Citrix ADC

ACL étendues et ACL6 étendues

Les ACL étendues et les ACL6 étendues fournissent des paramètres et des actions qui ne sont pas disponibles avec les ACL simples. Vous pouvez filtrer les données en fonction de paramètres tels que l’adresse IP source, le port source, l’action et le protocole. Vous pouvez spécifier des tâches pour autoriser un paquet, refuser un paquet ou pont un paquet.

Les ACL étendues et les ACL6 peuvent être modifiées après leur création, et vous pouvez renuméroter leurs priorités pour spécifier l’ordre dans lequel elles sont évaluées.

Remarque : Si vous configurez des ACL simples et étendues, les ACL simples sont prioritaires sur les ACL étendues.

Les actions suivantes peuvent être effectuées sur les ACL étendues et les ACL6 : Modifier, Appliquer, Désactiver, Activer, Supprimer et Renuméroter (priorité). Vous pouvez afficher les listes de contrôle d’accès étendues et les ACL6 pour vérifier leur configuration, et vous pouvez afficher leurs statistiques.

Vous pouvez configurer Citrix ADC pour consigner les détails des paquets qui correspondent à une liste de contrôle d’accès étendue.

Application des ACL étendues et ACL6 étendues : contrairement aux ACL simples et ACL6, les ACL étendues et ACL6 créées sur Citrix ADC ne fonctionnent pas tant qu’elles ne sont pas appliquées. De plus, si vous apportez des modifications à une ACL étendue ou à une ACL6, telles que la désactivation des ACL, la modification d’une priorité ou la suppression des ACL, vous devez réappliquer les listes ACL ou ACL6 étendues. Vous devez les réappliquer après avoir activé la journalisation. La procédure d’application des ACL étendues ou des ACL6 les réapplique toutes. Par exemple, si vous avez appliqué les règles ACL étendues 1 à 10, puis que vous créez et appliquez la règle 11, les 10 premières règles sont appliquées à nouveau.

Si une session est associée à une liste de contrôle d’accès REFUSÉE, cette session est interrompue lorsque vous appliquez les listes de contrôle d’accès.

Les ACL étendues et les ACL6 sont activées par défaut. Lorsqu’ils sont appliqués, Citrix ADC commence à comparer les paquets entrants avec eux. Toutefois, si vous les désactivez, ils ne sont pas utilisés tant que vous ne les avez pas réactivés, même s’ils sont réappliqués.

Renumérotation des priorités des ACL étendues et des ACL6 étendues : les numéros de priorité déterminent l’ordre dans lequel les ACL étendues ou ACL6 sont comparées à un paquet. Une liste de contrôle d’accès dont le numéro de priorité est inférieur a une priorité plus élevée. Il est évalué avant les ACL avec des numéros de priorité plus élevés (priorités inférieures), et la première ACL correspondant au paquet détermine l’action appliquée au paquet.

Lorsque vous créez une ACL étendue ou une ACL6, Citrix ADC lui attribue automatiquement un numéro de priorité multiple de 10, sauf indication contraire. Par exemple, si deux ACL étendues ont des priorités de 20 et 30, respectivement, et que vous souhaitez qu’une troisième ACL ait une valeur comprise entre ces nombres, vous pouvez lui attribuer une valeur de 25. Si vous souhaitez par la suite conserver l’ordre dans lequel les ACL sont évaluées, mais rétablir leur numérotation à des multiples de 10, vous pouvez utiliser la procédure de renumérotation.

Configuration des ACL étendues et des ACL6 étendues

La configuration d’une ACL étendue ou d’une ACL6 sur un Citrix ADC comprend les tâches suivantes.

  • Créez une ACL étendue ou une ACL6. Créez une ACL étendue ou une ACL6 pour autoriser, refuser ou relier un paquet. Vous pouvez spécifier une adresse IP ou une plage d’adresses IP à mettre en correspondance avec les adresses IP source ou de destination des paquets. Vous pouvez spécifier un protocole à mettre en correspondance avec le protocole des paquets entrants.
  • (Facultatif) Modifiez une ACL étendue ou une ACL6. Vous pouvez modifier les ACL étendues ou les ACL6 que vous avez précédemment créées. Ou, si vous souhaitez temporairement en mettre un hors d’usage, vous pouvez le désactiver, puis le réactiver ultérieurement.
  • Appliquez des ACL étendues ou des ACL6. Après avoir créé, modifié, désactivé ou réactivé, ou supprimé une ACL étendue ou une ACL6, vous devez appliquer les ACL ou ACL6 étendues pour les activer.
  • (Facultatif) Renuméroter les priorités des ACL étendues ou des ACL6. Si vous avez configuré des listes de contrôle d’accès avec des priorités qui ne sont pas des multiples de 10 et que vous souhaitez rétablir la numérotation en multiples de 10, utilisez la procédure de renumérotation.

