拡張ACLと拡張ACL6
拡張 ACL および拡張 ACL6 は、単純な ACL では使用できないパラメータとアクションを提供します。送信元 IP アドレス、送信元ポート、アクション、プロトコルなどのパラメータに基づいてデータをフィルタリングできます。パケットを許可する、パケットを拒否する、またはパケットをブリッジするタスクを指定できます。
拡張 ACL および ACL 6 は、作成後に変更できます。また、プライオリティを再番号付けして、評価の順序を指定できます。
注:シンプル ACL と拡張 ACL の両方を設定する場合、シンプル ACL は拡張 ACL よりも優先されます。
拡張 ACL および ACL 6 に対して次のアクションを実行できます。変更、適用、無効化、有効、削除、および番号付け(優先度)。拡張 ACL と ACL 6 を表示して設定を確認し、統計情報を表示できます。
拡張ACLに一致するパケットの詳細を記録するようにCitrix ADCを構成できます。
拡張 ACL と拡張 ACL6 の適用:単純な ACL および ACL6 とは異なり、NetScaler で作成された拡張 ACL および ACL6 は、適用されるまで機能しません。また、拡張 ACL または ACL の無効化、優先度の変更、ACL の削除など、拡張 ACL または ACL 6 に変更を加えた場合は、拡張 ACL または ACL 6 を再適用する必要があります。ログを有効にした後に再適用する必要があります。拡張 ACL または ACL6 を適用する手順は、これらすべてを再適用します。たとえば、拡張 ACL ルール 1 ~ 10 を適用し、次にルール 11 を作成して適用すると、最初の 10 個のルールが新たに適用されます。
セッションに関連した DENY ACL がある場合、ACL を適用すると、そのセッションが終了します。
拡張 ACL と ACL 6 はデフォルトで有効になっています。それらが適用されると、Citrix ADCは受信パケットと受信パケットを比較し始めます。ただし、無効にした場合は、再適用された場合でも、再度有効にするまでは使用されません。
拡張ACL および拡張 ACL 6 のプライオリティの再番号付け:プライオリティ番号によって、拡張 ACL または ACL 6 がパケットに対して照合される順序が決まります。プライオリティ番号が低い ACL のプライオリティが高くなります。これは、プライオリティ番号が高い(優先度が低い)ACL の前に評価され、パケットに一致する最初の ACL によって、パケットに適用されるアクションが決まります。
拡張ACLまたはACL6を作成すると、特に指定しない限り、Citrix ADCは10の倍数の優先度番号を自動的に割り当てます。たとえば、2 つの拡張 ACL のプライオリティがそれぞれ 20 と 30 で、3 番目の ACL にそれらの数値の間に値を持たせたい場合は、値 25 を割り当てます。ACL の評価順序を後で保持し、番号を 10 の倍数に復元する場合は、再番号付け手順を使用できます。
拡張 ACL および拡張 ACL 6 の設定
Citrix ADCで拡張ACLまたはACL6を構成するには、次のタスクがあります。
- 拡張 ACL または ACL6 を作成します。拡張 ACL または ACL6 を作成して、パケットを許可、拒否、ブリッジします。パケットの送信元または宛先 IP アドレスと照合する IP アドレスまたは IP アドレスの範囲を指定できます。着信パケットのプロトコルと照合するプロトコルを指定できます。
- (任意)拡張 ACL または ACL6 を変更します。以前に作成した拡張 ACL または ACL 6 を変更できます。または、一時的に使用を中止する場合は、無効にして後で再度有効にすることができます。
- 拡張 ACL または ACL 6 を適用します。拡張 ACL または ACL6 を作成、変更、無効化、または再有効化、または削除した後、拡張 ACL または ACL 6 を適用してアクティブ化する必要があります。
- (任意)拡張 ACL または ACL 6 のプライオリティを再番号付けします。10 の倍数ではないプライオリティで ACL を設定していて、番号付けを 10 の倍数に戻す場合は、再番号付け手順を使用します。
CLI のプロシージャ
CLI を使用して拡張 ACL を作成するには:
コマンドプロンプトで入力します。
add ns acl
[-**srcIP** [\ ] ] [-**srcPort** [\ ] ] [-**destIP** [\ ] ] [-**destPort** [\ ] ] [-**TTL** \ ] [-**srcMac** \ ] [(-**protocol** \ [-established]) | -protocolNumber ] [-**vlan** \ ] [-**interface** \ ] [-**icmpType** \ [-**icmpCode** \ ]] [-**priority** \ ] [-**state** ( ENABLED | DISABLED )] [-**logstate** ( ENABLED | DISABLED ) [-**ratelimit** \ ]] show ns acl[\
