扩展ACL和扩展ACL6S

扩展ACL和扩展ACL6S提供简单ACL无法提供的参数和操作。您可以根据源IP地址，源端口，操作和协议等参数过滤数据。您可以指定任务以允许数据包，拒绝数据包或桥接数据包。

扩展acl和acl6可以在创建后进行修改，您可以对它们的优先级进行重新编号，以指定它们的评估顺序。

注意:如果同时配置了简单acl和扩展acl，则简单acl优先于扩展acl。

扩展acl和acl6可以进行如下操作:修改、应用、禁用、启用、移除和重编号(优先级)。您可以通过显示扩展acl和acl6来验证配置结果，并可以查看扩展acl和acl6的统计信息。

您可以配置Citrix ADC，记录匹配扩展ACL的报文的详细信息。

扩展acl和扩展ACL6s的应用:与简单的ACL和ACL6不同，Citrix ADC上创建的扩展ACL和ACL6S在应用之前不起作用。此外，如果您对扩展ACL或ACL6进行了任何更改，例如禁用ACL，更改优先级或删除ACL，则必须重新应用扩展的ACL或ACL6。启用日志记录后必须重新申请它们。应用扩展ACL或ACL6S重新填写所有程序的程序。例如，如果您已应用扩展的ACL规则1到10，则然后您创建和应用规则11，重新应用前10个规则。

如果一个会话有一个DENY ACL关联，在应用ACL时，该会话将被终止。

缺省情况下，启用扩展acl和acl6。当应用它们时，Citrix ADC开始将传入的数据包与它们进行比较。但是，如果禁用它们，即使重新应用它们，在重新启用它们之前也不会使用它们。

重新编号扩展ACL的优先级和扩展ACL6S：优先级确定扩展ACL或ACL6S与数据包匹配的顺序。具有较低优先级的ACL具有更高的优先级。在具有较高优先级（优先级）的ACL之前评估它，并且第一个匹配数据包的ACL确定应用于数据包的操作。

创建扩展ACL或ACL6时，Citrix ADC会自动将其分配一个优先级，除非您指定另有说明，否则除非您指定。例如，如果两个扩展的ACL分别具有20和30的优先级，并且您希望第三个ACL在这些数字之间具有值，则可能会将其分配25.如果您稍后想要保留该命令评估ACLS，但恢复它们的倍数为10，可以使用RENUMBER程序。

配置扩展acl和扩展acl6

在Citrix ADC上配置扩展ACL或ACL6包括以下任务。

• 创建扩展ACL或ACL6。创建扩展ACL或ACL6，允许、拒绝或桥接报文。可以指定IP地址或IP地址范围，与报文的源IP地址或目的IP地址进行匹配。可以指定协议与入方向报文的协议进行匹配。
• (可选)修改扩展ACL或ACL6．您可以修改之前创建的扩展acl或acl6。或者，如果您想暂时停用一个，您可以禁用它，然后再重新启用它。
• 应用扩展acl或acl6．在创建、修改、禁用、重新启用、删除扩展ACL / ACL6后，需要应用扩展ACL / ACL6才能激活扩展ACL / ACL6。
• (可选)重新编号扩展ACL或ACL6S的优先级．如果您已经配置了优先级不是10的倍数的acl，并且希望将编号恢复为10的倍数，那么可以使用rennumber过程。

CLI程序

使用CLI创建扩展ACL：

在命令提示符处，输入:

• 添加ns acl [ -srcIP[<运算符>] ] [ -srcport.(<操作符>)< srcPortVal >] [-Destip.(<操作符>)< destIPVal >] [-destPort[<运算符>] ] [ -TTL.] [ -srcMac] [（ -协议<协议> [ - - 勃起]）|-协议] [ -vlan] [ -接口] [ -ICMPTYPE. [ -icmpCode]]] [ -优先事项] [ -状态（启用|禁用）] [ -logstate.(enabled | disabled) [-Ratelimit.< positive_integer >]]

• 显示ns acl[]

通过CLI创建扩展ACL6：

在命令提示符处，输入:

