VLAN
-
Configuración de nodos de alta disponibilidad en diferentes subredes
-
Limitación de fallas causadas por monitores de ruta en modo no INC
-
Configuración del conjunto de interfaces de conmutación por error
-
Descripción del cálculo de comprobación de estado de alta disponibilidad
-
Administración de mensajes de latido de alta disponibilidad en un dispositivo Citrix ADC
-
Quitar y reemplazar un dispositivo Citrix ADC en una instalación de alta disponibilidad
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
ACL extendidas y ACL6 extendidas
Las ACL extendidas y las ACL6S extendidas proporcionan parámetros y acciones que no están disponibles con ACL simples. Puede filtrar datos sobre la base de parámetros como la dirección IP de origen, el puerto de origen, la acción y el protocolo. Puede especificar tareas para permitir un paquete, denegar un paquete o conectar un paquete.
Las ACL y ACL6S extendidas se pueden modificar después de crearlas, y puede volver a numerar sus prioridades para especificar el orden en que se evalúan.
Nota: Si configura ACL simples y extendidas, las ACL simples tienen prioridad sobre las ACL extendidas.
Se pueden realizar las siguientes acciones en ACL y ACL6S extendidas: Modificar, Aplicar, Inhabilitar, Habilitar, Quitar y Renumerar (la prioridad). Puede mostrar ACL extendidas y ACL6S para verificar su configuración, y puede mostrar sus estadísticas.
Puede configurar Citrix ADC para registrar los detalles de los paquetes que coincidan con una ACL extendida. Sin embargo, no puede registrar detalles de paquetes que coincidan con un archivo ext
Aplicación de ACL extendidas y ACL6S extendidas: A diferencia de ACL simples y ACL6S, las ACL ampliadas y ACL6S creadas en Citrix ADC no funcionan hasta que se aplican. Además, si realiza modificaciones en una ACL extendida o ACL6, como inhabilitar las ACL, cambiar una prioridad o eliminar las ACL, debe volver a aplicar las ACL extendidas o ACL6. También debe volver a aplicarlos después de habilitar el registro. El procedimiento para aplicar ACL ampliadas o ACL6s vuelve a aplicarlas todas. Por ejemplo, si ha aplicado reglas de ACL extendidas 1 a 10 y, a continuación, crea y aplica la regla 11, se aplicarán de nuevo las 10 primeras reglas.
Si una sesión tiene una ACL DENY relacionada con ella, esa sesión finaliza cuando se aplican las ACL.
Las ACL extendidas y ACL6s están habilitadas de forma predeterminada. Cuando se aplican, Citrix ADC comienza a comparar los paquetes entrantes con ellos. Sin embargo, si los inhabilita, no se utilizarán hasta que los vuelva a habilitar, incluso si se vuelven a aplicar.
Cambiarla numeración de las prioridades de las ACL extendidas y ACL6 extendidas: los números de prioridad determinan el orden en que las ACL extendidas o ACL6 se asocian con un paquete. Una ACL con un número de prioridad más bajo tiene una prioridad más alta. Se evalúa antes de que las ACL con números de prioridad más altos (prioridades más bajas), y la primera ACL que coincida con el paquete determina la acción aplicada al paquete.
Cuando crea una ACL extendida o ACL6, Citrix ADC le asigna automáticamente un número de prioridad que es un múltiplo de 10, a menos que especifique lo contrario. Por ejemplo, si dos ACL extendidas tienen prioridades de 20 y 30, respectivamente, y quiere que una tercera ACL tenga un valor entre esos números, puede asignarle un valor de 25. Si posteriormente quiere conservar el orden en el que se evalúan las ACL pero restaurar su numeración a múltiplos de 10, puede utilizar el procedimiento de renumeración.
Configuración de ACL extendidas y ACL6S extendidas
La configuración de una ACL o ACL6 extendida en un dispositivo Citrix ADC consiste en las siguientes tareas.