]
CLI を使用して拡張 ACL6 を作成するには、次の手順を実行します。
コマンドプロンプトで入力します。
add ns acl6
[-**srcIPv6** [\ ] ] [-**srcPort** [\ ] ] [-**destIPv6** [\ ] ] [-**destPort** [\ ] ] [-**TTL** \ ] [-**srcMac** \ ] [(-**protocol** \ [-established]) | -protocolNumber ] [-**vlan** \ ] [-**interface** \ ] [-**icmpType** \ [-**icmpCode** \ ]] [-**priority** \ ] [-**state** ( ENABLED | DISABLED )] nsacl6 [\] を表示
CLI を使用して拡張 ACL を変更するには、次の手順を実行します。
拡張 ACL を変更するには、set ns aclコマンド、拡張 ACL の名前、および変更するパラメータを新しい値で入力します。
CLI を使用して拡張 ACL6 を変更するには、次の手順を実行します。
拡張ACL6を変更するには,set ns acl6コマンド、拡張 ACL6 の名前、および変更するパラメータを新しい値で入力します。
CLI を使用して拡張 ACL を無効または有効にするには、次の手順を実行します。
コマンドプロンプトで、次のコマンドのいずれかを入力します。
- disable ns acl
- enable ns acl
CLIを使用して拡張ACL6を無効または有効にするには:
コマンドプロンプトで、次のコマンドのいずれかを入力します。
- disable ns acl6
- enable ns acl6
CLI を使用して拡張 ACL を適用するには:
コマンドプロンプトで入力します。
- apply ns acls
CLIを使用して拡張ACL6を適用するには:
コマンドプロンプトで入力します。
- apply ns acls6
CLIを使用して拡張ACLの優先順位を変更するには:
コマンドプロンプトで入力します。
- renumber ns acls
CLIを使用して拡張ACL6の優先順位を変更するには:
コマンドプロンプトで入力します。
- renumber ns acls6
GUIのプロシージャ
GUI を使用して拡張 ACL を設定するには、次の手順を実行します。
- [システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL] タブで、新しい拡張 ACL を追加するか、既存の拡張 ACL を編集します。既存の拡張 ACL を有効または無効にするには、その拡張 ACL を選択し、[アクション] リストから [有効] または [無効] を選択します。
GUI を使用して拡張 ACL6 を設定するには、次の手順を実行します。
- [システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL6] タブで、新しい拡張 ACL6 を追加するか、既存の拡張 ACL6 を編集します。既存の拡張 ACL6 を有効または無効にするには、それを選択し、[操作] リストから [有効] または [無効] を選択します。
GUI を使用して拡張 ACL を適用するには、次の手順を実行します。
- [システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL] タブの [アクション] リストで、[適用] をクリックします。
GUI を使用して拡張 ACL6 を適用するには、次の手順を実行します。
- [システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL 6] タブの [アクション] リストで、[適用] をクリックします。
GUI を使用して拡張 ACL のプライオリティを再番号付けするには、次の手順を実行します。
- [システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL] タブの [アクション] リストで、[優先度の再番号付け] をクリックします。
GUI を使用して拡張 ACL6 の優先順位を再番号付けするには、次の手順を実行します。