• 添加ns acl6 [ -srcIPv6(<操作符>)< srcIPv6Val >] [-srcport.(<操作符>)< srcPortVal >] [-Destipv6.(<操作符>)< destIPv6Val >] [-destPort[<运算符>] ] [ -TTL.] [ -srcMac] [（ -协议<协议> [ - - 勃起]）|-协议] [ -vlan] [ -接口] [ -ICMPTYPE. [ -icmpCode]]] [ -优先事项] [ -状态(enabled | disabled)]

• 显示NS ACL6.[]

通过CLI修改扩展ACL：

要修改扩展ACL，请键入设置NS ACL.命令、扩展ACL的名称和需要修改的参数，以及参数的新值。

通过CLI修改扩展ACL6：

要修改扩展的ACL6，请键入设置NS ACL6.命令，扩展ACL6的名称以及要更改的参数，并具有其新值。

通过CLI禁用或启用扩展ACL：

在命令提示符处，输入以下命令之一:

• 禁用ns acl
• 使ns acl

通过命令行禁用或启用扩展ACL6：

在命令提示符处，输入以下命令之一:

• 禁用ns acl6
• 使ns acl6

通过CLI应用扩展acl：

在命令提示符处，输入:

• 应用ns acl

通过CLI应用扩展acl6：

在命令提示符处，输入:

• 应用ns acls6

使用CLI重新编号扩展ACL的优先级：

在命令提示符处，输入:

• 重编号ns acl

使用CLI重新编号扩展ACL6的优先级：

在命令提示符处，输入:

• 重编号ns acls6

GUI程序

使用GUI配置扩展ACL：

• 导航到系统>网络>acl和,扩展acl选项卡，添加新的扩展ACL或编辑现有的扩展ACL。若要启用或禁用已存在的扩展ACL，请选中该扩展ACL，然后选择启用或者禁用来自行动列表。

使用GUI配置扩展acl6：

• 导航到系统>网络>acl和,扩展ACL6s选项卡，添加新的扩展ACL6或编辑现有扩展ACL6。要启用或禁用现有的扩展ACL6，请选择它，然后选择启用或者禁用来自行动列表。

通过使用GUI应用扩展acl：

• 导航到系统>网络>acl和,扩展acl标签，在行动列表中,点击应用．

通过GUI应用扩展acl6：

• 导航到系统>网络>acl和,扩展ACL6s标签，在行动列表中,点击应用．

使用GUI对扩展acl的优先级进行重新编号：

• 导航到系统>网络>acl和,扩展acl标签，在行动列表中,点击重编号优先(s)．

通过GUI对扩展acl6的优先级进行重新编号：

• 导航到系统>网络>acl和,扩展ACL6s标签，在行动列表中,点击重编号优先(s)．

示例配置

通过命令行配置扩展ACL规则示例如下:acl示例配置．

记录扩展ACL.

您可以配置Citrix ADC记录匹配扩展acl的报文的详细信息。

除了ACL名称外，记录的详细信息还包括特定于分组的信息，例如源和目标IP地址。信息存储在syslog文件中或nslog文件，具体取决于全局日志记录的类型(syslog或nslog.启用)。

必须在全局级别和ACL级别启用日志记录。全球设置优先。

为了优化日志记录，当来自相同流量的多个数据包匹配ACL时，仅记录第一个数据包的详细信息，并且计数器递增，每个分组属于相同的流量。流程被定义为具有与源IP地址，目标IP地址，源端口，目标端口和协议参数相同的数据包。为避免泛滥日志消息，Citrix ADC执行内部速率限制，以便不再重复记录属于相同流量的数据包。可以在任何给定时间记录的不同流量的总数限制为10,000。

注意:启用日志记录后必须应用ACL。

CLI程序

使用CLI配置扩展ACL日志：

在命令提示符下，输入以下命令配置日志记录并验证配置:

• 设置NS ACL. [ -logState(enabled | disabled)] [-rateLimit< positive_integer >)
• 申请ACL
• 显示ns acl[]

GUI程序

使用GUI配置扩展ACL日志记录：

1. 导航到系统>网络> ACL和,扩展acl选项卡，打开扩展ACL。
2. 设置以下参数:
   • 日志状态- 可禁止与扩展ACL规则相关的事件的日志记录。日志消息存储在配置中syslog或auditlog服务器。
   • 日志率限制-每秒最大日志消息数。设置该参数时，必须启用“日志状态”参数。

示例配置

>设置NS ACL限制-LogState已启用-ratelimit 120警告：ACL修改后，应用ACL激活更改>应用NS ACL DONE <！ -  CELTCOPY  - >

记录扩展ACL6S.