- Cree una ACL extendida o ACL6. Cree una ACL o ACL6 extendida para permitir, denegar o conectar un paquete. Puede especificar una dirección IP o un intervalo de direcciones IP para que coincida con las direcciones IP de origen o destino de los paquetes. Puede especificar un protocolo para que coincida con el protocolo de los paquetes entrantes.
- (Opcional) Modifique una ACL extendida o ACL6. Puede modificar las ACL extendidas o ACL6 que haya creado anteriormente. O bien, si quiere eliminar temporalmente uno de su uso, puede inhabilitarlo y volver a habilitarlo posteriormente.
- Aplique ACL o ACL6 extendidos. Después de crear, modificar, inhabilitar o volver a habilitar, o eliminar una ACL extendida o ACL6, debe aplicar las ACL extendidas o ACL6 para activarlas.
- (Opcional) Renumérense las prioridades de las ACL extendidas o ACL6. Si ha configurado ACL con prioridades que no son múltiplos de 10 y quiere restaurar la numeración a múltiplos de 10, utilice el procedimiento de renumeración.
Procedimientos CLI
Para crear una ACL extendida mediante la CLI:
En el símbolo del sistema, escriba:
- add ns acl <aclname> <aclaction> [-srcIP [<operator>] <srcIPVal>] [-srcPort [<operator>] <srcPortVal>] [-destIP [<operator>] <destIPVal>] [-destPort [<operator>] <destPortVal>] [-TTL <positive_integer>] [-srcMac <mac_addr>] [(-protocol <protocol> [-established]) | -protocolNumber <positive_integer>] [-vlan <positive_integer>] [-interface <interface_name>] [-icmpType <positive_integer> [-icmpCode <positive_integer>]] [-priority <positive_integer>] [-state ( ENABLED | DISABLED )] [-logstate ( ENABLED | DISABLED ) [-ratelimit <positive_integer>]]
- show ns acl [<aclName>]
Ejemplo:
> add ns acl restrict DENY -srcport 45-1024 -destIP 192.168.1.1 -protocol TCP
Done
Para crear una ACL6 extendida mediante la CLI:
En el símbolo del sistema, escriba:
- add ns acl6 <acl6name> <acl6action> [-srcIPv6 [<operator>] <srcIPv6Val>] [-srcPort [<operator>] <srcPortVal>] [-destIPv6 [<operator>] <destIPv6Val>] [-destPort [<operator>] <destPortVal>] [-TTL <positive_integer>] [-srcMac <mac_addr>] [(-protocol <protocol> [-established]) | -protocolNumber <positive_integer>] [-vlan <positive_integer>] [-interface <interface_name>] [-icmpType <positive_integer> [-icmpCode <positive_integer>]] [-priority <positive_integer>] [-state ( ENABLED | DISABLED )]
- show ns acl6 [<aclName>]
Ejemplo:
> add ns acl6 rule6 DENY -srcport 45-1024 -destIPv6 2001::45 -protocol TCP
Done
Para modificar una ACL extendida mediante la CLI:
Para modificar una ACL extendida, escriba el comando set ns acl, el nombre de la ACL extendida y los parámetros que se van a cambiar, con sus nuevos valores.
Para modificar una ACL6 extendida mediante la CLI:
Para modificar una ACL6 extendida, escriba el comando set ns acl6, el nombre de la ACL6 extendida y los parámetros que se van a cambiar, con sus nuevos valores.