Procédures CLI

Pour créer une liste de contrôle d’accès étendue à l’aide de l’interface de lignede commande :

À l’invite de commandes, tapez :

  • add ns acl <aclname> <aclaction> [-srcIP [<operator>] <srcIPVal>] [-srcPort [<operator>] <srcPortVal>] [-destIP [<operator>] <destIPVal>] [-destPort [<operator>] <destPortVal>] [-TTL <positive_integer>] [-srcMac <mac_addr>] [(-protocol <protocol> [-established]) | -protocolNumber <positive_integer>] [-vlan <positive_integer>] [-interface <interface_name>] [-icmpType <positive_integer> [-icmpCode <positive_integer>]] [-priority <positive_integer>] [-state ( ENABLED | DISABLED )] [-logstate ( ENABLED | DISABLED ) [-ratelimit <positive_integer>]]

  • show ns acl [<aclName>]

Pour créer un ACL6 étendu à l’aide de l’interface de lignede commande :

À l’invite de commandes, tapez :

  • add ns acl6 <acl6name> <acl6action> [-srcIPv6 [<operator>] <srcIPv6Val>] [-srcPort [<operator>] <srcPortVal>] [-destIPv6 [<operator>] <destIPv6Val>] [-destPort [<operator>] <destPortVal>] [-TTL <positive_integer>] [-srcMac <mac_addr>] [(-protocol <protocol> [-established]) | -protocolNumber <positive_integer>] [-vlan <positive_integer>] [-interface <interface_name>] [-icmpType <positive_integer> [-icmpCode <positive_integer>]] [-priority <positive_integer>] [-state ( ENABLED | DISABLED )]

  • show ns acl6 [<aclName>]

Pour modifier une liste de contrôle d’accès étendue à l’aide de l’interface de lignede commande :

Pour modifier une liste de contrôle d’accès étendue, tapez la commande set ns acl, le nom de l’ACL étendue et les paramètres à modifier, avec leurs nouvelles valeurs.

Pour modifier un ACL6 étendu à l’aide de l’interface de ligne de commande :

Pour modifier un ACL6 étendu, tapez la commande set ns acl6, le nom de l’ACL6 étendu et les paramètres à modifier, avec leurs nouvelles valeurs.

Pour désactiver ou activer une liste de contrôle d’accès étendue à l’aide de l’interface de lignede commande :

À l’invite de commandes, tapez l’une des commandes suivantes :

  • disable ns acl <aclname>
  • enable ns acl <aclname>

Pour désactiver ou activer un ACL6 étendu à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez l’une des commandes suivantes :

  • disable ns acl6 <aclname>
  • enable ns acl6 <aclname>

Pour appliquer des listes ACL étendues à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • apply ns acls

Pour appliquer des ACL6 étendus à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • apply ns acls6

Pour renuméroter les priorités des ACL étendues à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • renumber ns acls

Pour renuméroter les priorités des ACL6 étendus à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • renumber ns acls6

Procédures GUI

Pour configurer une liste de contrôle d’accès étendue à l’aide de l’interface graphique :

  • Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues, ajoutez une nouvelle ACL étendue ou modifiez une ACL étendue existante. Pour activer ou désactiver une liste de contrôle d’accès étendue existante, sélectionnez-la, puis sélectionnez Activer ou désactiver dans la liste Action .

Pour configurer un ACL6 étendu à l’aide de l’interface graphique :

  • Accédez à Système > Réseau > ACLs et, sous l’onglet ACL6 étendu, ajoutez un nouvel ACL6 étendu ou modifiez un ACL6 étendu existant. Pour activer ou désactiver un ACL6 étendu existant, sélectionnez-le, puis sélectionnez Activer ou Désactiver dans la liste Action .

