Citrix ADC

拡張 ACL および拡張 ACL 6

拡張 ACL および拡張 ACL6 は、単純な ACL では使用できないパラメータとアクションを提供します。送信元 IP アドレス、送信元ポート、アクション、プロトコルなどのパラメータに基づいてデータをフィルタリングできます。パケットを許可する、パケットを拒否する、またはパケットをブリッジするタスクを指定できます。

拡張 ACL および ACL6 は、作成後に変更できます。また、優先順位を再番号付けして、評価の順序を指定できます。

注: 簡易 ACL と拡張 ACL の両方を設定する場合、簡易 ACL は拡張 ACL よりも優先されます。

拡張 ACL および ACL6 に対して実行できるアクションは、変更、適用、無効化、有効化、削除、および番号変更(優先度)です。拡張 ACL および ACL6 を表示して設定を確認したり、統計情報を表示したりできます。

拡張 ACL と一致するパケットの詳細をログに記録するように Citrix ADC を構成できます。ただし、拡張と一致するパケットの詳細をログに記録することはできません。

拡張 ACL と拡張 ACL6 の適用: 単純な ACL および ACL6 とは異なり、Citrix ADC で作成された拡張 ACL および ACL6 は、適用されるまで機能しません。また、ACL の無効化、プライオリティの変更、ACL の削除など、拡張 ACL または ACL6 を変更した場合は、拡張 ACL または ACL6 を再適用する必要があります。ログを有効にした後でも、それらを再適用する必要があります。拡張 ACL または ACL6 を適用する手順は、これらすべてを再適用します。たとえば、拡張 ACL ルール 1 ~ 10 を適用した後、ルール 11 を作成して適用すると、最初の 10 個のルールが新たに適用されます。

セッションに DENY ACL が関連付けられている場合、ACL を適用すると、そのセッションが終了します。

拡張 ACL および ACL6 は、デフォルトで有効になっています。これらのパケットが適用されると、Citrix ADCは受信パケットとパケットを比較し始めます。ただし、無効にした場合、再度有効にするまで、再適用しても使用されません。

拡張ACL および拡張 ACL6 のプライオリティの再番号付け: プライオリティ番号によって、拡張 ACL または ACL6 がパケットに対して照合される順序が決まります。プライオリティ番号が低い ACL は、プライオリティが高くなります。プライオリティ番号が高い(プライオリティが低い)ACL の前に評価され、パケットに一致する最初の ACL によってパケットに適用されるアクションが決定されます。

拡張 ACL または ACL6 を作成すると、特に指定しない限り、Citrix ADC によって 10 の倍数の優先順位番号が自動的に割り当てられます。たとえば、2 つの拡張 ACL のプライオリティがそれぞれ 20 と 30 で、3 番目の ACL にこれらの数値の間に値を持たせたい場合は、値 25 を割り当てます。後で ACL が評価される順序を保持し、番号付けを 10 の倍数に戻す場合は、再番号付けの手順を使用できます。

拡張 ACL および拡張 ACL6 の設定

Citrix ADCで拡張 ACL または ACL6 を構成するには、次の作業を行います。

  • 拡張 ACL または ACL6 を作成します。拡張 ACL または ACL6 を作成して、パケットを許可、拒否、またはブリッジします。パケットの送信元または宛先 IP アドレスと照合する IP アドレスまたは IP アドレスの範囲を指定できます。着信パケットのプロトコルと照合するプロトコルを指定できます。
  • (任意) 拡張 ACL または ACL6 を変更します。以前に作成した拡張 ACL または ACL6 を変更できます。または、一時的に使用を停止したい場合は、無効にして、後で再度有効にすることができます。
  • 拡張 ACL または ACL6 を適用します。拡張 ACL または ACL6 を作成、変更、無効化、再有効化、または削除した後、拡張 ACL または ACL6 を適用してアクティブにする必要があります。
  • (任意) 拡張 ACL または ACL6 のプライオリティを再番号付けします。10 の倍数ではないプライオリティを持つ ACL を設定し、番号を 10 の倍数に戻す場合は、再番号付けの手順を使用します。