Para inhabilitar o habilitar una ACL extendida mediante la CLI:
En el símbolo del sistema, escriba uno de los siguientes comandos:
- disable ns acl <aclname>
- enable ns acl <aclname>
Para inhabilitar o habilitar una ACL6 extendida mediante la CLI:
En el símbolo del sistema, escriba uno de los siguientes comandos:
- inhabilitar ns acl6 <aclname>
- enable ns acl6<aclname>
Para aplicar ACL extendidas mediante la CLI:
En el símbolo del sistema, escriba:
- apply ns acls
Para aplicar ACL6 extendidos mediante la CLI:
En el símbolo del sistema, escriba:
- apply ns acls6
Para renumerar las prioridades de las ACL extendidas mediante la CLI:
En el símbolo del sistema, escriba:
- renumber ns acls
Para renumerar las prioridades de los ACL6 extendidos mediante la CLI:
En el símbolo del sistema, escriba:
- renumber ns acls6
Procedimientos de GUI
Para configurar una ACL extendida mediante la GUI:
Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas, agregue una ACL extendida nueva o modifique una ACL extendida existente. Para habilitar o inhabilitar una ACL extendida existente, selecciónela y, a continuación, seleccione Habilitar o Inhabilitar en la lista Acción.
Para configurar un ACL6 extendido mediante la GUI:
Vaya a Sistema > Red > ACL y, en la ficha ACL6s extendidos, agregue una ACL6 extendida nueva o modifique una ACL6 extendida existente. Para habilitar o inhabilitar una ACL6 extendida existente, selecciónela y, a continuación, seleccione Habilitar o Inhabilitar en la lista Acción.
Para aplicar ACL extendidas mediante la GUI:
Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas, en la lista Acción, haga clic en Aplicar.
Para aplicar ACL6 extendidos mediante la GUI:
Vaya a Sistema > Red > ACL y, en la ficha ACL6s extendidos, en la lista Acción, haga clic en Aplicar.
Para renumerar las prioridades de las ACL extendidas mediante la GUI:
Desplácese hasta Sistema > Red > ACL y, en la ficha ACL extendidas, en la lista Acción, haga clic en Renumerar prioridades.
Para renumerar las prioridades de las ACL6 ampliadas mediante la GUI:
Desplácese hasta Sistema > Red > ACL y, en la ficha ACL6s extendidos, en la lista Acción, haga clic en Renumerar Prioridad (s).
Configuraciones de ejemplo
La tabla siguiente muestra ejemplos de configuración de reglas de ACL extendidas a través de la interfaz de línea de comandos: Configuraciones de ejemplo de ACL.
Registro de ACL extendidas
Puede configurar Citrix ADC para registrar los detalles de los paquetes que coincidan con ACL extendidas.
Nota: No puede habilitar el registro para ACL6 extendidos.
Además del nombre de ACL, los detalles registrados incluyen información específica del paquete, como las direcciones IP de origen y destino. La información se almacena en el archivo syslog o en el archivo nslog, dependiendo del tipo de registro global (syslog o nslog) habilitado.
El registro debe estar habilitado tanto en el nivel global como en el nivel ACL. La configuración global tiene prioridad. Para obtener más información sobre cómo habilitar el registro globalmente, consulte “.”
Para optimizar el registro, cuando varios paquetes del mismo flujo coinciden con una ACL, solo se registran los detalles del primer paquete y el contador se incrementa para cada paquete que pertenece al mismo flujo. Un flujo se define como un conjunto de paquetes que tienen los mismos valores para la dirección IP de origen, la dirección IP de destino, el puerto de origen, el puerto de destino y los parámetros de protocolo. Para evitar la inundación de mensajes de registro, Citrix ADC realiza una limitación de velocidad interna para que los paquetes que pertenecen al mismo flujo no se registren repetidamente. El número total de flujos diferentes que se pueden registrar en un momento dado está limitado a 10.000.
Nota: Debe aplicar ACL después de habilitar el registro.
Procedimientos CLI
Para configurar el registro de ACL extendido mediante la CLI:
En el símbolo del sistema, escriba los siguientes comandos para configurar el registro y verificar la configuración:
- set ns acl <aclName> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
- show ns acl [<aclName>]
Ejemplo:
> set ns acl restrict -logstate ENABLED -ratelimit 120
Warning: ACL modified, apply ACLs to activate change
Procedimientos de GUI
Para configurar el registro de ACL extendido mediante la GUI:
- Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas, abra la ACL extendida.
