Citrix Gateway

Analyse EPA pour une liste d’adresses MAC autorisées

À partir de la version 13.1 de Citrix ADC, vous pouvez configurer une analyse EPA pour une adresse MAC de liste autorisée sans avoir à répertorier toutes les adresses IP de l’expression. Au lieu de cela, vous pouvez utiliser des jeux de motifs pour cette configuration.

Avant la version 13.1 de Citrix ADC, toutes les listes autorisées d’adresses MAC devaient être spécifiées dans le cadre d’une expression EPA. Par exemple ;

add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome") || sys.client_expr("proc_0_firefox") && sys.client_expr("sys_0_MAC_ADDR_anyof_1AC89C83BOF7,0250F20A777C[COMMENT: MAC Address]")/
<!--NeedCopy-->

Pour configurer l’analyse EPA pour une liste d’adresses MAC autorisées à l’aide de l’interface de ligne de commande

  1. Stockez les adresses MAC dans des ensembles de modèles.

    À l’invite de commandes, tapez ;

    add policy patset <name> [-comment <string>]
    <!--NeedCopy-->
    

    Example:

    ``` add policy patset patset1 bind policy patset patset1 1A-C8-9C-83-BO-F7 bind policy patset patset1 02-50-F2-0A-77-7C … and so on up to 3K entries. add policy patset patset2 bind policy patset patset2 1A-2B-3C-4D-5E-6A bind policy patset patset2 1A-2B-3C-4D-5E-6B … and so on up to 3K entries. ```

  2. Créez une expression de stratégie correspondante pour chaque jeu de modèles en utilisant AAA.Login.Client_Mac_Addr.equals_any ()

    À l’invite de commandes, tapez ;

    Add policy expression <name> <value> [-comment <string>] [-clientSecurityMessage <string>]
    

    Exemple :

    add policy expression exp1 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset1")
    add policy expression exp2 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset2")
    
  3. Créer des scans EPA à l’aide des expressions de stratégie configurées

    À l’invite de commandes, tapez ;

    add authentication epaAction <name>  -csecexpr <expression>
    

    Exemple :

    add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome")  || sys.client_expr("mac-addr_0_exp1") || sys.client_expr("mac-addr_0_exp2") || sys.client_expr("proc_0_firefox")/
    
    add authentication Policy epapol -rule true -action epa
    
    bind authentication vserver <name> -policy epapol -priority 10 -gotoPriorityExpression NEXT
    

Pour configurer l’analyse EPA pour une liste d’adresses MAC autorisées à l’aide de l’interface graphique

  1. Configurez un jeu de motifs. Pour plus de détails, voir Configuration d’un jeu de modèles.

  2. Créez une expression de stratégie correspondante pour chaque jeu de modèles.

    Lors de la configuration de l’expression, dans l’éditeur d’expression, sélectionnez AAA > LOGIN > CLIENT_MAC_ADDR > EQUAL_ANY (chaîne) > Jeu de motifs.

    Pour plus d’informations sur la configuration d’une expression avancée, consultez la section Configurer des expressions de stratégie avancées dans une stratégie.

  3. Créez une analyse EPA pour l’expression configurée dans les étapes précédentes. Pour plus de détails, voir Analyses avancées des points de terminaison.

Points à noter

  • La configuration d’une analyse EPA pour une liste autorisée d’adresses MAC ne s’applique qu’aux flux d’authentification nFactor.
  • Les adresses MAC doivent être configurées au format 1A-2B-3C-4D-5E-6F.
  • Le format de l’analyse EPA est mac-addr_0_<policy-expression-name>. Dans ce format, mac-addr_0 est une valeur statique et vous devez entrer le nom de l’expression de stratégie après mac-addr_0.
  • Les scans de l’EPA peuvent être séparés de manière appropriée à l’aide des symboles ( ||, &&).
  • Pour ajouter de nombreuses adresses MAC à un jeu de modèles, vous pouvez utiliser l’importation de jeux de modèles basés sur des fichiers. Il est recommandé de stocker un maximum de 3000 entrées/jeu de motifs pour des performances optimales.
  • Si des adresses MAC sont présentes dans un fichier, vous pouvez créer un jeu de modèles en utilisant l’importation de jeux de modèles basés sur des fichiers et en spécifiant le délimiteur approprié lors de l’importation.

Références

Analyse EPA pour une liste d’adresses MAC autorisées