您可以配置Citrix ADC设备来记录匹配扩展ACL6规则的数据包的详细信息。除ACL6名称外，还包括源IP地址、目的IP地址等报文相关信息。信息存储在syslog或nslog文件，具体取决于日志记录的类型(syslog或nslog.)，您已经在Citrix ADC设备中配置了。

要优化日志记录，当来自同一流量的多个数据包匹配ACL6时，只记录第一个数据包的详细信息。计数器递增，适用于属于相同流量的每个其他数据包。流程被定义为具有以下参数的相同值的一组数据包：

• 源IP
• 目的地IP
• 源端口
• 目的端口
• 协议(TCP或UDP)

如果传入的数据包不是来自同一流，则创建一个新的流。可以在任何给定时间记录的不同流量的总数限制为10,000。

CLI程序

使用CLI为扩展ACl6规则配置日志：

• 要在添加扩展ACL6规则时配置日志记录，请在命令提示符下输入:

  • 添加acl6< acl6Name > < acl6action > [-logState(enabled | disabled)] [-rateLimit< positive_integer >)
  • 应用acls6
  • 显示ACL6.(< acl6Name >)

• 要为已存在的扩展ACL6规则配置日志记录，请在命令提示符下输入:

  • 设置acl6< acl6Name > [-logState(enabled | disabled)] [-rateLimit< positive_integer >)
  • 显示ACL6.(< acl6Name >)
  • 应用acls6

GUI程序

使用GUI配置扩展的ACL6日志：

1. 导航到系统>网络>acl然后，点击扩展ACL6s标签。
2. 在添加或修改已存在的扩展ACL6规则时，需要设置以下参数。
   • 日志状态—开启/关闭扩展acl6规则相关事件的日志记录功能。日志信息保存在配置的syslog或日志中auditlog服务器。
   • 日志率限制-每秒最大日志消息数。如果设置此参数，则必须启用日志状态范围。

示例配置

> set acl6 acl6 -1 -logstate ENABLED - ratlimit 120 Done > apply acls6 Done 

显示扩展acl和扩展acl6的统计信息

您可以查看扩展acl和acl6的统计信息。

扩展acl和acl6的相关统计信息及其说明如下表所示。

CLI程序

使用CLI显示所有扩展acl的统计信息：

在命令提示符处，输入:

• stat ns acl

使用CLI显示所有扩展acl6的统计信息：

在命令提示符处，输入:

• stat ns acl6

GUI程序

通过使用GUI显示扩展ACL的统计信息：

• 导航到系统>网络> ACL,在扩展acl页签，选择扩展ACL，单击统计数据．

使用GUI显示扩展ACL6的统计信息：

• 导航到系统>网络> ACL,在扩展ACL6s页签，选择扩展ACL，单击统计数据．

有状态的acl

有状态ACL规则在请求与规则匹配时创建会话，并允许产生响应，即使这些响应与Citrix ADC设备中的拒绝ACL规则匹配。有状态ACL无需创建更多ACL规则/转发会话规则以允许这些特定的响应。

可以在具有以下要求的Citrix ADC设备的边缘防火墙部署中最佳使用状态ACL：

• Citrix ADC设备必须允许从内部客户端发起的请求和来自Internet的相关响应。
• 设备必须从Internet中删除与任何与任何客户端连接相关的数据包。

在你开始之前

配置有状态ACL规则前，需要注意以下几点:

• Citrix ADC设备支持有状态ACL规则和有状态ACL6规则。
• 在高可用性设置中，有状态ACL规则的会话不会同步到辅助节点。
• 如果ACL规则绑定了Citrix ADC NAT配置，则不能将其配置为有状态。Citrix ADC NAT配置的一些例子如下:
  • rnat.
  • 大规模NAT(大规模NAT44、DS-Lite、大规模NAT64)
  • NAT64.
  • 转发会议
• 如果ACL规则配置了TTL和Established参数，则不能将该ACL规则配置为有状态。
• 有状态ACL规则创建的会话将继续存在，直到超时，不管ACL进行以下操作:
  • 删除ACL.
  • 禁用ACL
  • 清晰的ACL
• 以下协议不支持有状态acl:
  • 活跃的ftp.
  • TFTP