- Defina los siguientes parámetros:
- Estado del registro: Habilite o inhabilite el registro de eventos relacionados con la regla de ACL extendida. Los mensajes de registro se almacenan en el servidor syslog o auditlog configurado.
- Límite de velocidad de registro: Número máximo de mensajes de registro que se generarán por segundo. Si establece este parámetro, debe habilitar el parámetro Log State.
Registro ampliado de ACL6
Puede configurar el dispositivo Citrix ADC para registrar los detalles de los paquetes que coinciden con una regla ACL6 extendida. Además del nombre ACL6, los detalles registrados incluyen información específica del paquete, como las direcciones IP de origen y destino. La información se almacena en un archivo syslog o nslog, dependiendo del tipo de registro (syslog o nslog) que haya configurado en el dispositivo Citrix ADC.
Para optimizar el registro, cuando varios paquetes del mismo flujo coinciden con un ACL6, solo se registran los detalles del primer paquete. El contador se incrementa para cada otro paquete que pertenece al mismo flujo. Un flujo se define como un conjunto de paquetes que tienen los mismos valores para los siguientes parámetros:
- IP de origen
- IP de destino
- Puerto de origen
- Puerto de destino
- Protocolo (TCP o UDP)
Si un paquete entrante no es del mismo flujo, se crea un nuevo flujo. El número total de flujos diferentes que se pueden registrar en un momento dado está limitado a 10.000.
Procedimientos CLI
Para configurar el registro de una regla ACL6 extendida mediante la CLI:
-
Para configurar el registro mientras agrega la regla ACL6 extendida, en el símbolo del sistema, escriba:
- add acl6 <acl6Name> <acl6action> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
- show acl6 [<acl6Name>]
- apply acls6
- Para configurar el registro de una regla ACL6 extendida existente, escriba en el símbolo del sistema:
- set acl6 <acl6Name> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
- show acl6 [<acl6Name>]
- apply acls6
Procedimientos de GUI
Para configurar el registro de ACL6 extendido mediante la GUI:
- Vaya a Sistema > Red > ACL y, a continuación, haga clic en la ficha ACL6s extendidos.
- Establezca los siguientes parámetros al agregar o modificar una regla ACL6 extendida existente.
- Estado del registro: Habilite o inhabilite el registro de eventos relacionados con la regla ACL6s extendida. Los mensajes de registro se almacenan en el servidor syslog o auditlog configurado.
- Límite de velocidad de registro: Número máximo de mensajes de registro que se generarán por segundo. Si establece este parámetro, debe habilitar el parámetro Log State.
Ejemplo:
> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120
Done
> apply acls6
Done
Visualización de las ACL extendidas y las estadísticas de ACL6 extendidas
Puede mostrar estadísticas de ACL extendidas y ACL6.
En la siguiente tabla se enumeran las estadísticas asociadas a las ACL y ACL6 extendidas, así como sus descripciones.
Estadística | Especifica |
---|---|
Permitir accesos ACL | Paquetes que coinciden con ACL con el modo de procesamiento establecido en ALLOW. Citrix ADC procesa estos paquetes. |
NAT ACL aciertos | Paquetes que coinciden con una ACL NAT, lo que da como resultado una sesión NAT. |
Denegar accesos de ACL | Paquetes eliminados porque coinciden con ACL con el modo de procesamiento establecido en DENY. |
Golpes de ACL de puente | Paquetes que coinciden con una ACL de puente, que en modo transparente omite el procesamiento del servicio. |
ACL aciertos | Paquetes que coinciden con una ACL. |
ACL falla | Paquetes que no coinciden con ninguna ACL. |
Recuento de ACL | Número total de reglas de ACL configuradas por los usuarios. |
Recuento de ACL efectivo | Número total de ACL efectiva configurada internamente. Para una ACL extendida con un rango de direcciones IP, el dispositivo Citrix ADC crea internamente una ACL extendida para cada dirección IP. Por ejemplo, para una ACL extendida con 1000 direcciones IPv4 (rango o conjunto de datos), Citrix ADC creó internamente 1000 ACL extendidas. |
Procedimientos CLI
Para mostrar las estadísticas de todas las ACL extendidas mediante la CLI:
En el símbolo del sistema, escriba:
- stat ns acl
Para mostrar las estadísticas de todas las ACL6 extendidas mediante la CLI:
En el símbolo del sistema, escriba:
- stat ns acl6
Procedimientos de GUI
Para mostrar las estadísticas de una ACL extendida mediante la GUI:
Vaya a Sistema > Red > ACL, en la ficha ACL extendidas, seleccione la ACL extendida y haga clic en Estadísticas.