- [システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL 6] タブの [アクション] リストで、[優先度の再番号付け] をクリックします。
設定例
次の表に、コマンドラインインターフェイスを介して拡張 ACL ルールを設定する例を示します。ACL の設定例。
拡張 ACL のロギング
拡張ACLに一致するパケットの詳細を記録するようにCitrix ADCを構成できます。
ACL 名に加えて、ログに記録される詳細には、送信元および宛先 IP アドレスなどのパケット固有の情報が含まれます。この情報は、有効になっているグローバルロギング(syslog or nslog
)のタイプに応じて、syslogファイルまたはnslog
ファイルに保存されます。
ロギングは、グローバルレベルと ACL レベルの両方で有効にする必要があります。グローバル設定が優先されます。
ロギングを最適化するために、同じフローからの複数のパケットが ACL に一致すると、最初のパケットの詳細だけがログに記録され、同じフローに属するすべてのパケットに対してカウンタが増加します。フローは、送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびプロトコルパラメータに対して同じ値を持つパケットのセットとして定義されます。ログメッセージのフラッディングを避けるために、Citrix ADCは、同じフローに属するパケットが繰り返しログに記録されないように内部レート制限を実行します。任意の時点でログに記録できる異なるフローの総数は 10,000 に制限されています。
注:ロギングを有効にした後に ACL を適用する必要があります。
CLI のプロシージャ
CLI を使用して拡張 ACL ロギングを設定するには、次の手順を実行します。
コマンドプロンプトで次のコマンドを入力して、ログを構成し、構成を確認します。
- set ns acl
[-**logState** (ENABLED | DISABLED)] [-**rateLimit** \ ] - apply acls
- show ns acl[\
]
GUIのプロシージャ
GUI を使用して拡張 ACL ロギングを設定するには、次の手順を実行します。
- [システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL] タブで拡張 ACL を開きます。
- 次のパラメーターを設定します。
- [Log State]:拡張 ACL 規則に関連するイベントのロギングを有効または無効にします。ログメッセージは、構成された
syslog or auditlog
サーバに保存されます。 - [Log Rate Limit]:1 秒間に生成されるログメッセージの最大数。このパラメータを設定する場合は、[ Log State ] パラメーターを有効にする必要があります。
- [Log State]:拡張 ACL 規則に関連するイベントのロギングを有効または無効にします。ログメッセージは、構成された
設定例
> set ns acl restrict -logstate ENABLED -ratelimit 120 Warning: ACL modified, apply ACLs to activate change > apply ns acls Done
拡張 ACL6 のロギング
拡張ACL6ルールに一致するパケットの詳細を記録するようにCitrix ADCアプライアンスを構成できます。ACL6 名に加えて、ログに記録される詳細には、送信元および宛先 IP アドレスなどのパケット固有の情報が含まれます。この情報は、Citrix ADCアプライアンスで構成したログの種類(syslog or nslog
)に応じて、syslogまたはnslog
ファイルに保存されます。
ロギングを最適化するために、同じフローからの複数のパケットが ACL6 に一致する場合、最初のパケットの詳細のみがロギングされます。カウンタは、同じフローに属する他のすべてのパケットに対して増分されます。フローは、次のパラメータに対して同じ値を持つパケットのセットとして定義されます。
- 接続元IP
- 接続先IP
- 送信元ポート
- Destination port
- プロトコル (TCP または UDP)
着信パケットが同じフローからのものでない場合、新しいフローが作成されます。 任意の時点でログに記録できる異なるフローの総数は 10,000 に制限されています。
CLI のプロシージャ
CLI を使用して拡張 ACl6 ルールのロギングを設定するには、次の手順を実行します。
拡張 ACL6 ルールの追加時にログを構成するには、コマンドプロンプトで次のように入力します。
- add acl6
[-**logState** (ENABLED | DISABLED)] [-**rateLimit** \ ] - apply acls6