CLI のプロシージャ

CLI を使用して拡張 ACL を作成するには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

  • add ns acl <aclname> <aclaction> [-srcIP [<operator>] <srcIPVal>] [-srcPort [<operator>] <srcPortVal>] [-destIP [<operator>] <destIPVal>] [-destPort [<operator>] <destPortVal>] [-TTL <positive_integer>] [-srcMac \ < mac_addr>] [(-protocol <protocol> [-established]) | -protocolNumber <positive_integer>] [-vlan \ < positive_integer>] [-interface <interface_name>]][-icmpType \ < positive_integer> [-icmpCode \ < positive_integer>] [-priority <positive_integer>] [-state ( ENABLED | DISABLED )]][-logstate ( ENABLED | DISABLED ) [-ratelimit <positive_integer>]
  • show ns acl [<aclName>]

例:

> add ns acl restrict DENY -srcport 45-1024 -destIP 192.168.1.1 -protocol TCP
 Done

CLI を使用して拡張 ACL6 を作成するには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

  • add ns acl6 <acl6name> <acl6action> [-srcIPv6 [\ < 演算子>] <srcIPv6Val>] [-srcPort [<operator>] <srcPortVal>] [-destIPv6 [\ < 演算子>] <destIPv6Val>] [-destPort [<operator>] <destPortVal>] [-TTL <positive_integer>] [-srcMac \ < mac_addr>] [(-protocol <protocol> [-established]) | -protocolNumber <positive_integer>] [-vlan \ < positive_integer>] [-interface <interface_name>]][-icmpType <positive_integer> [-icmpCode <positive_integer>] [-priority <positive_integer>] [-state ( ENABLED | DISABLED )]
  • show ns acl6 [<aclName>]

例:

> add ns acl6 rule6  DENY -srcport 45-1024 -destIPv6 2001::45 -protocol TCP
 Done

CLIを使用して拡張ACLを変更するには:

拡張 ACL を変更するには、 set ns acl コマンド、拡張 ACL の名前、変更するパラメータを新しい値とともに入力します。

CLIを使用して拡張ACL6を変更するには:

拡張ACL6を変更するには、 set ns acl6 コマンド、拡張ACL6の名前、および変更するパラメータを新しい値とともに入力します。

CLI を使用して拡張 ACL を無効または有効にするには、次の手順を実行します。

コマンドプロンプトで、次のコマンドのいずれかを入力します。

  • disable ns acl <aclname>
  • enable ns acl <aclname>

CLIを使用して拡張ACL6を無効または有効にするには:

コマンドプロンプトで、次のコマンドのいずれかを入力します。

  • disable ns acl6 <aclname>
  • enable ns acl6<aclname>

CLIを使用して拡張ACLを適用するには:

コマンドプロンプトで、次のように入力します。

  • apply ns acls

CLIを使用して拡張ACL6を適用するには:

コマンドプロンプトで、次のように入力します。

  • apply ns acls6

CLIを使用して拡張ACLの優先順位を変更するには:

コマンドプロンプトで、次のように入力します。

  • renumber ns acls

CLIを使用して拡張ACL6の優先順位を変更するには:

コマンドプロンプトで、次のように入力します。

  • renumber ns acls6

GUIのプロシージャ

GUIを使用して拡張ACLを設定するには:

[システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL] タブで新しい拡張 ACL を追加するか、既存の拡張 ACL を編集します。既存の拡張 ACL を有効または無効にするには、拡張 ACL を選択し、[アクション] リストから [Enable] または [Disable] を選択します。

GUIを使用して拡張ACL6を設定するには:

[システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL6s] タブで新しい拡張 ACL6 を追加するか、既存の拡張 ACL6 を編集します。既存の拡張 ACL6 を有効または無効にするには、拡張 ACL6 を選択し、[操作] リストから [有効] または [無 効] を選択します。

GUIを使用して拡張ACLを適用するには:

[システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL] タブの [操作] リストで [適用] をクリックします。

GUIを使用して拡張ACL6を適用するには:

[システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL6s] タブの [アクション] リストで [適用] をクリックします。

GUIを使用して拡張ACLの優先順位を変更するには:

[システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL] タブの [アクション] リストで [優先順位の再番号付け] をクリックします。

GUIを使用して拡張ACL6の優先順位を変更するには:

[システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL6s] タブの [アクション] リストで [優先順位の再番号付け] をクリックします。

