ADC

シンプル ACL とシンプル ACL 6

単純な ACL または単純な ACL6 では、パラメータはほとんど使用されないため、IP パケットをドロップするようにだけ設定できます。パケットは、送信元 IP アドレス、およびオプションでプロトコル、宛先ポート、またはトラフィックドメインに基づいてドロップできます。

単純な ACL または単純な ACL6 を作成する場合、存続可能時間(TTL)を秒単位で指定できます。この時間が経過すると、ACL が期限切れになります。TTL を持つ ACL は、構成を保存するときに保存されません。簡易 ACL と簡易 ACL6 を表示して設定を確認したり、統計情報を表示したりできます。

簡易 ACL および簡易 ACL6 の設定

Citrix ADCで単純ACLまたは単純ACL6を構成するには、次の作業が含まれます。

  • 単純な ACL または単純な ACL6 を作成します。送信元 IP アドレス、およびオプションでプロトコル、宛先ポート、またはトラフィックドメインに基づいてパケットをドロップ(拒否)するシンプル ACL またはシンプルな ACL 6 を作成します。
  • 単純な ACL または単純な ACL6 を削除します。これらの ACL は、一度作成すると変更できません。単純な ACL または単純な ACL6 を変更する必要がある場合は、それを削除して作成する必要があります。

CLI のプロシージャ

CLI を使用して単純な ACL を作成するには、次の手順を実行します。

コマンドプロンプトで入力します。

-  ns simpleacl <aclname> DENY -srcIP <ip_addr> [-destPort <port> -protocol ( TCP | UDP )] [-TTL <positive_integer>]
-  show ns simpleacl [<aclname>]
<!--NeedCopy-->

例:

> add simpleacl rule1 DENY -srcIP 10.102.29.5 -TTL 600
Done
<!--NeedCopy-->

CLI を使用して単純な ACL6 を作成するには、次の手順を実行します。

コマンドプロンプトで入力します。

-  add ns simpleacl6 <aclname> DENY - srcIPv6 <ipv6_addr|null> [-destPort <port> -protocol ( TCP | UDP )] [-TTL <positive_integer>]
-  show ns simpleacl6 [<aclname>]
<!--NeedCopy-->

例:

>  add ns simpleacl6 rule1 DENY –srcIPv6 3ffe:192:168:215::82 -destPort 80 -Protocol TCP -TTL 9000
 Done
<!--NeedCopy-->

CLI を使用して単純な ACL を 1 つ削除するには、次の手順を実行します。

コマンドプロンプトで入力します。

  • rm ns simpleacl <aclname>
  • show ns simpleacl

CLI を使用して単純な ACL6 を 1 つ削除するには、次の手順を実行します。

コマンドプロンプトで入力します。

  • rm ns simpleacl6<aclname>
  • show ns simpleacl6

CLI を使用して単純な ACL をすべて削除するには、次の手順を実行します。

コマンドプロンプトで入力します。

  • clear ns simpleacl

  • show ns simpleacl

CLI を使用して単純な ACL6 をすべて削除するには、次の手順を実行します。

コマンドプロンプトで入力します。

  • clear ns simpleacl6

  • show ns simpleacl6

GUIのプロシージャ

GUI を使用して単純な ACL を作成するには、次の手順を実行します。

[ システム] > [ネットワーク] > [ACL ] に移動し、[ シンプル ACL ] タブで、新しいシンプル ACL を追加します。

GUI を使用して単純な ACL6 を作成するには、次の手順を実行します。

[ システム] > [ネットワーク] > [ACL ] に移動し、[ シンプル ACL6 ] タブで、新しいシンプル ACL6 を追加します。

GUI を使用して単純な ACL を 1 つ削除するには、次の手順を実行します。

[ システム] > [ネットワーク] > [ACL ] に移動し、[ シンプル ACL ] タブでシンプル ACL を削除します。

GUI を使用して単純な ACL6 を 1 つ削除するには、次の手順を実行します。

[ システム] > [ネットワーク] > [ACL ] に移動し、[ シンプル ACL6 ] タブで、単純な ACL6 を削除します。

GUI を使用して単純な ACL をすべて削除するには、次の手順を実行します。

  1. [ システム] > [ネットワーク] > [ACL] に移動します。
  2. [簡易 ACL] タブの [操作] ボックスの一覧で、[クリア] をクリックします。