- show acl6[\
]
- add acl6
既存の拡張 ACL6 ルールのログを構成するには、コマンドプロンプトで次のように入力します。
- set acl6
[-**logState** (ENABLED | DISABLED)] [-**rateLimit** \ ] - show acl6[\
] - apply acls6
- set acl6
GUIのプロシージャ
GUI を使用して拡張 ACL6 ロギングを設定するには、次の手順を実行します。
- [システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL 6] タブをクリックします。
- 既存の拡張 ACL6 ルールの追加または変更時に、次のパラメータを設定します。
- ログ状態:拡張 ACL6s ルールに関連するイベントのロギングを有効または無効にします。ログメッセージは、設定された syslog または
auditlog
サーバに保存されます。 - [Log Rate Limit]:1 秒間に生成されるログメッセージの最大数。このパラメータを設定する場合は、[Log State] パラメーターを有効にする必要があります。
- ログ状態:拡張 ACL6s ルールに関連するイベントのロギングを有効または無効にします。ログメッセージは、設定された syslog または
設定例
> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120 Done > apply acls6 Done
拡張 ACL および拡張 ACL 6 の統計情報の表示
拡張 ACL および ACL 6 の統計情報を表示できます。
次の表に、拡張 ACL および ACL 6 に関連する統計情報とその説明を示します。
統計量 | 指定 |
---|---|
ACL の一致を許可 | 処理モードが ALLOW に設定された ACL と一致するパケット。Citrix ADCはこれらのパケットを処理します。 |
NAT ACL が一致する | NAT ACL に一致するパケット。その結果、NAT セッションが発生します。 |
ACL の一致を拒否する | 処理モードが DENY に設定された ACL と一致するため、ドロップされたパケット。 |
ブリッジ ACL マッチ | ブリッジ ACL に一致するパケット。トランスペアレントモードでは、サービス処理をバイパスします。 |
ACL マッチ | ACL に一致するパケット。 |
ACLミス | どの ACL とも一致しないパケット。 |
ACL カウント | ユーザによって設定された ACL ルールの総数。 |
有効な ACL カウント | 内部で設定された有効な ACL の総数。IPアドレスの範囲を持つ拡張ACLの場合、Citrix ADCアプライアンスは各IPアドレスに対して内部的に拡張ACLを作成します。たとえば、1000のIPv4アドレス(範囲またはデータセット)を持つ拡張ACLの場合、Citrix ADCは内部的に1000個の拡張ACLを作成します。 |
CLI のプロシージャ
CLI を使用してすべての拡張 ACL の統計情報を表示するには、次の手順を実行します。
コマンドプロンプトで入力します。
- stat ns acl
CLI を使用してすべての拡張 ACL6 の統計情報を表示するには、次の手順を実行します。
コマンドプロンプトで入力します。
- stat ns acl6
GUIのプロシージャ
GUI を使用して拡張 ACL の統計情報を表示するには、次の手順を実行します。
- [システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL] タブで拡張 ACL を選択し、[統計情報] をクリックします。
GUI を使用して拡張 ACL6 の統計情報を表示するには、次の手順を実行します。
- [システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL 6] タブで拡張 ACL を選択し、[統計情報] をクリックします。
ステートフル ACL
ステートフルACLルールは、要求がルールに一致したときにセッションを作成し、これらの応答がCitrix ADCアプライアンスの拒否ACLルールと一致していても結果の応答を許可します。ステートフル ACL は、これらの特定の応答を許可するために、より多くの ACL ルール/転送セッションルールを作成する作業をオフロードします。
ステートフルACLは、次の要件を持つCitrix ADCアプライアンスのエッジファイアウォール展開に最適です。
- Citrix ADCアプライアンスは、内部クライアントから開始された要求とインターネットからの関連する応答を許可する必要があります。