設定例

次の表に、コマンドラインインターフェイスを使用して拡張 ACL ルールを設定する例を示します。ACL の設定例

拡張 ACL のロギング

拡張 ACL と一致するパケットの詳細をログに記録するように Citrix ADC を構成できます。

注: 拡張 ACL6 のロギングを有効にすることはできません。

ACL 名に加えて、ログに記録される詳細には、送信元および宛先 IP アドレスなどのパケット固有の情報が含まれます。情報は、有効なグローバルログの種類 (syslog または nslog) に応じて、syslog ファイルまたは nslog ファイルに格納されます。

ロギングは、グローバルレベルと ACL レベルの両方で有効にする必要があります。グローバル設定が優先されます。ロギングをグローバルに有効にする方法の詳細については、次を参照してください。

ロギングを最適化するために、同じフローからの複数のパケットが ACL と一致すると、最初のパケットの詳細だけがログに記録され、同じフローに属するパケットごとにカウンタが増加します。フローは、送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびプロトコルパラメータに同じ値を持つパケットのセットとして定義されます。ログメッセージのフラッディングを回避するために、Citrix ADCは内部レート制限を実行し、同じフローに属するパケットが繰り返しログに記録されないようにします。任意の時点でログに記録できる異なるフローの合計数は 10,000 に制限されています。

注: ロギングを有効にした後、ACL を適用する必要があります。

CLI のプロシージャ

CLI を使用して拡張 ACL ロギングを設定するには、次の手順を実行します。

コマンドプロンプトで次のコマンドを入力して、ログを構成し、構成を確認します。

  • set ns acl <aclName> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
  • show ns acl [<aclName>]

例:

> set ns acl restrict -logstate ENABLED -ratelimit 120
Warning: ACL modified, apply ACLs to activate change

GUIのプロシージャ

GUI を使用して拡張 ACL ロギングを設定するには、次の手順を実行します。

  1. [システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL] タブで拡張 ACL を開きます。
  2. 次のパラメーターを設定します。
    • [Log State]:拡張 ACL 規則に関連するイベントのロギングを有効または無効にします。ログメッセージは、設定された syslog サーバまたは監査ログサーバに保存されます。
    • [Log Rate Limit]:1 秒間に生成されるログメッセージの最大数。このパラメータを設定する場合は、 Log State パラメータを有効にする必要があります。

拡張 ACL6 ロギング

拡張 ACL6 ルールに一致するパケットの詳細をログに記録するように Citrix ADC アプライアンスを構成できます。ACL6 名に加えて、ログに記録される詳細には、送信元および宛先 IP アドレスなどのパケット固有の情報が含まれます。この情報は、Citrix ADCアプライアンスで構成したログの種類(syslogまたはnslog)に応じて、syslogファイルまたはnslogファイルに保存されます。

ロギングを最適化するために、同じフローからの複数のパケットが ACL6 と一致する場合、最初のパケットの詳細だけがログに記録されます。カウンタは、同じフローに属する他のすべてのパケットに対して増分されます。フローは、次のパラメータに同じ値を持つパケットのセットとして定義されます。

  • 接続元IP
  • 送信先IP
  • 送信元ポート
  • 送信先port
  • プロトコル(TCP または UDP)

着信パケットが同じフローからのものでない場合は、新しいフローが作成されます。任意の時点でログに記録できる異なるフローの合計数は 10,000 に制限されています。

CLI のプロシージャ

CLI を使用して拡張 ACl6 ルールのロギングを構成するには、次の手順を実行します。

  • 拡張 ACL6 ルールの追加時にログを構成するには、コマンドプロンプトで次のように入力します。

    • add acl6 <acl6Name> <acl6action> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
    • show acl6 [<acl6Name>]
    • apply acls6
  • 既存の拡張 ACL6 ルールのログを構成するには、コマンドプロンプトで次のように入力します。
    • set acl6 <acl6Name> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
    • show acl6 [<acl6Name>]
    • apply acls6

