简单ACL和简单ACL6
简单ACL或简单ACL6使用的参数很少,只能配置为丢弃IP数据包。数据包可以根据其源IP地址以及(可选)其协议,目标端口或流量域丢弃数据包。
创建简单ACL或简单ACL6时,您可以指定生存时间(TTL)(以秒为单位),然后ACL过期。保存配置时,不会保存带TTL的ACL。您可以显示简单ACL和简单ACL6来验证它们的配置,还可以显示它们的统计信息。
配置简单ACL和简单ACL6
在Citrix ADC上配置简单ACL或简单ACL6可包括以下任务。
- 创建简单ACL或简单ACL6。创建简单ACL或简单ACL6以根据数据包的源IP地址以及协议,目标端口或流量域(可选)丢弃(拒绝)数据包。
- 删除简单ACL或简单ACL6。这些ACL一旦创建就无法修改。如果必须修改简单ACL或简单的ACL6,则必须将其删除并创建一个。
CLI过程
要使用CLI创建简单ACL,请执行以下操作:
在命令提示符下,键入:
- ns simpleacl DENY - srcip [- destport -protocol (TCP | UDP)] [- ttl ] - show ns simpleacl [] 示例:
> add simpleacl rule1 DENY -srcIP 10.102.29.5 -TTL 600 Done 要使用CLI创建简单的ACL6,请执行以下操作:
在命令提示符下,键入:
- add ns simpleacl6 DENY - srcIPv6 [- destport -protocol (TCP | UDP)] [- ttl ] - show ns simpleacl6 [] 示例:
> add ns simpleacl6 rule1 DENY -srcIPv6 3ffe:192:168:215::82 -destPort 80 -Protocol TCP -TTL 9000 Done 要使用CLI删除单个简单ACL,请执行以下操作:
在命令提示符下,键入:
- rm ns simpleacl< aclname >
- 显示ns simpleacl
要使用CLI删除单个简单的ACL6,请执行以下操作:
在命令提示符下,键入:
- rm ns simpleacl6< aclname >
- 显示ns simpleacl6
要使用CLI删除所有简单ACL,请执行以下操作:
在命令提示符下,键入:
明确ns simpleacl
显示ns simpleacl
要使用CLI删除所有简单的ACL6:
在命令提示符下,键入:
明确ns simpleacl6
显示ns simpleacl6
GUI程序
要使用GUI创建简单ACL,请执行以下操作:
导航到”系统”>“网络”>“ACL”,然后在“简单ACL“选项卡上添加新的简单ACL。
要使用GUI创建一个简单的ACL6:
导航到”系统”>“网络”>“ACL”,然后在“简单ACL6s“选项卡上添加一个新的简单ACL6。
要使用GUI删除单个简单ACL:
导航到”系统”>“网络”>“ACL”,然后在“简单ACL“选项卡上删除简单ACL。
要使用GUI删除单个简单的ACL6:
导航到”系统”>“网络”>“ACL”,然后在“简单ACL6“选项卡上删除简单的ACL6。
要使用GUI删除所有简单ACL,请执行以下操作:
- 导航到系统>网络> ACL。
- 在“简单ACL“选项卡上的“操作“列表中,单击”清除”。
要使用GUI删除所有简单的ACL6:
- 导航到系统>网络> ACL。
- 在简单ACL6选项卡上 的操作列表中,单击清除。
显示简单ACL和简单ACL6统计信息
您可以显示简单ACL(或简单的ACL6)统计信息,其中包括匹配项数,未命中次数和配置的简单ACL数量。
下表介绍了可以为简单ACL和简单ACL6显示的统计信息。
| 统计信息 | 表示 |
|---|---|
| ACL匹配 | 匹配ACL的数据包 |
| ACL未命令 | 不匹配任何ACL的数据包 |
| ACL计数 | 已配置的ACL数量 |
CLI过程
使用CLI显示简单ACL统计信息:
在命令提示符下,键入:
- 统计数据ns简单的
示例:
> stat ns simpleacl simpleacl Statistics Rate (/s) Total simpleacl hits 0 0 simpleacl miss 0 51872 SimpleACLs count - 2 Done 要使用CLI显示简单的ACL6统计信息,请执行以下操作:
在命令提示符下,键入:
- stat ns simpleacl6
GUI程序
使用GUI显示简单ACL统计信息:
导航到”系统“>”网络“>”ACL”,然后在“简单ACL“选项卡上,选择ACL并单击”统计信息”。
要使用GUI显示简单的ACL6统计信息:
导航到”系统”>“网络”>“ACL”,然后在“简单ACL6s“选项卡上,选择简单的ACL6,然后单击统计信息。
终止已建立的连接
对于简单ACL或简单ACL6, Citrix ADC会阻止任何与ACL中指定条件匹配的新连接。与创建ACL之前建立的现有连接相关的数据包不会被阻止。要终止之前建立的与现有ACL匹配的连接,您可以从CLI或GUI运行刷新操作。
在以下情况下,刷新可能很有用:
- 您将收到列入黑名单的IP地址列表,并希望完全阻止这些IP地址访问Citrix ADC。在这种情况下,您将创建简单 ACL 或简单 ACL6,以阻止来自这些 IP 地址的任何新连接,然后刷新与这些地址关联的任何现有连接。
- 您希望终止来自特定网络的许多连接,而不必花时间逐个终止它们。
开始之前的准备工作
运行冲洗时,Citrix ADC将搜索其所有已建立的连接,并终止与ADC上配置的任何简单ACL中指定的条件匹配的连接。
如果您计划创建多个简单ACL并刷新与其中任何一个连接匹配的现有连接,则可以首先创建所有简单ACL然后仅运行刷新一次,从而最大限度地减少对性能的影响。
CLI过程
使用CLI终止与您配置的任何简单ACL匹配的所有已建立的IPv4连接:
在命令提示符下,键入:
- 冲洗simpleacl -estSessions
使用CLI终止与您配置的任何简单ACL6相匹配的所有已建立的IPv6连接:
在命令提示符下,键入:
- 冲洗simpleacl6 -estSessions
GUI程序
要使用GUI终止与配置的任何简单ACL匹配的所有已建立的IPv4连接,请执行以下操作:
- 导航到系统>网络> ACL。
- 在“简单ACL“选项卡上的“操作“列表中,单击”刷新”。
要使用GUI终止与配置的任何简单ACL6匹配的所有已建立的IPv6连接,请执行以下操作:
- 导航到系统>网络> ACL。
- 在简单ACL6选项卡上的操作列表中,单击刷新。