Citrix ADC

ACL simples et ACL6 simples

Un ACL simple ou ACL6 simple utilise peu de paramètres et peut être configuré uniquement pour supprimer des paquets IP. Les paquets peuvent être supprimés en fonction de leur adresse IP source et, éventuellement, de leur protocole, de leur port de destination ou de leur domaine de trafic.

Lors de la création d’une ACL simple ou ACL6 simple, vous pouvez spécifier un délai de vie (TTL), en secondes, après quoi l’ACL expire. Les listes ACL avec TTL ne sont pas enregistrées lorsque vous enregistrez la configuration. Vous pouvez afficher des ACL simples et des ACL6 simples pour vérifier leur configuration, et vous pouvez afficher leurs statistiques.

Configuration des ACL simples et des ACL6 simples

La configuration d’une ACL simple ou d’un ACL6 simple sur un Citrix ADC peut inclure les tâches suivantes.

  • Créez des ACL simples ou des ACL6simples. Création de listes ACL simples ou ACL6 simples pour supprimer (refuser) des paquets sur la base de leur adresse IP source et, éventuellement, de leur protocole, de leur port de destination ou de leur domaine de trafic.
  • Supprimez les ACL simples ou les ACL6simples. Ces listes de contrôle d’accès ne peuvent pas être modifiées une fois créées. Si vous devez modifier une ACL simple ou ACL6 simple, vous devez la supprimer et en créer une nouvelle.

Procédures CLI

Pour créer une liste ACL simple à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • add ns simpleacl <aclname> DENY -srcIP <ip_addr> [-destPort<port> -protocol ( TCP | UDP )] [-TTL <positive_integer>]
  • montre ns simpleacl\ <aclname>[]

Exemple :

> add simpleacl rule1 DENY -srcIP 10.102.29.5 -TTL 600
Done

Pour créer un ACL6 simple à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • add ns simpleacl6 <aclname> DENY -srcIPv6 <ipv6_addr|null> [-destPort<port> -protocol ( TCP | UDP )] [-TTL <positive_integer>]
  • montre ns simpleacl6\<aclname>[]

Exemple :

>  add ns simpleacl6 rule1 DENY –srcIPv6 3ffe:192:168:215::82 -destPort 80 -Protocol TCP -TTL 9000
 Done

Pour supprimer une seule liste ACL simple à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • rm ns simpleacl <aclname>
  • show ns simpleacl

Pour supprimer un seul ACL6 simple à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • rm ns simpleacl6<aclname>
  • show ns simpleacl6

Pour supprimer toutes les ACL simples à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • clear ns simpleacl

  • show ns simpleacl

Pour supprimer tous les ACL6 simples à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • clear ns simpleacl6

  • show ns simpleacl6

Procédures GUI

Pour créer une ACL simple à l’aide de l’interface graphique :

Accédez à Système > Réseau > ACL et, sous l’onglet ACL simples, ajoutez une nouvelle ACL simple.

Pour créer un ACL6 simple à l’aide de l’interface graphique :

Accédez à Système > Réseau > ACL et, sous l’onglet ACL6s simples, ajoutez une nouvelle ACL6 simple.

Pour supprimer une seule ACL simple à l’aide de l’interface graphique :

Accédez à Système > Réseau > ACL et, sous l’onglet ACL simples, supprimez la liste ACL simple.

Pour supprimer un seul ACL6 simple à l’aide de l’interface graphique :

Accédez à Système > Réseau > ACL et, sous l’onglet Simple ACL6s, supprimez l’ACL6 simple.

Pour supprimer toutes les ACL simples à l’aide de l’interface graphique :

  1. Accédez à Système > Réseau > ACL.
  2. Sous l’onglet ACL simples, dans la liste Action, cliquez sur Effacer .

Pour supprimer tous les ACL6 simples à l’aide de l’interface graphique :

  1. Accédez à Système > Réseau > ACL.
  2. Sous l’onglet Simple ACL6s, dans la liste Action, cliquez sur Effacer .

Affichage des statistiques ACL simples et ACL6 simples

Vous pouvez afficher les statistiques ACL simples (ou ACL6 simple), qui incluent le nombre de visites, le nombre d’erreurs et le nombre de listes ACL simples configurées.