GUIのプロシージャ

GUI を使用して拡張 ACL6 ロギングを設定するには、次の手順を実行します。

  1. [システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL6s] タブをクリックします。
  2. 既存の拡張 ACL6 ルールを追加または変更するときに、次のパラメータを設定します。
    • [Log State]:拡張 ACL6 ルールに関連するイベントのロギングを有効または無効にします。ログメッセージは、設定された syslog サーバまたは監査ログサーバに保存されます。
    • [Log Rate Limit]:1 秒間に生成されるログメッセージの最大数。このパラメーターを設定する場合は、 LogState パラメーターを有効にする必要があります。

例:

> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120
Done

> apply acls6
Done

拡張ACLおよび拡張ACL6統計の表示

拡張 ACL および ACL6 の統計情報を表示できます。

次の表に、拡張 ACL および ACL6 に関連する統計情報とその説明を示します。

統計情報 指定します
Allow ACL hits 処理モードが ALLOW に設定された ACL と一致するパケット。Citrix ADCはこれらのパケットを処理します。
NAT ACL hits NAT ACL に一致するパケット。その結果、NAT セッションが発生します。
Deny ACL hits 処理モードが DENY に設定された ACL と一致するため、ドロップされたパケット。
Bridge ACL hits ブリッジ ACL に一致するパケット。トランスペアレントモードでは、サービス処理をバイパスします。
ACL hits ACL に一致するパケット。
ACL misses ACL に一致しないパケット。
ACLカウント ユーザーによって構成されたACLルールの総数。
有効なACLカウント 内部で設定された有効なACLの総数。ある範囲のIPアドレスを持つ拡張ACLの場合、Citrix ADCアプライアンスはIPアドレスごとに拡張ACLを内部的に作成します。たとえば、1000個のIPv4アドレス(範囲またはデータセット)を持つ拡張ACLの場合、Citrix ADCは内部で1000個の拡張ACLを作成しました。

CLI のプロシージャ

CLI を使用してすべての拡張 ACL の統計情報を表示するには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

  • stat ns acl

CLI を使用してすべての拡張 ACL6 の統計情報を表示するには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

  • stat ns acl6

GUIのプロシージャ

GUI を使用して拡張 ACL の統計情報を表示するには、次の手順を実行します。

[システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL] タブで拡張 ACL を選択し、[統計] をクリックします。

GUI を使用して拡張 ACL6 の統計情報を表示するには、次の手順を実行します。

[システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL6s] タブで拡張 ACL を選択し、[統計] をクリックします。

ステートフル ACL

ステートフルACLルールは、要求がルールに一致したときにセッションを作成し、Citrix ADCアプライアンスの拒否ACLルールに一致した場合でも、結果の応答を許可します。ステートフル ACL は、これらの特定の応答を許可するための追加の ACL ルール/転送セッションルールを作成する作業の負荷を軽減します。

ステートフルACLは、次の要件を持つCitrix ADCアプライアンスのエッジファイアウォール展開に最適です。

  • Citrix ADCアプライアンスは、内部クライアントからの要求とインターネットからの関連する応答を許可する必要があります。
  • アプライアンスは、クライアント接続に関係のないパケットをインターネットからドロップする必要があります。

はじめに

ステートフル ACL 規則を設定する前に、次の点に注意してください。

  • Citrix ADCアプライアンスは、ステートフルACL6ルールだけでなく、ステートフルACLルールもサポートしています。
  • 高可用性セットアップでは、ステートフル ACL ルールのセッションは 2 次ノードに同期されません。
  • ルールがCitrix ADC NAT構成にバインドされている場合、ACLルールをステートフルとして構成することはできません。Citrix ADC NAT構成の例を次に示します。
    • RNAT
    • 大規模NAT(大規模NAT44、DSライト、大規模NAT64)
    • NAT64
    • 転送セッション
  • この ACL ルールに TTL パラメータと Established パラメータが設定されている場合、ACL ルールをステートフルとして設定することはできません。
  • ステートフル ACL ルール用に作成されたセッションは、次の ACL 操作に関係なくタイムアウトするまで存続します。
    • ACL の削除
    • ACL の無効化
    • ACL をクリア
  • ステートフル ACL は、次のプロトコルではサポートされません。
    • アクティブな FTP
    • TFTP