GUI を使用して単純な ACL6 をすべて削除するには、次の手順を実行します。

  1. [ システム] > [ネットワーク] > [ACL] に移動します。
  2. [簡易 ACL6s] タブの [操作] ボックスの一覧で、[クリア] をクリックします。

簡易 ACL および簡易 ACL6 統計情報の表示

単純な ACL(または簡易 ACL6)統計情報を表示できます。これには、一致の数、ミス数、および設定された単純 ACL の数が含まれます。

次の表に、シンプル ACL およびシンプル ACL 6 について表示できる統計情報を示します。

統計 内容
ACLマッチ ACL に一致するパケット
ACL misses ACL に一致しないパケット
ACL count 設定された ACL の数

CLI のプロシージャ

CLI を使用して単純な ACL 統計情報を表示するには、次の手順を実行します。

コマンドプロンプトで入力します。

  • stat ns simpleacl

例:

> stat ns simpleacl

SimpleACL Statistics

                                          Rate (/s)                Total
SimpleACL hits                                     0                    0
SimpleACL misses                                   0                51872
SimpleACLs count                                  --                    2
Done
<!--NeedCopy-->

CLI を使用して単純な ACL6 統計情報を表示するには、次の手順を実行します。

コマンドプロンプトで入力します。

  • stat ns simpleacl6

GUIのプロシージャ

GUI を使用して単純な ACL 統計情報を表示するには、次の手順を実行します。

[システム] > [ネットワーク] > [ACL] に移動し、[シンプル ACL] タブで ACL を選択し、[統計] をクリックします。

GUI を使用して単純な ACL6 統計情報を表示するには、次の手順を実行します。

[ システム] > [ネットワーク] > [ACL ] に移動し、[ シンプル ACL6 ] タブで単純な ACL6 を選択し、[ 統計] をクリックします。

確立された接続の終了

単純ACLまたは単純ACL6の場合、Citrix ADCは、ACLで指定された条件に一致する新しい接続をブロックします。ACL が作成される前に確立された既存の接続に関連するパケットはブロックされません。既存の ACL と一致する以前に確立された接続を終了するには、CLI または GUI からフラッシュ操作を実行します。

フラッシュは、次の場合に役立ちます。

  • ブラックリストに登録されたIPアドレスのリストを受け取り、それらのIPアドレスがCitrix ADCにアクセスすることを完全にブロックしたい場合。この場合、単純な ACL または単純な ACL6 を作成して、これらの IP アドレスからの新しい接続をブロックし、それらのアドレスに関連付けられた既存の接続をフラッシュします。
  • 特定のネットワークからの多数の接続を 1 つずつ終端する時間をとらずに終端したい。

はじめに

  • フラッシュを実行すると、Citrix ADCは確立されているすべての接続を検索し、ADCで構成された単純なACLのいずれかに指定された条件に一致する接続を終了します。

  • 複数の単純な ACL を作成し、それらのいずれかに一致する既存の接続をフラッシュする場合は、まずすべての単純な ACL を作成し、フラッシュを 1 回だけ実行することで、パフォーマンスへの影響を最小限に抑えることができます。

CLI のプロシージャ

CLI を使用して、設定したシンプル ACL のいずれかに一致する確立済みの IPv4 接続をすべて終了するには、次の手順を実行します。

コマンドプロンプトで入力します。

  • flush simpleacl -estSessions

CLI を使用して、設定した単純な ACL6 のいずれかに一致する確立済みの IPv6 接続をすべて終了するには、次の手順を実行します。

コマンドプロンプトで入力します。

  • flush simpleacl6 -estSessions

GUIのプロシージャ

GUI を使用して、設定したシンプル ACL のいずれかに一致する確立済みの IPv4 接続をすべて終了するには、次の手順を実行します。

  1. [ システム] > [ネットワーク] > [ACL] に移動します。
  2. [簡易 ACL] タブの [操作] ボックスの一覧で、[フラッシュ] をクリックします。

GUI を使用して、設定した単純な ACL6 のいずれかに一致する確立済みの IPv6 接続をすべて終了するには、次の手順を実行します。

  1. [ システム] > [ネットワーク] > [ACL] に移動します。
  2. [簡易 ACL6s] タブの [操作] ボックスの一覧で、[フラッシュ] をクリックします。
シンプル ACL とシンプル ACL 6