简单acl和简单acl6
简单ACL或简单ACL6的参数较少,只能配置为丢弃IP报文。报文可以根据源IP地址丢弃,也可以根据协议、目的端口或流量域丢弃。
在创建简单ACL或简单ACL6时,可以指定生存时间(TTL),单位为秒。保存配置时,不保存带TTLs的acl。通过显示简单acl和简单acl6,可以验证简单acl和简单acl6的配置情况,还可以查看简单acl和简单acl6的统计信息。
配置简单acl和简单acl6
在Citrix ADC上配置简单ACL或简单ACL6包括以下任务。
- 创建简单acl或简单acl6.创建简单的acl或简单的acl6,根据报文的源IP地址(可选)、协议、目的端口或流量域丢弃(拒绝)报文。
- 删除简单acl或简单acl6.这些acl一旦创建就不能修改。如果必须修改简单ACL或简单ACL6,必须先删除该ACL,再重新创建。
CLI程序
使用实例通过CLI创建简单ACL。
在命令提示符下,输入:
- ns simpleacl DENY - srcip [- destport -protocol (TCP | UDP)] [- ttl \] - show ns simpleacl [\] 例子:
add simpleacl rule1 DENY -srcIP 10.102.29.5 -TTL 600 Done 使用实例使用CLI创建简单的ACL6。
在命令提示符下,输入:
- add ns simpleacl6 DENY - srcIPv6 [- destport -protocol (TCP | UDP)] [- ttl ] - show ns simpleacl6 [] 例子:
> add ns simpleacl6 rule1 DENY -srcIPv6 3ffe:192:168:215::82 -destPort 80 -Protocol TCP -TTL 9000 Done 使用实例通过CLI删除单个简单ACL。
在命令提示符下,输入:
- Rm ns simpleacl< aclname >
- 显示ns simpleacl
使用实例通过CLI删除单个简单ACL6。
在命令提示符下,输入:
- Rm ns simpleacl6< aclname >
- 显示ns simpleacl6
使用实例使用CLI删除所有简单acl。
在命令提示符下,输入:
清除ns simpleacl
显示ns simpleacl
使用实例通过CLI删除所有简单acl6。
在命令提示符下,输入:
清除ns simpleacl6
显示ns simpleacl6
GUI程序
使用实例使用GUI创建简单ACL。
导航到System >网络> acl而且,在简单的acl选项卡,添加一个新的简单ACL。
使用实例使用GUI创建简单的ACL6。
导航到System >网络> acl而且,在简单ACL6s选项卡,添加一个新的简单ACL6。
使用实例使用GUI方式删除单个简单ACL。
导航到System >网络> acl而且,在简单的acl页签,删除简单ACL。
使用实例使用GUI方式删除单个简单ACL6。
导航到System >网络> acl而且,在简单ACL6s页签,删除简单ACL6。
使用实例使用GUI删除所有简单acl。
- 导航到System >网络> acl.
- 在简单的acl选项卡,在行动列表中,点击清晰的.
使用实例使用GUI删除所有简单的acl6。
- 导航到System >网络> acl.
- 在简单ACL6s选项卡,在行动列表中,点击清晰的.
显示简单ACL和简单ACL6统计信息
您可以查看简单ACL(或简单ACL6)的统计信息,包括命中次数、未命中次数和配置的简单ACL数量。
简单acl和简单acl6的统计信息如下表所示。
| 统计数据 | 表明 |
|---|---|
| ACL匹配 | 匹配ACL的报文 |
| ACL错过 | 报文不匹配ACL |
| ACL计数 | 配置的acl个数 |
CLI程序
使用CLI查询ACL的简单统计信息。
在命令提示符下,输入:
- 简单统计
例子:
> stat ns simpleacl simpleacl Statistics Rate (/s) Total simpleacl hits 0 0 simpleacl misses 0 51872 simpleacl count - 2 Done 使用CLI查询ACL6的简单统计信息。
在命令提示符下,输入:
- 统计simpleacl6
GUI程序
使用实例查询ACL的简单统计信息。
导航到系统>网络>acl而且,在简单的acl页签,选择ACL,单击统计数据.
使用实例查询ACL6的简单统计信息。
导航到System >网络> acl而且,在简单ACL6s页签,选中简单ACL6,单击统计数据.
终止已建立的连接
对于简单的ACL或简单的ACL6, Citrix ADC将阻塞与ACL中指定的条件匹配的任何新连接。对于在创建ACL前已经建立的连接,不会阻断与之相关的报文。要终止与现有ACL匹配的先前建立的连接,可以从CLI或GUI运行刷新操作。
Flush在以下情况下有用:
- 您收到一个黑名单IP地址列表,并希望完全阻止这些IP地址访问Citrix ADC。在这种情况下,您将创建简单的acl或简单的acl6来阻止来自这些IP地址的任何新连接,然后刷新与这些地址关联的任何现有连接。
- 您希望终止来自特定网络的多个连接,而不需要花时间逐个终止它们。
在开始之前
当您运行flush时,Citrix ADC将搜索所有已建立的连接,并终止与ADC上配置的任何简单acl中指定的条件相匹配的连接。
如果计划创建多个简单ACL并刷新与其中任何一个匹配的现有连接,则可以通过先创建所有简单ACL,然后只运行一次刷新来最小化对性能的影响。
CLI程序
使用实例使用CLI命令,终止所有匹配简单acl的IPv4连接。
在命令提示符下,输入:
- flush simpleacl -estSessions
使用实例使用CLI命令,终止所有匹配简单acl6的IPv6连接。
在命令提示符下,输入:
- flush simpleacl6 -estSessions
GUI程序
使用GUI终止所有与您配置的简单acl匹配的IPv4连接:
- 导航到System >网络> acl.
- 在简单的acl选项卡,在行动列表中,点击冲洗.
使用GUI终止所有已建立的与您配置的简单acl6匹配的IPv6连接。
- 导航到System >网络> acl.
- 在简单ACL6s选项卡,在行动列表中,点击冲洗.