ステートフル IPv4 ACL ルールの設定

ステートフル ACL ルールの設定は、ACL ルールのステートフルパラメータを有効にすることで構成されます。

CLI を使用して ACL ルールのステートフルパラメータを有効にするには、次の手順を実行します。

  • ACL ルールの追加中にステートフルパラメータを有効にするには、コマンドプロンプトで次のように入力します。
    • add acl <lname> ALLOW -stateful ( ENABLED | DISABLED )
    • apply acls
    • show acl <name>
  • 既存の ACL ルールのステートフルパラメータを有効にするには、コマンドプロンプトで次のように入力します。
    • set acl <name> -stateful ( ENABLED | DISABLED )
    • apply acls
    • show acl <name>

CLI を使用して ACL ルールのステートフルパラメータを有効にするには、次の手順を実行します。

  1. [システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL] タブに移動します。
  2. 既存の ACL ルールを追加または変更するときに、 Stateful パラメータを有効にします。
    > add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes

    Done

    > apply acls

    Done

    > show acl

    1)         Name: ACL-1

      Action: ALLOW                          Hits: 0

      srcIP = 1.1.1.1

      destIP

      srcMac:

      Protocol:

      Vlan:                                 Interface:

      Active Status: ENABLED                 Applied Status: NOTAPPLIED

      Priority: 10                           NAT: NO

      TTL:

      Log Status: DISABLED

      Forward Session: NO

     Stateful: YES

ステートフル ACL6 ルールの設定

ステートフル ACL6 ルールの設定は、ACL6 ルールのステートフルパラメータを有効にすることで構成されます。

CLI を使用して ACL6 ルールのステートフルパラメータを有効にするには、次の手順を実行します。

  • ACL6 ルールの追加中にステートフルパラメータを有効にするには、コマンドプロンプトで次のように入力します。
    • add acl6 <name> ALLOW -stateful ( ENABLED | DISABLD )
    • apply acls6
    • show acl6 <name>
  • 既存の ACL6 ルールのステートフルパラメータを有効にするには、コマンドプロンプトで次のように入力します。
    • set acl6 <name> -stateful ( ENABLED | DISABLED )
    • apply acls6
    • show acl6 <name>

CLI を使用して ACL6 ルールのステートフルパラメータを有効にするには、次の手順を実行します。

  1. [システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL6s] タブに移動します。
  2. 既存の ACL6 ルールを追加または変更するときに、 Stateful パラメータを有効にします。
    >  add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes

    Done

    >  apply acls6

    Done

    > show acl6

    1)    Name: ACL6-1

      Action: ALLOW                          Hits: 0

      srcIPv6 = 1000::1

      destIPv6

      srcMac:

      Protocol:

      Vlan:                                 Interface:

      Active Status: ENABLED                 Applied Status: NOTAPPLIED

      Priority: 10                           NAT: NO

      TTL:

     Forward Session: NO

     Stateful: YES

データセットベースの拡張ACL

企業では多数のACLが必要です。頻繁な変更が必要な場合、多数のACLの構成と管理は困難で面倒です。

Citrix ADCアプライアンスは、拡張ACLのデータセットをサポートします。データセットは、Citrix ADCアプライアンスの既存の機能です。データセットは、数値(整数)、IPv4アドレス、またはIPv6アドレスのタイプのインデックス付きパターンの配列です。

拡張ACLでのデータセットのサポートは、共通のACLパラメーターを必要とする複数のACLルールを作成する場合に役立ちます。

ACLルールの作成中に、共通パラメーターを指定する代わりに、これらの共通パラメーターを含むデータセットを指定できます。

データセットに加えられた変更は、このデータセットを使用しているACLルールに自動的に反映されます。データセットを使用したACLは、構成と管理が簡単です。また、従来のACLよりも小さく、読みやすくなっています。

現在、Citrix ADCアプライアンスは、拡張ACLのIPv4アドレスタイプデータセットのみをサポートしています。

はじめに

データセットベースの拡張ACLルールを設定する前に、次の点に注意してください。

  • Citrix ADCアプライアンスのデータセット機能に精通していることを確認してください。データセットの詳細については、 パターンセットとデータセットを参照してください。
  • Citrix ADCアプライアンスは、IPv4拡張ACLのデータセットのみをサポートします。
  • Citrix ADCアプライアンスは、拡張ACLのIPv4タイプのデータセットのみをサポートします。
  • Citrix ADCアプライアンスは、スタンドアロン、高可用性、クラスターのすべてのセットアップでデータセットベースの拡張ACLをサポートします。
  • ある範囲のIPアドレスを持つ拡張ACLの場合、Citrix ADCアプライアンスはIPアドレスごとに拡張ACLを内部的に作成します。たとえば、データセットにバインドされた1000個のIPv4アドレスを持つIPv4データセットベースの拡張ACLの場合、Citrix ADCアプライアンスは内部で1000個の拡張ACLを作成しました。

