简单acl和简单acl6
简单的ACL和简单的ACL6参数较少,只能用来丢弃IP报文。报文可以根据源IP地址丢弃,也可以根据协议、目的端口或流量域丢弃。
在创建简单ACL或简单ACL6时,可以指定生存时间(TTL),以秒为单位,超过该时间ACL将失效。保存配置时,不保存带有ttl的acl。可以通过查看简单acl和简单acl6来验证配置的正确性,还可以查看它们的统计信息。
配置简单acl和简单acl6
在Citrix ADC上配置简单ACL或简单ACL6可以包括以下任务。
- 创建简单acl或简单acl6.创建简单的acl或简单的acl6,根据报文的源IP地址(可选)、协议、目的端口或流域丢弃(拒绝)报文。
- 删除简单acl或简单acl6.这些acl一旦创建就不能修改。如果需要修改简单ACL或简单ACL6,必须先删除,再新建。
CLI程序
使用实例使用CLI命令创建简单的ACL。
在命令提示符处,输入:
- ns simpleacl DENY - srcip [- destport -protocol (TCP | UDP)] [- ttl \] - show ns simpleacl [\]
例子:
> add simpleacl rule1 DENY -srcIP 10.102.29.5 -TTL 600 Done
使用CLI命令创建简单的ACL6。
在命令提示符处,输入:
- add ns simpleacl6 DENY - srcIPv6 [- destport -protocol (TCP | UDP)] [- ttl ] - show ns simpleacl6 []
例子:
> add ns simpleacl6 rule1 DENY -srcIPv6 3ffe:192:168:215::82 -destPort 80 -Protocol TCP -TTL 9000 Done
使用实例通过CLI删除单个简单ACL。
在命令提示符处,输入:
- rm ns simpleacl< aclname >
- 显示ns simpleacl
使用CLI命令移除单个简单ACL6。
在命令提示符处,输入:
- rm ns simpleacl6< aclname >
- 显示ns simpleacl6
使用CLI命令移除所有简单acl。
在命令提示符处,输入:
明确ns simpleacl
显示ns simpleacl
使用CLI命令移除所有简单acl6。
在命令提示符处,输入:
明确ns simpleacl6
显示ns simpleacl6
GUI程序
使用实例通过GUI创建一个简单的ACL。
导航到System > Network > acl和,简单的acl选项卡,添加新的简单ACL。
使用GUI创建一个简单的ACL6:
导航到System > Network > acl和,简单ACL6s选项卡,添加一个新的简单ACL6。
使用实例通过GUI删除单个简单ACL。
导航到System > Network > acl和,简单的acl页签,删除简单ACL。
使用实例删除单个简单的ACL6。
导航到System > Network > acl和,简单ACL6s页签,删除简单ACL6。
使用GUI删除所有简单acl。
- 导航到System > Network > acl.
- 在简单的acl选项卡,行动列表中,点击清晰的.
使用GUI删除所有简单的acl6:
- 导航到System > Network > acl.
- 在简单ACL6s选项卡,行动列表中,点击清晰的.
查看简单ACL和简单ACL6统计信息
可以查看简单ACL(或简单ACL6)的统计信息,包括命中次数、未命中次数和配置的简单ACL数量。
简单acl和简单acl6的统计信息如下表所示。
统计数据 | 表明 |
---|---|
ACL匹配 | 匹配ACL的报文 |
ACL错过 | 报文没有匹配ACL |
ACL计数 | 配置的acl数量 |
CLI程序
使用实例查询ACL的简单统计信息。
在命令提示符处,输入:
- stat ns simpleacl
例子:
> stat ns simpleacl simpleacl统计率(/s) Total simpleacl hits 0 0 simpleacl misses 0 51872 simpleacl count - 2 Done
使用CLI查询ACL6的简单统计信息。
在命令提示符处,输入:
- stat ns simpleacl6
GUI程序
使用GUI查询ACL的简单统计信息。
导航到系统>网络>acl和,简单的acl页签,选中ACL,单击统计数据.
使用GUI查询简单的ACL6统计信息。
导航到System > Network > acl和,简单ACL6s页签,选中简单ACL6,单击统计数据.
终端建立连接
对于简单ACL或简单ACL6, Citrix ADC会阻塞任何符合ACL中指定条件的新连接。与ACL创建前已经建立的连接相关的报文不会被阻断。要终止先前建立的与现有ACL匹配的连接,可以从CLI或GUI运行刷新操作。
Flush在以下情况下可能有用:
- 您收到黑名单IP地址的列表,希望完全阻止这些IP地址访问Citrix ADC。在本例中,创建简单acl或简单acl6以阻止来自这些IP地址的任何新连接,然后刷新与这些地址关联的任何现有连接。
- 您希望终止来自特定网络的许多连接,而不需要花时间一个一个地终止它们。
在你开始之前
运行flush时,Citrix ADC将搜索所有已建立的连接,并终止与ADC上配置的任何简单acl中指定的条件相匹配的连接。
如果计划创建多个简单ACL并刷新与其中任何一个匹配的现有连接,则可以通过先创建所有简单ACL,然后只运行一次刷新,从而最大限度地降低对性能的影响。
CLI程序
使用CLI命令,终止所有已建立的匹配任意一个简单acl的IPv4连接。
在命令提示符处,输入:
- 冲洗simpleacl -estSessions
使用CLI命令,终止所有已建立的匹配任何一个简单acl6的IPv6连接。
在命令提示符处,输入:
- 冲洗simpleacl6 -estSessions
GUI程序
使用GUI终止所有已建立的匹配任何配置的简单acl的IPv4连接。
- 导航到System > Network > acl.
- 在简单的acl选项卡,行动列表中,点击冲洗.
使用GUI终止所有已建立的匹配任何配置的简单acl6的IPv6连接。
- 导航到System > Network > acl.
- 在简单ACL6s选项卡,行动列表中,点击冲洗.