Pour appliquer des listes de contrôle d’accès étendues à l’aide de l’interface graphique :

  • Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues, dans la liste Action, cliquez sur Appliquer.

Pour appliquer des ACL6 étendues à l’aide de l’interface graphique :

  • Accédez à Système > Réseau > ACL et, sous l’onglet ACL6 étendu, dans la liste Action, cliquez sur Appliquer.

Pour renuméroter les priorités des listes de contrôle d’accès étendues à l’aide de l’interface graphique :

  • Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues, dans la liste Action, cliquez sur Renuméroter la ou les priorités.

Pour renuméroter les priorités des ACL6 étendues à l’aide de l’interface graphique :

  • Accédez à Système > Réseau > ACL et, sous l’onglet ACL6 étendu, dans la liste Action, cliquez sur Renuméroter la ou les priorités.

Exemples de configurations

Le tableau suivant présente des exemples de configuration de règles ACL étendues via l’interface de ligne de commande : exemples de configurations ACL.

Journalisation des listes ACL étendues

Vous pouvez configurer Citrix ADC pour consigner les détails des paquets qui correspondent aux listes de contrôle d’accès étendues.

En plus du nom ACL, les détails consignés incluent des informations spécifiques au paquet, telles que les adresses IP source et de destination. Les informations sont stockées soit dans le fichier syslog, soit dans le nslog fichier, en fonction du type de logging global (syslog or nslog) activé.

La journalisation doit être activée au niveau global et au niveau ACL. Le paramètre global est prioritaire.

Pour optimiser la journalisation, lorsque plusieurs paquets du même flux correspondent à une ACL, seuls les détails du premier paquet sont consignés et le compteur est incrémenté pour chaque paquet appartenant au même flux. Un flux est défini comme un ensemble de paquets ayant les mêmes valeurs pour l’adresse IP source, l’adresse IP de destination, le port source, le port de destination et les paramètres de protocole. Pour éviter l’inondation des messages de journal, Citrix ADC effectue une limitation de débit interne afin que les paquets appartenant au même flux ne soient pas journalisés de manière répétée. Le nombre total de flux différents pouvant être enregistrés à un moment donné est limité à 10 000.

Remarque : Vous devez appliquer les listes de contrôle d’accès après avoir activé la journalisation.

Procédures CLI

Pour configurer la journalisation ACL étendue à l’aide de l’interface de lignede commande :

À l’invite de commandes, tapez les commandes suivantes pour configurer la journalisation et vérifier la configuration :

  • set ns acl <aclName> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
  • apply acls
  • show ns acl [<aclName>]

Procédures GUI

Pour configurer la journalisation ACL étendue à l’aide de l’interface graphique :

  1. Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues, ouvrez l’ACL étendue.
  2. Définissez les paramètres suivants :
    • État du journal : activez ou désactivez la journalisation des événements liés à la règle ACL étendue. Les messages de journal sont stockés sur le syslog or auditlog serveur configuré.
    • Limite du nombre de journaux : nombre maximal de messages de journal à générer par seconde. Si vous définissez ce paramètre, vous devez activer le paramètre Log State.

Exemple de configuration

> set ns acl restrict -logstate ENABLED -ratelimit 120
Warning: ACL modified, apply ACLs to activate change

> apply ns acls
Done
<!--NeedCopy-->

Journalisation des ACL6 étendues

Vous pouvez configurer l’appliance Citrix ADC pour consigner les détails des paquets qui correspondent à une règle ACL6 étendue. En plus du nom ACL6, les détails consignés incluent des informations spécifiques au paquet, telles que les adresses IP source et de destination. Les informations sont stockées dans un syslog ou dans un fichier nslog, en fonction du type de logging (syslog or nslog) que vous avez configuré dans l’appliance Citrix ADC.

Pour optimiser la journalisation, lorsque plusieurs paquets du même flux correspondent à un ACL6, seuls les détails du premier paquet sont consignés. Le compteur est incrémenté pour tous les autres paquets appartenant au même flux. Un flux est défini comme un ensemble de paquets qui ont les mêmes valeurs pour les paramètres suivants :

  • IP source
  • IP destination
  • Port source
  • Port de destination
  • Protocole (TCP ou UDP)

Si un paquet entrant ne provient pas du même flux, un nouveau flux est créé. Le nombre total de flux différents pouvant être enregistrés à un moment donné est limité à 10 000.

