Citrix Gateway

Escaneo de la EPA para obtener una lista de direcciones MAC permitidas

A partir de la versión 13.1 de Citrix ADC, puede configurar una exploración EPA para una dirección MAC de lista permitida sin tener que enumerar todas las direcciones IP en la expresión. En su lugar, puede usar conjuntos de patrones para esta configuración.

Antes de la versión 13.1 de Citrix ADC, toda la lista permitida de direcciones MAC debía especificarse como parte de una expresión de la EPA. Por ejemplo;

add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome") || sys.client_expr("proc_0_firefox") && sys.client_expr("sys_0_MAC_ADDR_anyof_1AC89C83BOF7,0250F20A777C[COMMENT: MAC Address]")/
<!--NeedCopy-->

Para configurar la exploración de la EPA para obtener una lista permitida de direcciones MAC mediante la CLI

  1. Almacene las direcciones MAC dentro de conjuntos de patrones.

    En el símbolo del sistema, escriba;

    add policy patset <name> [-comment <string>]
    <!--NeedCopy-->
    

    Example:

    ``` add policy patset patset1 bind policy patset patset1 1A-C8-9C-83-BO-F7 bind policy patset1 02-50-F2-0A-77-7C… y así sucesivamente hasta 3K entradas. add policy patset patset2 bind policy patset2 patset2 1A-2B-3C-4D-5E-6A bind policy patset2 1A-2B-3C-4D-5E-6B… y así sucesivamente hasta 3K entradas. ```

  2. Cree una expresión de directiva correspondiente para cada conjunto de patrones mediante aaa.login.client_mac_addr.equals_any ()

    En el símbolo del sistema, escriba;

    Add policy expression <name> <value> [-comment <string>] [-clientSecurityMessage <string>]
    

    Ejemplo:

    add policy expression exp1 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset1")
    add policy expression exp2 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset2")
    
  3. Cree escaneos de la EPA mediante las expresiones de directivas

    En el símbolo del sistema, escriba;

    add authentication epaAction <name>  -csecexpr <expression>
    

    Ejemplo:

    add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome")  || sys.client_expr("mac-addr_0_exp1") || sys.client_expr("mac-addr_0_exp2") || sys.client_expr("proc_0_firefox")/
    
    add authentication Policy epapol -rule true -action epa
    
    bind authentication vserver <name> -policy epapol -priority 10 -gotoPriorityExpression NEXT
    

Para configurar el análisis de la EPA para obtener una lista permitida de direcciones MAC mediante la interfaz gráfica de usuario

  1. Configure un conjunto de patrones. Para obtener más información, consulte Configuración de un conjunto de patrones.

  2. Cree una expresión de directiva correspondiente para cada conjunto de patrones.

    Al configurar la expresión, en el Editor de expresiones, seleccione AAA > LOGIN > CLIENT_MAC_ADDR > EQUAL_ANY(cadena) > Conjunto de patrones.

    Para obtener más información sobre la configuración de una expresión avanzada, consulte Configurar expresiones de directiva avanzadas en una directiva.

  3. Cree un escaneo de la EPA para la expresión configurada en los pasos anteriores. Para obtener más información, consulte Análisis avanzados de endpoints.

Puntos que tener en cuenta

  • La configuración de un escaneo EPA para obtener una lista permitida de direcciones MAC solo se aplica a los flujos de autenticación de nFactor.
  • Las direcciones MAC deben configurarse en el formato 1A-2B-3C-4D-5E-6F.
  • El formato de la exploración de la EPA es mac-addr_0_<policy-expression-name>. En este formato, mac-addr_0 es un valor estático y debe introducir el nombre de la expresión de directiva después de mac-addr_0.
  • Las exploraciones de la EPA se pueden separar adecuadamente con los símbolos ( ||, &&).
  • Para agregar muchas direcciones MAC a un conjunto de patrones, puede utilizar la importación de conjuntos de patrones basados en archivos. Se recomienda almacenar un máximo de 3000 entradas/conjunto de patrones para un rendimiento óptimo.
  • Si las direcciones MAC están presentes dentro de un archivo, puede crear un conjunto de patrones mediante la importación de conjuntos de patrones basados en archivos y especificando el delimitador apropiado durante la importación.

Referencias

Escaneo de la EPA para obtener una lista de direcciones MAC permitidas