- アプライアンスは、クライアント接続に関連しないパケットをインターネットからドロップする必要があります。
はじめに
ステートフル ACL 規則を設定する前に、次の点に注意してください。
- Citrix ADCアプライアンスは、ステートフルACLルールとステートフルACL6ルールをサポートしています。
- 高可用性セットアップでは、ステートフル ACL ルールのセッションは 2 次ノードに同期されません。
- ルールがCitrix ADC NAT構成にバインドされている場合、ACLルールをステートフルとして構成することはできません。NetScaler NAT構成の例を次に示します。
- RNAT
- 大規模NAT(ラージスケールNAT44、DS-Lite、large scale NAT64)
- NAT64
- 転送セッション
- この ACL ルールに TTL パラメータと Established パラメータが設定されている場合、ACL ルールをステートフルとして設定することはできません。
- ステートフル ACL ルール用に作成されたセッションは、次の ACL 操作に関係なく、タイムアウトするまで存続します。
- ACL の削除
- ACL を無効にする
- ACL をクリアする
- ステートフル ACL は、次のプロトコルではサポートされていません。
- アクティブFTP
- TFTP
ステートフル IPv4 ACL ルールの設定
ステートフル ACL ルールの設定は、ACL ルールのステートフルパラメータを有効にすることで構成されます。
CLI を使用して ACL ルールのステートフルパラメータを有効にするには、次の手順を実行します。
ACL ルールの追加中にステートフルパラメータを有効にするには、コマンドプロンプトで次のように入力します。
- add acl
ALLOW -stateful(ENABLED | DISABLED) - apply acls
- show acl
- add acl
既存の ACL ルールのステートフルパラメータを有効にするには、コマンドプロンプトで次のように入力します。
- set acl
-stateful(ENABLED | DISABLED) - apply acls
- show acl
- set acl
GUI を使用して ACL ルールのステートフルパラメータを有効にするには、次の手順を実行します。
[システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL] タブをクリックします。
既存の ACL ルールの追加または変更中にStatefulパラメータを有効にします。
設定例
> add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes Done > apply acls Done > show acl 1) Name: ACL-1 Action: ALLOW Hits: 0 srcIP = 1.1.1.1 destIP srcMac: Protocol: Vlan: Interface: Active Status: ENABLED Applied Status: NOTAPPLIED Priority: 10 NAT: NO TTL: Log Status: DISABLED Forward Session: NO Stateful: YES
ステートフル ACL6 ルールの設定
ステートフル ACL6 ルールの設定は、ACL6 ルールのステートフルパラメータを有効にすることで構成されます。
CLI を使用して ACL6 ルールのステートフルパラメータを有効にするには、次の手順を実行します。
ACL6 ルールの追加中にステートフルパラメータを有効にするには、コマンドプロンプトで次のように入力します。
- add acl6
ALLOW -stateful ( ENABLED | DISABLD ) - apply acls6
- show acl6
- add acl6
既存の ACL6 ルールのステートフルパラメータを有効にするには、コマンドプロンプトで次のように入力します。
- set acl6
-stateful( ENABLED | DISABLED ) - apply acls6
- show acl6
- set acl6
GUI を使用して ACL6 ルールのステートフルパラメータを有効にするには、次の手順を実行します。
- [システム] > [ネットワーク] > [ACL] に移動し、[拡張 ACL6] タブをクリックします。
- 既存の ACL6 ルールの追加または変更中にStatefulパラメータを有効にします。
設定例