Procédures CLI

Pour configurer la journalisation d’une règle ACl6 étendue à l’aide de l’interface de lignede commande :

  • Pour configurer la journalisation lors de l’ajout de la règle ACL6 étendue, à l’invite de commandes, tapez :

    • add acl6 <acl6Name> <acl6action> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
    • apply acls6
    • show acl6 [<acl6Name>]
  • Pour configurer la journalisation d’une règle ACL6 étendue existante, à l’invite de commandes, tapez :

    • set acl6 <acl6Name> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
    • show acl6 [<acl6Name>]
    • apply acls6

Procédures GUI

Pour configurer la journalisation ACL6 étendue à l’aide de l’interface graphique :

  1. Accédez à Système > Réseau > ACL, puis cliquez sur l’onglet ACL6 étendu .
  2. Définissez les paramètres suivants lors de l’ajout ou de la modification d’une règle ACL6 étendue existante.
    • État du journal  : activez ou désactivez la journalisation des événements liés à la règle ACL6 étendue. Les messages de journal sont stockés dans le Syslog ou le auditlog serveur configuré.
    • Limite du nombre de journaux : nombre maximal de messages de journal à générer par seconde. Si vous définissez ce paramètre, vous devez activer le paramètre Log State .

Exemple de configuration

> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120
Done

> apply acls6
Done
<!--NeedCopy-->

Affichage des listes de contrôle d’accès étendues et des statistiques ACL6 étendues

Vous pouvez afficher des statistiques sur les listes de contrôle d’accès étendues et les ACL6.

Le tableau suivant répertorie les statistiques associées aux listes ACL étendues et aux ACL6, ainsi que leurs descriptions.

Statistique Spécifie
Allow ACL matches Paquets correspondant aux ACL avec le mode de traitement défini sur Autoriser. Citrix ADC traite ces paquets.
Matchs NAT ACL Paquets correspondant à une ACL NAT, entraînant une session NAT.
Deny ACL matches Les paquets ont été supprimés parce qu’ils correspondent aux ACL avec le mode de traitement défini sur DENY.
Matchs ACL Bridge Paquets correspondant à une liste ACL de pont, qui, en mode transparent, contourne le traitement du service.
ACL matches Paquets correspondant à une liste ACL.
ACL misses Paquets ne correspondant à aucune liste de contrôle d’accès.
ACL Count Nombre total de règles ACL configurées par les utilisateurs.
Effective ACL Count Nombre total d’ACL effectifs configurés en interne. Pour une liste de contrôle d’accès étendue avec une plage d’adresses IP, l’appliance Citrix ADC crée en interne une ACL étendue pour chaque adresse IP. Par exemple, pour une liste de contrôle d’accès étendue avec 1000 adresses IPv4 (plage ou ensemble de données), Citrix ADC crée en interne 1000 ACL étendues.

Procédures CLI

Pour afficher les statistiques de toutes les listes de contrôle d’accès étendues à l’aide de l’interface de lignede commande :

À l’invite de commandes, tapez :

  • stat ns acl

Pour afficher les statistiques de tous les ACL6 étendus à l’aide de l’interface de lignede commande :

À l’invite de commandes, tapez :

  • stat ns acl6

Procédures GUI

Pour afficher les statistiques d’une liste de contrôle d’accès étendue à l’aide de l’interface graphique :

  • Accédez à Système > Réseau > ACL, sous l’onglet ACL étendues, sélectionnez l’ACL étendue, puis cliquez sur Statistiques.

Pour afficher les statistiques d’un ACL6 étendu à l’aide de l’interface graphique :

  • Accédez à Système > Réseau > ACL, sous l’onglet ACL6s étendus, sélectionnez l’ACL étendue, puis cliquez sur Statistiques.

ACL avec état

Une règle ACL avec état crée une session lorsqu’une demande correspond à la règle et autorise les réponses obtenues même si ces réponses correspondent à une règle ACL de refus dans l’appliance Citrix ADC. Une ACL avec état décharge le travail de création de règles ACL et de règles de session de transfert supplémentaires pour autoriser ces réponses spécifiques.