    • Citrix ADCアプライアンスは、最大10Kの拡張ACLをサポートします。データセットにバインドされたIPアドレスの範囲を持つIPv4データセットベースの拡張ACLの場合、拡張ACLの総数が最大制限に達すると、Citrix ADCアプライアンスは内部ACLの作成を停止します。

    • 次のカウンタは、拡張ACL統計の一部として存在します。

      • ACLカウント。ユーザーによって構成されたACLルールの総数。
      • 有効なACLカウント。Citrix ADCアプライアンスが内部で構成する有効なACLルールの総数。

      詳しくは、「拡張ACLおよび拡張ACL6統計の表示」を参照してください。

  • Citrix ADCアプライアンスは、次の set および unset 操作をサポートしていません。 associating/dissociating 拡張ACLのパラメーターを持つデータセット。ACLパラメータをデータセットに設定できるのは、 add 操作中のみです。

データセットベースの拡張ACLを構成する

データセットベースの拡張ACLルールの設定は、次のタスクで構成されています。

  • データセットを追加します。データセットは、数値(整数)、IPv4アドレス、またはIPv6アドレスのタイプのインデックス付きパターンの配列です。このタスクでは、タイプIPv4のデータセットなどのタイプのデータセットを作成します。

  • 値をデータセットにバインドします。データセットに値または値の範囲を指定します。指定する値は、データセットタイプと同じタイプである必要があります。たとえば、タイプIPv4のデータセットにIPv4アドレスまたはIPv4アドレスの範囲を指定できます。

  • 拡張ACLを追加し、ACLパラメーターをデータセットに設定します。拡張ACLを追加し、必要なACLパラメーターをデータセットに設定します。この設定により、パラメーターはデータセットで指定された値に設定されます。

  • 拡張ACLを適用します。ACLを適用して、新規または変更された拡張ACLをアクティブにします。

CLIを使用してポリシーデータセットを追加するには:

コマンドプロンプトで、次のように入力します。

  • ポリシーデータセットを追加する < 名前> < タイプ>
  • ポリシーデータセットを表示

CLIを使用してパターンをデータセットにバインドするには:

コマンドプロンプトで、次のように入力します。

  • ポリシーデータセットをバインドする < 名前> < 値> [-endRange \ < 文字列>]
  • ポリシーデータセットを表示

CLIを使用して拡張ACLを追加し、ACLパラメーターをデータセットに設定するには:

コマンドプロンプトで、次のように入力します。

  • add ns acl <aclname> <aclaction> [-srcIP [<operator>] <srcIPVal>] [-srcPort [<operator>] <srcPortVal>] [-destIP [<operator>] <destIPVal>] [-destPort [<operator>] <destPortVal>] …
  • aclsを表示

CLI を使用して拡張 ACL を適用するには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

  • apply acls

構成例

データセットベースの拡張ACLの次のサンプル構成では、IPv4データセットDATASET-ACL-1が作成されます。2つのIPv4アドレス:192.0.2.30と192.0.2.60、および2つのIPv4アドレス範囲:(198.51.100.15-45)と(203.0.113.60-90)がDATASET-ACL-1にバインドされています。次に、DATASET-ACL-1が、拡張ACLACL-1のsrcIPおよびdestIPパラメーターに指定されます。

add policy dataset DATASET-ACL-1 IPV4

bind dataset DATASET-ACL-1 192.0.2.30

bind dataset DATASET-ACL-1 192.0.2.60

bind dataset DATASET-ACL-1 198.51.100.15 -endrange 198.51.100.45

bind dataset DATASET-ACL-1 203.0.113.60 -endrange 203.0.113.90

add ns acl ACL-1 ALLOW -srcIP DATASET-ACL-1 -destIP DATASET-ACL-1
拡張 ACL および拡張 ACL 6