> add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes Done > apply acls6 Done > show acl6 1) Name: ACL6-1 Action: ALLOW Hits: 0 srcIPv6 = 1000::1 destIPv6 srcMac: Protocol: Vlan: Interface: Active Status: ENABLED Applied Status: NOTAPPLIED Priority: 10 NAT: NO TTL: Forward Session: NO Stateful: YES
データセットベースの拡張ACL
企業では多くの ACL が必要です。多くの ACL の設定と管理は、頻繁に変更が必要な場合、困難で面倒です。
Citrix ADCアプライアンスは、拡張ACLのデータセットをサポートします。データセットは、Citrix ADCアプライアンスの既存の機能です。データセットは、数値(整数)、IPv4 アドレス、または IPv6 アドレスのインデックス付きパターンの配列です。
拡張 ACL でのデータセットのサポートは、共通の ACL パラメータを必要とする複数の ACL ルールを作成する場合に役立ちます。
ACL ルールの作成時に、共通パラメータを指定する代わりに、これらの共通パラメータを含むデータセットを指定できます。
データセットに加えられた変更は,このデータセットを使用しているACLルールに自動的に反映されます。データセットを持つ ACL は、構成と管理が簡単です。また、従来の ACL よりも小さく、読みやすくなっています。
現在、Citrix ADCアプライアンスは、拡張ACLに対して次のタイプのデータセットのみをサポートしています。
- IPv4 アドレス(ACL ルールの送信元 IP アドレス、宛先 IP アドレス、またはその両方を指定する場合)
- 番号(ACL ルールの送信元ポート、宛先ポート、またはその両方を指定する場合)
はじめに
データセットベースの拡張 ACL ルールを構成する前に、次の点に注意してください。
Citrix ADCアプライアンスのデータセット機能に精通していることを確認してください。データセットの詳細については、「パターンセットとデータセット」を参照してください。
Citrix ADCアプライアンスは、IPv4拡張ACLのデータセットのみをサポートします。
Citrix ADCアプライアンスは、拡張ACLに対して次のタイプのデータセットのみをサポートします。
- IPv4アドレス
- 番号
- Citrix ADCアプライアンスは、すべてのCitrix ADCセットアップ(スタンドアロン、高可用性、クラスター)でデータセットベースの拡張ACLをサポートします。
範囲を含むデータセットを含む拡張ACLの場合、Citrix ADCアプライアンスはデータセット値の組み合わせごとに内部的に拡張ACLを作成します。
例1: データセットにバインドされた1000のIPv4アドレスを持つIPv4データセットベースの拡張ACLで、データセットがソースIPパラメータに設定されている場合、 Citrix ADCアプライアンスは内部的に1000個の拡張ACLを作成します。
例 2: 次のパラメータが設定されたデータセットベースの拡張 ACL
- 送信元 IP は、5 つの IP アドレスを含むデータセットに設定されます。
- 宛先 IP は、5 つの IP アドレスを含むデータセットに設定されます。
- 送信元ポートは、5 つのポートを含むデータセットに設定されます。
- 宛先ポートは、5 つのポートを含むデータセットに設定されます。
Citrix ADCアプライアンスは、内部的に625の拡張ACLを作成します。これらの内部 ACL にはそれぞれ、上記の 4 つのパラメータ値の一意の組み合わせが含まれています。
Citrix ADCアプライアンスは、最大10Kの拡張ACLをサポートします。データセットにバインドされたIPアドレスの範囲を持つIPv4データセットベースの拡張ACLの場合、拡張ACLの合計数が上限に達すると、Citrix ADCアプライアンスは内部ACLの作成を停止します。
拡張 ACL 統計情報の一部として、次のカウンタがあります。
- ACL カウント。ユーザによって設定された ACL ルールの総数。
- 有効な ACL カウント。Citrix ADCアプライアンスが内部で構成する有効なACLルールの総数。
詳細については、拡張 ACL および拡張 ACL6 の統計情報の表示を参照してください。
- Citrix ADCアプライアンスは、次の
set
およびunset
操作をサポートしていません。 associating/dissociating 拡張ACLのパラメーターを持つデータセット。ACL パラメータをデータセットに設定できるのは、add
操作中に限られます。
データセットベースの拡張 ACL を構成する
データセットベースの拡張 ACL ルールの構成は、次のタスクで構成されます。