Les ACL avec état peuvent être utilisées au mieux dans un déploiement de pare-feu Edge d’une appliance Citrix ADC présentant les conditions suivantes :

  • L’appliance Citrix ADC doit autoriser les demandes initiées par les clients internes et les réponses associées provenant d’Internet.
  • La solution matérielle-logicielle doit supprimer les paquets d’Internet qui ne sont liés à aucune connexion client.

Avant de commencer

Avant de configurer des règles ACL avec état, notez les points suivants :

  • L’appliance Citrix ADC prend en charge les règles ACL avec état et les règles ACL6 avec état.
  • Dans une configuration haute disponibilité, les sessions d’une règle ACL avec état ne sont pas synchronisées avec le nœud secondaire.
  • Vous ne pouvez pas configurer une règle ACL avec état si la règle est liée à une configuration NAT Citrix ADC. Voici quelques exemples de configurations NAT Citrix ADC :
    • RNAT
    • NAT à grande échelle (NAT44 à grande échelle, DS-Lite, NAT64 à grande échelle)
    • NAT64
    • Session de transfert
  • Vous ne pouvez pas configurer une règle ACL en tant qu’état si les paramètres TTL et Établi sont définis pour cette règle ACL.
  • Les sessions créées pour une règle ACL avec état continuent d’exister jusqu’à l’exode, quelles que soient les opérations ACL suivantes :
    • Supprimer ACL
    • Désactiver l’ACL
    • Effacer l’ACL
  • Les listes de contrôle d’accès avec état ne sont pas prises en charge pour les protocoles suivants :
    • FTP actif
    • TFTP

Configurer les règles ACL IPv4 avec état

La configuration d’une règle ACL avec état consiste à activer le paramètre avec état d’une règle ACL.

Pour activer le paramètre avec état d’une règle ACL à l’aide de l’interface de lignede commande :

  • Pour activer le paramètre stateful lors de l’ajout d’une règle ACL, à l’invite de commandes, tapez :

    • add acl <lname> ALLOW -stateful (ENABLED | DISABLED)
    • apply acls
    • show acl <name>
  • Pour activer le paramètre stateful d’une règle ACL existante, à l’invite de commandes, tapez :

    • set acl <name> -stateful (ENABLED | DISABLED)
    • apply acls
    • show acl <name>

Pour activer le paramètre avec état d’une règle ACL à l’aide de l’interface graphique :

  1. Accédez à Système > Réseau > ACL et, dans l’onglet ACL étendues .

  2. Activez le paramètre Stateful lors de l’ajout ou de la modification d’une règle ACL existante.

Exemple de configuration

> add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes

Done

> apply acls

Done

> show acl

1)         Name: ACL-1

    Action: ALLOW                          Hits: 0

    srcIP = 1.1.1.1

    destIP

    srcMac:

    Protocol:

    Vlan:                                 Interface:

    Active Status: ENABLED                 Applied Status: NOTAPPLIED

    Priority: 10                           NAT: NO

    TTL:

    Log Status: DISABLED

    Forward Session: NO

    Stateful: YES
<!--NeedCopy-->

Configurer les règles ACL6 avec état

La configuration d’une règle ACL6 avec état consiste à activer le paramètre avec état d’une règle ACL6.

Pour activer le paramètre avec état d’une règle ACL6 à l’aide de l’interface de lignede commande :

  • Pour activer le paramètre stateful lors de l’ajout d’une règle ACL6, à l’invite de commandes, tapez :

    • add acl6 <name> ALLOW -stateful ( ENABLED | DISABLD )
    • apply acls6
    • show acl6 <name>
  • Pour activer le paramètre stateful d’une règle ACL6 existante, à l’invite de commandes, tapez :

    • set acl6 <name> -stateful ( ENABLED | DISABLED )
    • apply acls6
    • show acl6 <name>

Pour activer le paramètre avec état d’une règle ACL6 à l’aide de l’interface graphique :

  1. Accédez à Système > Réseau > ACLs et, dans l’onglet Extended ACL6s .
  2. Activez le paramètre Stateful lors de l’ajout ou de la modification d’une règle ACL6 existante.