Para mostrar las estadísticas de una ACL6 extendida mediante la GUI:
Vaya a Sistema > Red > ACL, en la ficha ACL6s extendida, seleccione la ACL extendida y haga clic en Estadísticas.
ACL con estado
Una regla de ACL con estado crea una sesión cuando una solicitud coincide con la regla y permite las respuestas resultantes, incluso si estas respuestas coinciden con una regla de denegación de ACL en el dispositivo Citrix ADC. Una ACL con estado descarga el trabajo de creación de reglas de ACL/reglas de sesión de reenvío adicionales para permitir estas respuestas específicas.
Las ACL con estado se pueden utilizar mejor en una implementación de firewall perimetral de un dispositivo Citrix ADC con los siguientes requisitos:
- El dispositivo Citrix ADC debe permitir las solicitudes iniciadas desde clientes internos y las respuestas relacionadas de Internet.
- El dispositivo debe quitar los paquetes de Internet que no están relacionados con ninguna conexión de cliente.
Antes de comenzar
Antes de configurar reglas de ACL con estado, tenga en cuenta los siguientes puntos:
- El dispositivo Citrix ADC admite reglas de ACL con estado, así como reglas ACL6 con estado.
- En una configuración de alta disponibilidad, las sesiones de una regla de ACL con estado no se sincronizan con el nodo secundario.
- No puede configurar una regla ACL como con estado si la regla está enlazada a cualquier configuración NAT de Citrix ADC. Algunos ejemplos de configuraciones NAT de Citrix ADC son:
- RNAT
- NAT a gran escala (NAT44 a gran escala, DS-Lite, NAT64 a gran escala)
- NAT64
- Sesión de reenvío
- No puede configurar una regla de ACL como con estado si se establecen los parámetros TTL y Establecida para esta regla de ACL.
- Las sesiones creadas para una regla de ACL con estado continúan existiendo hasta el tiempo de espera, independientemente de las siguientes operaciones de ACL:
- Quitar ACL
- Inhabilitar ACL
- Borrar ACL
- Las ACL con estado no son compatibles con los siguientes protocolos:
- FTP activo
- TFTP
Configurar reglas de ACL IPv4 con estado
La configuración de una regla ACL con estado consiste en habilitar el parámetro stateful de una regla ACL.
Para habilitar el parámetro con estado de una regla ACL mediante la CLI:
- Para habilitar el parámetro con estado al agregar una regla de ACL, escriba en el símbolo del sistema:
- add acl <lname> ALLOW -stateful ( ENABLED | DISABLED )
- aplicar ACL
- show acl <name>
- Para habilitar el parámetro con estado de una regla de ACL existente, en el símbolo del sistema, escriba:
- set acl <name> -stateful ( ENABLED | DISABLED )
- aplicar ACL
- show acl <name>
Para habilitar el parámetro con estado de una regla ACL mediante la CLI:
- Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas.
- Habilite el parámetro Stateful al agregar o modificar una regla de ACL existente.
