Citrix ADC

简单 ACL 和简单 ACL6

简单 ACL 或简单 ACL6 使用的参数很少,只能配置为丢弃 IP 数据包。数据包可以根据其源 IP 地址以及(可选)其协议、目标端口或流量域丢弃数据包。

创建简单 ACL 或简单 ACL6 时,您可以指定生存时间 (TTL)(以秒为单位),然后 ACL 过期。保存配置时,不会保存带 TTL 的 ACL。您可以显示简单 ACL 和简单 ACL6 来验证它们的配置,还可以显示它们的统计信息。

配置简单 ACL 和简单 ACL6

在 Citrix ADC 上配置简单 ACL 或简单 ACL6 可包括以下任务。

  • 创建简单 ACL 或简单 ACL6。创建简单 ACL 或简单 ACL6 以根据数据包的源 IP 地址以及协议、目标端口或流量域(可选)丢弃(拒绝)数据包。
  • 删除简单 ACL 或简单 ACL6。这些 ACL 一旦创建就无法修改。如果必须修改简单 ACL 或简单的 ACL6,则必须将其删除并创建一个。

CLI 过程

要使用 CLI 创建简单 ACL,请执行以下操作:

在命令提示符下,键入:

-  ns simpleacl <aclname> DENY -srcIP <ip_addr> [-destPort <port> -protocol ( TCP | UDP )] [-TTL <positive_integer>]
-  show ns simpleacl [<aclname>]
<!--NeedCopy-->

示例:

> add simpleacl rule1 DENY -srcIP 10.102.29.5 -TTL 600
Done
<!--NeedCopy-->

要使用 CLI 创建简单的 ACL6,请执行以下操作:

在命令提示符下,键入:

-  add ns simpleacl6 <aclname> DENY - srcIPv6 <ipv6_addr|null> [-destPort <port> -protocol ( TCP | UDP )] [-TTL <positive_integer>]
-  show ns simpleacl6 [<aclname>]
<!--NeedCopy-->

示例:

>  add ns simpleacl6 rule1 DENY –srcIPv6 3ffe:192:168:215::82 -destPort 80 -Protocol TCP -TTL 9000
 Done
<!--NeedCopy-->

要使用 CLI 删除单个简单 ACL,请执行以下操作:

在命令提示符下,键入:

  • rm ns simpleacl <aclname>
  • show ns simpleacl

要使用 CLI 删除单个简单的 ACL6,请执行以下操作:

在命令提示符下,键入:

  • rm ns simpleacl6<aclname>
  • show ns simpleacl6

要使用 CLI 删除所有简单 ACL,请执行以下操作:

在命令提示符下,键入:

  • clear ns simpleacl

  • show ns simpleacl

要使用 CLI 删除所有简单的 ACL6:

在命令提示符下,键入:

  • clear ns simpleacl6

  • show ns simpleacl6

GUI 程序

要使用 GUI 创建简单 ACL,请执行以下操作:

导航到 “ 系统” > “网络” > “ACL ”,然后在 “ 简单 ACL ” 选项卡上添加新的简单 ACL。

要使用 GUI 创建一个简单的 ACL6:

导航到 “ 系统” > “网络” > “ACL ”,然后在 “ 简单 ACL6s ” 选项卡上添加一个新的简单 ACL6。

要使用 GUI 删除单个简单 ACL:

导航到 “ 系统” > “网络” > “ACL ”,然后在 “ 简单 ACL ” 选项卡上删除简单 ACL。

要使用 GUI 删除单个简单的 ACL6:

导航到 “ 系统” > “网络” > “ACL ”,然后在 “ 简单 ACL6 ” 选项卡上删除简单的 ACL6。

要使用 GUI 删除所有简单 ACL,请执行以下操作:

  1. 导航到 系统 > 网络 > ACL
  2. 在“简单 ACL”选项卡上的“ 作”列表中,单击“清除”。

要使用 GUI 删除所有简单的 ACL6:

  1. 导航到 系统 > 网络 > ACL
  2. 简单 ACL6 选项卡上 的操作列表中,单击清除

显示简单 ACL 和简单 ACL6 统计信息

您可以显示简单 ACL(或简单的 ACL6)统计信息,其中包括匹配项数、未命中次数和配置的简单 ACL 数量。

下表介绍了可以为简单 ACL 和简单 ACL6 显示的统计信息。

统计信息 表示
ACL 匹配 匹配 ACL 的数据包
ACL 未命令 不匹配任何 ACL 的数据包
ACL 计数 已配置的 ACL 数量

CLI 过程

使用 CLI 显示简单 ACL 统计信息:

在命令提示符下,键入:

  • 统计数据 ns 简单的

示例:

> stat ns simpleacl

SimpleACL Statistics

                                          Rate (/s)                Total
SimpleACL hits                                     0                    0
SimpleACL misses                                   0                51872
SimpleACLs count                                  --                    2
Done
<!--NeedCopy-->

要使用 CLI 显示简单的 ACL6 统计信息,请执行以下操作:

在命令提示符下,键入:

  • stat ns simpleacl6

GUI 程序

使用 GUI 显示简单 ACL 统计信息:

导航到“系统”>“网络”>“ACL”,然后在“简单 ACL”选项卡上,选择 ACL 并单击“统计信息”。

要使用 GUI 显示简单的 ACL6 统计信息:

导航到 “ 系统” > “网络” > “ACL ”,然后在 “ 简单 ACL6s ” 选项卡上,选择简单的 ACL6,然后单击统 计信息

终止已建立的连接

对于简单 ACL 或简单 ACL6,Citrix ADC 会阻止任何与 ACL 中指定条件匹配的新连接。与创建 ACL 之前建立的现有连接相关的数据包不会被阻止。要终止之前建立的与现有 ACL 匹配的连接,您可以从 CLI 或 GUI 运行刷新操作。

在以下情况下,刷新可能很有用:

  • 您将收到列入黑名单的 IP 地址列表,并希望完全阻止这些 IP 地址访问 Citrix ADC。在这种情况下,您将创建简单 ACL 或简单 ACL6,以阻止来自这些 IP 地址的任何新连接,然后刷新与这些地址关联的任何现有连接。
  • 您希望终止来自特定网络的许多连接,而不必花时间逐个终止它们。

开始之前的准备工作

  • 运行 flush 时,Citrix ADC 将搜索其所有已建立的连接,并终止与 ADC 上配置的任何简单 ACL 中指定的条件匹配的连接。

  • 如果您计划创建多个简单 ACL 并刷新与其中任何一个连接匹配的现有连接,则可以首先创建所有简单 ACL 然后仅运行刷新一次,从而最大限度地减少对性能的影响。

CLI 过程

使用 CLI 终止与您配置的任何简单 ACL 匹配的所有已建立的 IPv4 连接:

在命令提示符下,键入:

  • flush simpleacl -estSessions

使用 CLI 终止与您配置的任何简单 ACL6 相匹配的所有已建立的 IPv6 连接:

在命令提示符下,键入:

  • flush simpleacl6 -estSessions

GUI 程序

要使用 GUI 终止与配置的任何简单 ACL 匹配的所有已建立的 IPv4 连接,请执行以下操作:

  1. 导航到 系统 > 网络 > ACL
  2. 在“简单 ACL”选项卡上的“ 作”列表中,单击“刷新”。

要使用 GUI 终止与配置的任何简单 ACL6 匹配的所有已建立的 IPv6 连接,请执行以下操作:

  1. 导航到 系统 > 网络 > ACL
  2. 简单 ACL6 选项卡上的操作列表中,单击刷新
简单 ACL 和简单 ACL6