Exemple de configuration

>  add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes

Done

>  apply acls6

Done

> show acl6

1)    Name: ACL6-1

    Action: ALLOW                          Hits: 0

    srcIPv6 = 1000::1

    destIPv6

    srcMac:

    Protocol:

    Vlan:                                 Interface:

    Active Status: ENABLED                 Applied Status: NOTAPPLIED

    Priority: 10                           NAT: NO

    TTL:

    Forward Session: NO

    Stateful: YES
<!--NeedCopy-->

ACL étendues basées sur un jeu de données

De nombreuses ACL sont nécessaires dans une entreprise. La configuration et la gestion de nombreuses listes de contrôle d’accès sont difficiles et fastidieuses lorsqu’elles nécessitent des modifications fréquentes.

Une appliance Citrix ADC prend en charge les jeux de données dans les ACL étendues. Le jeu de données est une fonctionnalité existante d’une appliance Citrix ADC. Un jeu de données est un tableau de modèles indexés de types : nombre (entier), adresse IPv4 ou adresse IPv6.

La prise en charge des jeux de données dans les listes ACL étendues est utile pour créer plusieurs règles ACL, qui nécessitent des paramètres ACL communs.

Lors de la création d’une règle ACL, au lieu de spécifier les paramètres communs, vous pouvez spécifier un jeu de données, qui inclut ces paramètres communs.

Toutes les modifications apportées au jeu de données sont automatiquement reflétées dans les règles ACL qui utilisent ce jeu de données. Les listes de contrôle d’accès avec jeux de données sont plus faciles à configurer et à gérer. Ils sont également plus petits et plus faciles à lire que les ACL classiques.

Actuellement, l’appliance Citrix ADC prend uniquement en charge les types de jeux de données suivants pour les listes de contrôle d’accès étendues :

  • Adresse IPv4 (pour spécifier l’adresse IP source ou l’adresse IP de destination ou les deux pour une règle ACL)
  • number (pour spécifier le port source ou le port de destination ou les deux pour une règle ACL)

Avant de commencer

Avant de configurer des règles ACL étendues basées sur des jeux de données, notez les points suivants :

  • Assurez-vous que vous êtes familier avec la fonctionnalité de jeu de données d’une appliance Citrix ADC. Pour plus d’informations sur les jeux de données, voir Jeux de modèles et jeux de données.

  • L’appliance Citrix ADC prend en charge les jeux de données uniquement pour les ACL étendues IPv4.

  • L’appliance Citrix ADC prend uniquement en charge les types de jeux de données suivants pour les listes de contrôle d’accès étendues :

    • Adresse IPv4
    • nombre
  • L’appliance Citrix ADC prend en charge les listes de contrôle d’accès étendues basées sur des jeux de données pour toutes les configurations Citrix ADC : autonome, haute disponibilité et cluster.
  • Pour une liste de contrôle d’accès étendue avec des jeux de données contenant des plages, l’appliance Citrix ADC crée en interne une ACL étendue pour chaque combinaison de valeurs de jeu de données.

    • Exemple 1 : Pour une liste de contrôle d’accès étendue basée sur un jeu de données IPv4 avec 1000 adresses IPv4 liées au jeu de données, et le jeu de données est défini sur le paramètre IP source, l’appliance Citrix ADC crée en interne 1000 ACL étendues.

    • Exemple 2 : liste de contrôle d’accès étendue basée sur un jeu de données avec les paramètres suivants définis :

      • L’adresse IP source est définie sur un ensemble de données contenant 5 adresses IP.
      • L’adresse IP de destination est définie sur un ensemble de données contenant 5 adresses IP.
      • Le port source est défini sur un jeu de données contenant 5 ports.
      • Le port de destination est défini sur un jeu de données contenant 5 ports.

      L’appliance Citrix ADC crée en interne 625 listes de contrôle d’accès étendues. Chacune de ces listes de contrôle d’accès internes contient une combinaison unique des quatre valeurs de paramètres mentionnées ci-dessus.

    • L’appliance Citrix ADC prend en charge un maximum de 10 000 listes de contrôle d’accès étendues. Pour une liste de contrôle d’accès étendue basée sur un jeu de données IPv4 avec une plage d’adresses IP liées au jeu de données, l’appliance Citrix ADC cesse de créer des listes de contrôle d’accès internes une fois que le nombre total de listes ACL étendues atteint la limite maximale.