> add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes
Done
> apply acls
Done
> show acl
1) Name: ACL-1
Action: ALLOW Hits: 0
srcIP = 1.1.1.1
destIP
srcMac:
Protocol:
Vlan: Interface:
Active Status: ENABLED Applied Status: NOTAPPLIED
Priority: 10 NAT: NO
TTL:
Log Status: DISABLED
Forward Session: NO
Stateful: YES
Configurar reglas ACL6 con estado
La configuración de una regla ACL6 con estado consiste en habilitar el parámetro con estado de una regla ACL6.
Para habilitar el parámetro con estado de una regla ACL6 mediante la CLI:
- Para habilitar el parámetro con estado al agregar una regla ACL6, en el símbolo del sistema, escriba:
- add acl6 <name> ALLOM -stateful ( ENABLED | DISABLED )
- apply acls6
- show acl6 <name>
- Para habilitar el parámetro con estado de una regla ACL6 existente, en el símbolo del sistema, escriba:
- set acl6 <name> -stateful ( ENABLED | DISABLED )
- apply acls6
- show acl6 <name>
Para habilitar el parámetro con estado de una regla ACL6 mediante la CLI:
- Vaya a Sistema > Red > ACL y, en la ficha ACL6s extendidos.
- Habilite el parámetro Stateful al agregar o modificar una regla ACL6 existente.
> add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes
Done
> apply acls6
Done
> show acl6
1) Name: ACL6-1
Action: ALLOW Hits: 0
srcIPv6 = 1000::1
destIPv6
srcMac:
Protocol:
Vlan: Interface:
Active Status: ENABLED Applied Status: NOTAPPLIED
Priority: 10 NAT: NO
TTL:
Forward Session: NO
Stateful: YES
ACL extendidas basadas en conjunto de datos
Se requiere una gran cantidad de ACL en una empresa. Configurar y administrar un gran número de ACL es difícil y engorroso cuando requieren cambios frecuentes.
Un dispositivo Citrix ADC admite conjuntos de datos en ACL extendidas. Conjunto de datos es una función existente de un dispositivo Citrix ADC. Un conjunto de datos es una matriz de patrones indexados de tipos: número (entero), dirección IPv4 o dirección IPv6.
La compatibilidad con conjuntos de datos en ACL extendidas es útil para crear varias reglas de ACL, que requieren parámetros de ACL comunes.
Al crear una regla de ACL, en lugar de especificar los parámetros comunes, puede especificar un conjunto de datos, que incluya estos parámetros comunes.
Cualquier cambio realizado en el conjunto de datos se refleja automáticamente en las reglas de ACL que utilizan este conjunto de datos. Las ACL con conjuntos de datos son más fáciles de configurar y administrar. También son más pequeños y más fáciles de leer que las ACL convencionales.
Actualmente, el dispositivo Citrix ADC solo admite el conjunto de datos de tipo de dirección IPv4 para ACL extendidas.
Antes de comenzar
Antes de configurar reglas de ACL extendidas basadas en conjunto de datos, tenga en cuenta los siguientes puntos:
- Asegúrese de estar familiarizado con la función de conjunto de datos de un dispositivo Citrix ADC. Para obtener más información acerca de los conjuntos de datos, consulte Conjuntos de patrones y conjuntos de datos.
- El dispositivo Citrix ADC admite conjuntos de datos solo para ACL extendidas IPv4.
- El dispositivo Citrix ADC solo admite los conjuntos de datos de tipo IPv4 para ACL extendidas.
- El dispositivo Citrix ADC admite ACL extendidas basadas en Conjunto de datos para todas las configuraciones: autónomas, alta disponibilidad y clúster.
-
Para una ACL extendida con un rango de direcciones IP, el dispositivo Citrix ADC crea internamente una ACL extendida para cada dirección IP. Por ejemplo, para una ACL extendida basada en conjunto de datos IPv4 con 1000 direcciones IPv4 enlazadas al conjunto de datos, el dispositivo Citrix ADC creó internamente 1000 ACL extendidas.
