Citrix ADC

简单 ACL 和简单 ACL6

简单 ACL 或简单 ACL6 使用的参数很少,只能配置为丢弃 IP 数据包。可以根据其源 IP 地址以及协议、目标端口或流量域删除数据包。

创建简单 ACL 或简单 ACL6 时,您可以指定生存时间 (TTL)(以秒为单位),然后 ACL 过期。保存配置时,不会保存带 TTL 的 ACL。您可以显示简单 ACL 和简单 ACL6 来验证它们的配置,还可以显示它们的统计信息。

配置简单 ACL 和简单 ACL6

在 Citrix ADC 上配置简单 ACL 或简单 ACL6 可包括以下任务。

  • 创建简单 ACL 或简单 ACL6。创建简单 ACL 或简单 ACL6 以根据其源 IP 地址以及协议、目标端口或流量域(可选)删除(拒绝)数据包。
  • 删除简单 ACL 或简单 ACL6。这些 ACL 一旦创建就无法修改。如果您需要修改简单 ACL 或简单 ACL6,则必须将其删除并创建一个新的 ACL。

CLI 过程

要使用 CLI 创建简单 ACL,请执行以下操作:

在命令提示窗口中,键入:

  • add ns simpleacl <aclname> DENY -srcIP <ip_addr> [-destPort<port> -protocol ( TCP | UDP )] [-TTL <positive_integer>]
  • show ns simpleacl [<aclname>]

示例:

> add simpleacl rule1 DENY -srcIP 10.102.29.5 -TTL 600
Done

要使用 CLI 创建简单的 ACL6,请执行以下操作:

在命令提示窗口中,键入:

  • add ns simpleacl6 <aclname> DENY -srcIPv6 <ipv6_addr|null> [-destPort<port> -protocol ( TCP | UDP )] [-TTL <positive_integer>]
  • show ns simpleacl6 [<aclname>]

示例:

>  add ns simpleacl6 rule1 DENY –srcIPv6 3ffe:192:168:215::82 -destPort 80 -Protocol TCP -TTL 9000
 Done

要使用 CLI 删除单个简单 ACL,请执行以下操作:

在命令提示窗口中,键入:

  • rm ns simpleacl <aclname>
  • show ns simpleacl

要使用 CLI 删除单个简单的 ACL6,请执行以下操作:

在命令提示窗口中,键入:

  • rm ns simpleacl6<aclname>
  • show ns simpleacl6

要使用 CLI 删除所有简单 ACL,请执行以下操作:

在命令提示窗口中,键入:

  • clear ns simpleacl

  • show ns simpleacl

要使用 CLI 删除所有简单的 ACL6:

在命令提示窗口中,键入:

  • clear ns simpleacl6

  • show ns simpleacl6

GUI 程序

要使用 GUI 创建简单 ACL,请执行以下操作:

导航到“系统”>“网络”>“ACL”,然后在简单 ACL选项卡上添加新的简单 ACL。

要使用 GUI 创建一个简单的 ACL6:

导航到“系统”>“网络”>“ACL”,然后在简单 ACL6 选项卡上添加新的简单 ACL6。

要使用 GUI 删除单个简单 ACL:

导航到“系统”>“网络”>“ACL”,然后在简单 ACL选项卡上删除简单 ACL。

要使用 GUI 删除单个简单的 ACL6:

导航到“系统”>“网络”>“ACL”,然后在简单 ACL6 选项卡上删除简单 ACL6。

要使用 GUI 删除所有简单 ACL,请执行以下操作:

  1. 导航到系统 > 网络 > ACL。
  2. 简单 ACL选项卡上的 作”列表中,单击清除

要使用 GUI 删除所有简单的 ACL6:

  1. 导航到系统 > 网络 > ACL。
  2. 简单 ACL6 选项卡上 的操作列表中,单击清除

显示简单 ACL 和简单 ACL6 统计信息

您可以显示简单 ACL(或简单 ACL6)统计信息,其中包括命中次数、未命中次数和配置的简单 ACL 数。

下表描述了可以为简单 ACL 和简单 ACL6 显示的统计信息。

统计信息 表示
ACL 命中 匹配 ACL 的数据包
ACL 未命令 不匹配任何 ACL 的数据包
ACL 计数 已配置的 ACL 数量

CLI 过程

使用 CLI 显示简单 ACL 统计信息:

在命令提示窗口中,键入:

  • 统计数据 ns 简单的

示例:

> stat ns simpleacl

SimpleACL Statistics

                                          Rate (/s)                Total
SimpleACL hits                                     0                    0
SimpleACL misses                                   0                51872
SimpleACLs count                                  --                    2
Done

要使用 CLI 显示简单的 ACL6 统计信息,请执行以下操作:

在命令提示窗口中,键入:

  • stat ns simpleacl6

GUI 程序

使用 GUI 显示简单 ACL 统计信息:

导航到系统 > 网络 > ACL,然后在简单 ACL选项卡上,选择 ACL 并单击统计信息

要使用 GUI 显示简单的 ACL6 统计信息:

导航到“系统”>“网络”>“ACL”,然后在简单 ACL6 选项卡上,选择简单 ACL6,然后单击统计信息

终止已建立的连接

对于简单 ACL 或简单 ACL6,Citrix ADC 会阻止任何与 ACL 中指定条件匹配的新连接。与创建 ACL 之前建立的现有连接相关的数据包不会被阻止。要终止之前建立的与现有 ACL 匹配的连接,您可以从 CLI 或 GUI 运行刷新操作。

在以下情况下,刷新可能很有用:

  • 您将收到列入黑名单的 IP 地址列表,并希望完全阻止这些 IP 地址访问 Citrix ADC。在这种情况下,您将创建简单 ACL 或简单 ACL6,以阻止来自这些 IP 地址的任何新连接,然后刷新与这些地址关联的任何现有连接。
  • 您希望终止来自特定网络的大量连接,而不需要花时间逐个终止这些连接。

准备工作

  • 运行刷新时,Citrix ADC 会搜索其所有已建立的连接,并终止与 ADC 上配置的任何简单 ACL 中指定的条件匹配的连接。

  • 如果您计划创建多个简单 ACL 并刷新与其中任何一个相匹配的现有连接,则可以通过首先创建所有简单 ACL 然后仅运行刷新一次来最大限度地减少对性能的影响。

CLI 过程

使用 CLI 终止与您配置的任何简单 ACL 匹配的所有已建立的 IPv4 连接:

在命令提示窗口中,键入:

  • flush simpleacl -estSessions

使用 CLI 终止与您配置的任何简单 ACL6 相匹配的所有已建立的 IPv6 连接:

在命令提示窗口中,键入:

  • flush simpleacl6 -estSessions

GUI 程序

要使用 GUI 终止与配置的任何简单 ACL 匹配的所有已建立的 IPv4 连接,请执行以下操作:

  1. 导航到系统 > 网络 > ACL。
  2. 简单 ACL选项卡上的 作”列表中,单击刷新

要使用 GUI 终止与配置的任何简单 ACL6 匹配的所有已建立的 IPv6 连接,请执行以下操作:

  1. 导航到系统 > 网络 > ACL。
  2. 简单 ACL6 选项卡上的操作列表中,单击刷新

简单 ACL 和简单 ACL6