Le tableau suivant décrit les statistiques que vous pouvez afficher pour les ACL simples et les ACL6 simples.

Statistiques Indique
Accès ACL Paquets correspondant à une liste ACL
Échecs ACL Paquets ne correspondant à aucune ACL
Nombre d’ACL Nombre de listes de contrôle d’accès configurées

Procédures CLI

Pour afficher des statistiques ACL simples à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • stat ns simpleacl

Exemple :

> stat ns simpleacl

SimpleACL Statistics

                                          Rate (/s)                Total
SimpleACL hits                                     0                    0
SimpleACL misses                                   0                51872
SimpleACLs count                                  --                    2
Done

Pour afficher des statistiques ACL6 simples à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • stat ns simpleacl6

Procédures GUI

Pour afficher des statistiques ACL simples à l’aide de l’interface graphique :

Accédez à Système > Réseau > ACL et, sous l’onglet ACL simples, sélectionnez l’ACL et cliquez sur Statistiques .

Pour afficher des statistiques ACL6 simples à l’aide de l’interface graphique :

Accédez à Système > Réseau > ACL et, sous l’onglet Simple ACL6s, sélectionnez l’ACL6 simple et cliquez sur Statistiques .

Terminer les connexions établies

Pour une ACL simple ou ACL6 simple, Citrix ADC bloque toutes les nouvelles connexions qui correspondent aux conditions spécifiées dans l’ACL. Les paquets liés aux connexions existantes qui ont été établies avant la création de l’ACL ne sont pas bloqués. Pour mettre fin aux connexions précédemment établies qui correspondent à une liste ACL existante, vous pouvez exécuter une opération de vidage à partir de l’interface de ligne de commande ou de l’interface graphique.

Flush peut être utile dans les cas suivants :

  • Vous recevez une liste d’adresses IP sur liste noire et souhaitez bloquer complètement ces adresses IP d’accéder à Citrix ADC. Dans ce cas, vous créez des ACL simples ou des ACL6 simples pour bloquer toute nouvelle connexion à partir de ces adresses IP, puis vider toutes les connexions existantes associées à ces adresses.
  • Vous souhaitez mettre fin à un grand nombre de connexions à partir d’un réseau particulier sans prendre le temps de les terminer une par une.

Avant de commencer

  • Lorsque vous exécutez vidage, Citrix ADC recherche toutes ses connexions établies et met fin à celles qui correspondent aux conditions spécifiées dans l’une des listes ACL simples configurées sur ADC.

  • Si vous envisagez de créer plusieurs listes ACL simples et de vider les connexions existantes qui correspondent à l’une d’entre elles, vous pouvez réduire l’effet sur les performances en créant d’abord toutes les listes ACL simples, puis en exécutant une seule fois le vidage.

Procédures CLI

Pour mettre fin à toutes les connexions IPv4 établies qui correspondent à l’une de vos ACL simples configurées à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • flush simpleacl -estSessions

Pour mettre fin à toutes les connexions IPv6 établies qui correspondent à l’un de vos ACL6 simples configurés à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • flush simpleacl6 -estSessions

Procédures GUI

Pour mettre fin à toutes les connexions IPv4 établies qui correspondent à l’une de vos ACL simples configurées à l’aide de l’interface graphique :

  1. Accédez à Système > Réseau > ACL.
  2. Sous l’onglet ACL simples, dans la liste Action, cliquez sur Vider .

Pour mettre fin à toutes les connexions IPv6 établies qui correspondent à l’un de vos ACL6 simples configurés à l’aide de l’interface graphique :

  1. Accédez à Système > Réseau > ACL.
  2. Sous l’onglet Simple ACL6s, dans la liste Action, cliquez sur Vider .

ACL simples et ACL6 simples