データセットを追加します。データセットは、数値(整数)、IPv4 アドレス、または IPv6 アドレスのインデックス付きパターンの配列です。このタスクでは、IPv4 タイプのデータセットなど、データセットのタイプを作成します。
値をデータセットにバインドします。データセットの値または値の範囲を指定します。指定する値は、データセットタイプと同じタイプである必要があります。たとえば、IPv4 アドレス、IPv4 アドレス範囲、または IPv4 アドレス範囲を CIDR 表記で IPv4 データセットに指定できます。
拡張ACLを追加し、ACLパラメーターをデータセットに設定します。拡張 ACL を追加し、必要な ACL パラメータをデータセットに設定します。この設定により、パラメータはデータセットで指定された値に設定されます。
拡張 ACL を適用します。ACL を適用して、新規または変更された拡張 ACL をアクティブにします。
CLI を使用してポリシーデータセットを追加するには、次の手順を実行します。
コマンドプロンプトで入力します。
- add policy dataset
- show policy dataset
CLIを使用してパターンをデータセットにバインドするには:
コマンドプロンプトで入力します。
- バインドポリシーデータセット
[-endRange\ ] - show policy dataset
CLIを使用して拡張ACLを追加し、ACLパラメーターをデータセットに設定するには:
コマンドプロンプトで入力します。
- add ns acl
[-**srcIP** [\ ] ] [-**srcPort** [\ ] ] [-**destIP** [\ ] ] [-**destPort** [\ ] ] … - show acls
CLI を使用して拡張 ACL を適用するには:
コマンドプロンプトで入力します。
- apply acls
設定例
次のデータセットベースの拡張 ACL の設定例では、2 つの IPv4データセットDATASET_IP_ACL_1
とDATASET_IP_ACL_2
が作成されます。2つのポートデータセットDATASET_PORT_ACL_1
とDATASET_PORT_ACL_1
が作成されます。
192.0.2.30 と 192.0.2.60 の 2 つの IPv4 アドレスがDATASET_IP_ACL_1
にバインドされています。(198.51.100.15-45) と (203.0.113.60-90) の 2 つの IPv4 アドレス範囲がDATASET_IP_ACL_2
にバインドされています。DATASET_IP_ACL_1
は、srcIP
パラメータ、 およびDATASET_IP_ACL_1
を拡張 ACLACL-1
のdestIP
パラメータに指定されます。
2001 と 2004 の 2 つのポート番号がDATASET_PORT_ACL_1
にバインドされています。(5001-5040) と (8001-8040) の 2 つのポート範囲がバインドされていますDATASET-PORT-ACL-2
。DATASET_IP_ACL_1
は、srcIP
パラメータ、DATASET_IP_ACL_1
および拡張 ACLdestIP
ACL-1
のパラメータに指定されます。
add policy dataset DATASET_IP_ACL_1 IPV4 add policy dataset DATASET_IP_ACL_2 IPV4 add policy dataset DATASET_PORT_ACL_1 NUM add policy dataset DATASET_PORT_ACL_2 NUM bind dataset DATASET_IP_ACL_1 192.0.2.30 bind dataset DATASET_IP_ACL_1 192.0.2.60 bind dataset DATASET_IP_ACL_2 198.51.100.15 -endrange 198.51.100.45 bind dataset DATASET_IP_ACL_2 203.0.113.1/24 bind dataset DATASET_PORT_ACL_1 2001 bind dataset DATASET_PORT_ACL_1 2004 bind dataset DATASET_PORT_ACL_2 5001 -endrange 5040 bind dataset DATASET_PORT_ACL_2 8001 -endrange 8040 add ns acl ACL-1 ALLOW -srcIP DATASET_IP_ACL_1 -destIP DATASET_IP_ACL_2 -srcPort DATASET_PORT_ACL_1 -destPort DATASET_PORT_ACL_2 –protocol TCP