    • Les compteurs suivants sont présents dans le cadre des statistiques ACL étendues :

      • Nombre d’ACL. Nombre total de règles ACL configurées par les utilisateurs.
      • Nombre deLCA effectif. Nombre total de règles d’ACL effectives configurées par l’appliance Citrix ADC en interne.

      Pour plus d’informations, reportez-vous à la section Affichage des statistiques ACL étendues et ACL6sétendues.

  • L’appliance Citrix ADC ne prend pas en charge set et unset ne fonctionne pas pour associer/dissocier des jeux de données avec les paramètres d’une liste d’accès étendue. Vous pouvez définir les paramètres ACL sur un jeu de données uniquement pendant l’ add opération.

Configuration des listes ACL étendues basées sur les jeux de données

La configuration d’une règle ACL étendue basée sur un jeu de données comprend les tâches suivantes :

  • Ajoutez un jeu de données. Un jeu de données est un tableau de modèles indexés de types : nombre (entier), adresse IPv4 ou adresse IPv6. Dans cette tâche, vous créez un type de jeu de données, par exemple un jeu de données de type IPv4.

  • Liez des valeurs au jeu de données. Spécifiez une valeur ou une plage de valeurs dans le jeu de données. Les valeurs spécifiées doivent être du même type que le type de jeu de données. Par exemple, vous pouvez spécifier une adresse IPv4 ou une plage d’adresses IPv4 pour le jeu de données de type IPv4.

  • Ajoutez une liste d’accès étendue et définissez des paramètres ACL au jeu de données. Ajoutez une liste de contrôle d’accès étendue et définissez les paramètres ACL requis dans le jeu de données. Ce paramètre entraîne la définition des paramètres sur les valeurs spécifiées dans le jeu de données.

  • Appliquez des listes ACL étendues. Appliquez les ACL pour activer toutes les listes ACL étendues nouvelles ou modifiées.

Pour ajouter un jeu de données de stratégie à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • add policy dataset <name> <type>
  • show policy dataset

Pour lier un motif à l’ensemble de données à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • bind policy dataset <name> <value> [-endRange <string>]
  • show policy dataset

Pour ajouter une ACL étendue et définir les paramètres ACL sur le jeu de données à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • add ns acl <aclname> <aclaction> [-srcIP [<operator>] <srcIPVal>] [-srcPort [<operator>] <srcPortVal>] [-destIP [<operator>] <destIPVal>] [-destPort [<operator>] <destPortVal>] …
  • show acls

Pour appliquer des listes ACL étendues à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • apply acls

Exemple de configuration

Dans l’exemple de configuration suivant d’une liste de contrôle d’accès étendue basée sur un jeu de données, un jeu de données IPv4 DATASET-IP-ACL-1 et un jeu de données de port DATASET-PORT-ACL-2 sont créés.

Deux adresses IPv4 : 192.0.2.30 et 192.0.2.60, et deux plages d’adresses IPv4 : (198.51.100.15 - 45) et (203.0.113.60-90) sont liées à DATASET-IP-ACL-1. DATASET-IP-ACL-1 est ensuite spécifié dans les destIP paramètres srcIP et de l’ACL étendue ACL-1.

Deux numéros de port : 2001 et 2004, et deux plages de ports : (5001 - 5040) et (8001 - 8040) sont liés à DATASET-PORT-ACL-2. DATASET-PORT-ACL-2 est ensuite spécifié dans les destPort paramètres srcPort et de l’ACL étendue ACL-1.

add policy dataset DATASET-IP-ACL-1 IPV4

bind dataset DATASET-IP-ACL-1 192.0.2.30

bind dataset DATASET-IP-ACL-1 192.0.2.60

bind dataset DATASET-IP-ACL-1 198.51.100.15 -endrange 198.51.100.45

bind dataset DATASET-IP-ACL-1 203.0.113.60 -endrange 203.0.113.90

bind dataset DATASET-PORT-ACL-2 2001

bind dataset DATASET-PORT-ACL-2 2004

bind dataset DATASET-PORT-ACL-2 5001 -endrange 5040

bind dataset DATASET-PORT-ACL-2 8001 -endrange 8040


add ns acl ACL-1 ALLOW -srcIP DATASET-IP-ACL-1 -destIP DATASET-IP-ACL-1  -srcPort DATASET-PORT-ACL-2 -destPort DATASET-PORT-ACL-2
<!--NeedCopy-->