配置有状态IPv4 ACL规则

配置有状态ACL规则包括启用ACL规则的状态参数。

通过使用CLI启用ACL规则的状态参数：

• 要在添加ACL规则时启用stateful参数，在命令提示符下输入:

  • 添加acl< lname >允许-有状态(启用|禁用)
  • 申请ACL
  • 显示ACL.<名称>

• 要使已存在ACL规则的状态参数生效，在命令提示符下，输入:

  • 设置ACL. -有状态(启用|禁用)
  • 申请ACL
  • 显示ACL.<名称>

使用GUI启用ACL规则的状态参数：

1. 导航到系统>网络>acl和,扩展acl标签。

2. 启用有状态参数，用于添加或修改已存在的ACL规则。

示例配置

>添加acl ACL-1允许-srciP 1.1.1.1状态是的做> >应用acl做显示acl 1)名称:ACL-1行动:允许点击:0 srcIP = 1.1.1.1 destIP srcMac:协议:Vlan:接口:活跃状态:启用应用现状:NOTAPPLIED优先级:10 NAT:没有TTL:日志状态:禁用前进会话:没有状态:是的< !——NeedCopy >

配置有状态ACL6规则

配置有状态ACL6规则包括启用ACL6规则的状态参数。

使用CLI使能ACL6规则的状态参数：

• 要在添加ACL6规则时启用状态参数，请在命令提示符下键入：

  • 添加acl6 ALLOW -stateful (ENABLED | disable)
  • 应用acls6
  • 显示ACL6.<名称>

• 要使已存在的ACL6规则的stateful参数生效，在命令提示符下输入:

  • 设置acl6 -有状态(启用|禁用)
  • 应用acls6
  • 显示ACL6.<名称>

使用GUI启用ACL6规则的有状态参数：

1. 导航到系统>网络>acl和,扩展ACL6s标签。
2. 启用有状态参数，用于添加或修改已存在的ACL6规则。

示例配置

> add acl6 acl6 -1 allow -srcipv6 1000::1 -stateful Yes Done > apply acls6 Done > show acl6 1) Name: acl6 -1 Action: allow Hits: 0 srcIPv6 = 1000::1 destIPv6 srcMac: Protocol: Vlan: Interface: Active Status: ENABLED Applied Status: NOTAPPLIED Priority: 10 NAT: NO TTL: Forward Session: NO Stateful: Yes 

基于数据集的扩展ACL

企业中需要很多acl。当需要频繁更改时，配置和管理许多acl是困难和繁琐的。

Citrix ADC设备支持扩展ACL中的数据集。DataSet是Citrix ADC设备的现有功能。数据集是索引类型的类型数组：Number（Integer），IPv4地址或IPv6地址。

扩展ACL中的数据集支持对于创建多个ACL规则非常有用，这些规则需要公共ACL参数。

在创建ACL规则时，您可以指定数据集，而不是指定公共参数，而不是指定包含这些公共参数的数据集。

数据集中的任何更改都会自动反映在使用此数据集的ACL规则中。带数据集的acl更容易配置和管理。它们也比传统acl更小，更容易阅读。

目前，Citrix ADC设备仅支持以下类型的扩展acl数据集:

• IPv4地址(用于指定ACL规则的源IP地址或目的IP地址或源IP地址和目的IP地址)。
• number(用于为ACL规则指定源端口或目的端口，或两者同时指定)

在你开始之前

在配置基于数据集的扩展ACL规则前，需要注意以下几点:

• 请确保熟悉Citrix ADC设备的数据集特性。有关数据集的更多信息，请参见模式集和数据集．

• Citrix ADC设备仅支持IPv4扩展acl的数据集。

• Citrix ADC设备仅支持以下ACL的以下类型的数据集：

  • IPv4地址
  • 数量
• Citrix ADC设备支持基于数据集的扩展acl，适用于所有Citrix ADC设置:独立、高可用性和集群。

• 对于具有包含范围的数据集的扩展ACL, Citrix ADC设备在内部为每个数据集值组合创建扩展ACL。

  • 示例1:对于基于IPv4数据集的扩展ACL，数据集绑定了1000个IPv4地址，并且数据集被设置为源IP参数，Citrix ADC设备在内部创建1000个扩展ACL。

