ADC

阻止内部端口上的流量

默认情况下,即使使用 ACL 规则,Citrix ADC 设备也不会阻止某些类型的内部流量。

下表列出了 Citrix ADC 设备即使使用 ACL 规则也不会阻止的内部流量类型:

Citrix ADC 设置 协议 目标端口 目标 IP 地址
全部 TCP 3008–3011 NSIP 或 SNIP
全部 TCP 179 NSIP 或 SNIP
全部 UDP 520 NSIP 或 SNIP
高可用性 UDP 3003 NSIP
高可用性 TCP 22 NSIP
群集 UDP 7000 NSIP

此不阻止前面提到的流量类型的功能是由全局 Layer-3 Implicit ACL Allow (implicitACLAllow) 参数的默认设置指定的。

如果要使用 ACL 规则阻止前面提到的流量类型,则可以禁用此参数。高可用性设置中的设备将其合作伙伴节点(主节点或辅助节点)作为例外。它不会阻止来自该节点的流量。

要使用 CLI 禁用或启用此参数,请执行以下操作

在命令提示符下,键入:

  • set l3param -implicitACLAllow [ENABLED|DISABLED]
  • sh l3param

注意: 默认情况下,参数 implicitACLAllow 处于启用状态。

示例:

> set l3param -implicitACLAllow DISABLED
Done
<!--NeedCopy-->
阻止内部端口上的流量