-
El dispositivo Citrix ADC admite un máximo de 10K ACL extendidas. Para una ACL extendida basada en conjunto de datos IPv4 con un rango de direcciones IP enlazadas al conjunto de datos, el dispositivo Citrix ADC deja de crear ACL internas una vez que el número total de ACL extendidas alcanza el límite máximo.
-
Los siguientes contadores están presentes como parte de las estadísticas de ACL ampliadas:
- Cuenta de ACL. Número total de reglas de ACL configuradas por los usuarios.
- Recuento de ACL efectivo. Número total de reglas de ACL efectivas que el dispositivo Citrix ADC configura internamente.
Para obtener más información, consulte Visualización de las estadísticas de ACL extendidas y ACL6 extendidas.
-
- El dispositivo Citrix ADC no admite
set
ni realizaunset
operaciones para asociar/disociar conjuntos de datos con los parámetros de una ACL extendida. Puede establecer los parámetros de ACL en un conjunto de datos solo durante laadd
operación.
Configurar ACL extendidas basadas en conjunto de datos
La configuración de una regla de ACL extendida basada en conjunto de datos consta de las siguientes tareas:
-
Agregue un conjunto de datos. Un conjunto de datos es una matriz de patrones indexados de tipos: número (entero), dirección IPv4 o dirección IPv6. En esta tarea, se crea un tipo de conjunto de datos, por ejemplo, un conjunto de datos de tipo IPv4.
-
Enlazar valores al conjunto de datos. Especifique un valor o un rango de valores para el conjunto de datos. Los valores especificados deben ser del mismo tipo que el tipo de conjunto de datos. Por ejemplo, puede especificar una dirección IPv4 o un rango de direcciones IPv4 al conjunto de datos de tipo IPv4.
-
Agregue una ACL extendida y establezca los parámetros de ACL al conjunto de datos. Agregue una ACL extendida y establezca los parámetros de ACL necesarios al conjunto de datos. Esta configuración da como resultado los parámetros establecidos en los valores especificados en el conjunto de datos.
-
Aplique ACL extendidas. Aplique las ACL para activar las ACL ampliadas nuevas o modificadas.
Para agregar un conjunto de datos de directivas mediante la CLI:
En el símbolo del sistema, escriba:
- add policy dataset <name> <type>
- show policy dataset
Para enlazar un patrón al conjunto de datos mediante la CLI:
En el símbolo del sistema, escriba:
- bind policy dataset <name> <value> [-endRange <string>]
- show policy dataset
Para agregar una ACL extendida y establecer los parámetros de ACL en el conjunto de datos mediante la CLI:
En el símbolo del sistema, escriba:
- add ns acl <aclname> <aclaction> [-srcIP [<operator>] <srcIPVal>] [-srcPort [<operator>] <srcPortVal>] [-destIP [<operator>] <destIPVal>] [-destPort [<operator>] <destPortVal>] …
- show acls
Para aplicar ACL extendidas mediante la CLI:
En el símbolo del sistema, escriba:
- apply acls
Configuración de ejemplo
En la siguiente configuración de ejemplo de una ACL extendida basada en conjunto de datos, se crea un conjunto de datos IPv4 DATASET-ACL-1. Dos direcciones IPv4:192.0.2.30 y 192.0.2.60, y dos rangos de direcciones IPv4: (198.51.100.15 - 45) y (203.0.113.60-90) están vinculados a DATASET-ACL-1. A continuación, se especifica DATASET-ACL-1 para los parámetros SRCIp y DeSip de la ACL extendida ACL-1.
add policy dataset DATASET-ACL-1 IPV4
bind dataset DATASET-ACL-1 192.0.2.30
bind dataset DATASET-ACL-1 192.0.2.60
bind dataset DATASET-ACL-1 198.51.100.15 -endrange 198.51.100.45
bind dataset DATASET-ACL-1 203.0.113.60 -endrange 203.0.113.90
add ns acl ACL-1 ALLOW -srcIP DATASET-ACL-1 -destIP DATASET-ACL-1
Compartir
Compartir
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.