  • 示例2：基于数据集的扩展ACL，其中包含以下参数：

    • Source IP设置为包含5个IP地址的数据集。
    • 目标IP设置为包含5个IP地址的数据集。
    • 源端口设置为包含5个端口的数据集。
    • 目的端口设置为包含5个端口的数据集。

    Citrix ADC设备在内部创建了625个扩展acl。这些内部acl中的每一个都包含上述四个参数值的唯一组合。

  • Citrix ADC设备最多支持10K扩展acl。对于基于IPv4数据集的扩展ACL，当扩展ACL的总数达到最大限制时，Citrix ADC设备将停止创建内部ACL。

  • 以下计数器是扩展ACL统计的一部分:

    • ACL计数．用户配置的ACL规则总数。
    • 有效的ACL计数．Citrix ADC设备在内部配置的有效ACL规则总数。

    有关更多信息，请参阅显示扩展ACL和扩展acl6的统计信息．

• Citrix ADC设备不支持集和解开操作用于将数据集与扩展ACL的参数关联/解绑定。ACL参数只能在数据集中进行设置添加操作。

配置基于扩展acl的数据集

配置基于数据集的扩展ACL规则包括以下任务:

• 添加DataSet.．数据集是类型的索引模式数组:数字(整数)、IPv4地址或IPv6地址。在本任务中，您将创建一个数据集类型，例如，IPv4类型的数据集。

• 将值绑定到数据集．指定数据集的值或值的范围。指定的值必须与数据集类型相同。例如，可以为类型为IPv4的数据集指定IPv4地址或IPv4地址范围。

• 添加扩展ACL并设置数据集的ACL参数．添加扩展ACL并设置数据集所需的ACL参数。此设置将导致将参数设置为数据集中指定的值。

• 应用扩展的acl．应用acl来激活任何新的或修改过的扩展acl。

通过CLI添加策略数据集:

在命令提示符处，输入:

• 添加策略集<名称> <类型>
• 显示政策数据集

使用CLI将模式绑定到数据集:

在命令提示符处，输入:

• 结合政策数据集 [-endrange ]
• 显示政策数据集

使用CLI为数据集添加扩展ACL并设置ACL参数。

在命令提示符处，输入:

• 添加ns acl [ -srcIP[<运算符>] ] [ -srcport.(<操作符>)< srcPortVal >] [-Destip.(<操作符>)< destIPVal >] [-destPort(<操作符>)< destPortVal >)……
• 显示ACL

通过CLI应用扩展acl:

在命令提示符处，输入:

• 申请ACL

示例配置

在下面的基于扩展ACL的数据集配置示例中，一个IPv4数据集DATASET-IP-ACL-1端口数据集DATASET-PORT-ACL-2创建。

两个IPv4地址192.0.2.30、192.0.2.60和两个IPv4地址范围(198.51.100.15 - 45)、(203.0.113.60-90)绑定了DATASET-IP-ACL-1数据集。然后将数据集ip - acl -1指定给srcIP和Destip.扩展ACL的参数ACL-1．

两个端口号:2001和2004，两个端口范围:5001 - 5040和8001 - 8040DATASET-PORT-ACL-2．然后将数据集端口-ACL-2指定为srcport.和destPort扩展ACL的参数ACL-1．

添加策略数据集数据集数据集-IP-ACL-1 IPv4绑定数据集数据集数据集-IP-ACL-1 192.0.2.30 Bind DataSet Dataset-IP-ACL-1 192.0.2.60 Bind DataSet Dataset-IP-ACL-1 198.51.100.15 -Endrange 198.51．100.45 bind dataset DATASET-IP-ACL-1 203.0.113.60 -endrange 203.0.113.90 bind dataset DATASET-PORT-ACL-2 2001 bind dataset DATASET-PORT-ACL-2 2004 bind dataset DATASET-PORT-ACL-2 5001 -endrange 5040 bind dataset DATASET-PORT-ACL-2 8001 -endrange 8040 add ns acl ACL-1 ALLOW -srcIP DATASET-IP-ACL-1 -destIP DATASET-IP-ACL-1 -srcPort DATASET-PORT-ACL-2 -destPort DATASET-PORT-ACL-2