Ukázková konfigurace základního seznamu přístupu pro Dell Networking SONiC

Summary: Tento článek na příkladu vysvětluje, jak nakonfigurovat základní seznam řízení přístupu (ACL) pro blokování provozu do konkrétní podsítě v rozhraní Dell Networking SONiC.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

 

Požadavky

K předvedení konceptů používáme standardní pojmenování rozhraní. Viz článek Dell Networking řady S: Základní konfigurace rozhraní – SONiC 4.0 , kde najdete další informace o pojmenování rozhraní 


 


Rejstřík


Branka
Topologie
Syntaxe
příkazuKonfigurace
Ověřit

 

Branka


V tomto článku bychom si ukázali základní použití seznamu přístupu. Vezměme si, že máme dvě serverové farmy, jmenovitě zelenou a červenou.
Musíme povolit, aby provozu přicházejícímu do rozhraní Eth 1/1 z podsítě 10.0.0.0/24 byl odepřen přístup k RED (50.0.0.0/24). Veškerý ostatní provoz by měl být povolen.

 

Topologie

Topologie


 

Syntaxe příkazu


Syntaxe konfigurace pro seznam přístupu IPv4 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description]


Pokud paket odpovídá příkazu v seznamu přístupu L3 IPv4, provede se jedna z následujících akcí:

  • Permit — Paket je předáván v datové rovině. Paket je započítán.
  • Deny — Paket je zahozen v rovině dat. Paket je započítán.
  • Transit — Paket je předán v rovině dat. Paket se nezapočítává.
  • Discard — Paket je zahozen v rovině dat. Paket se nezapočítává.



Použití seznamu přístupu v rozhraní
 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out}

 

POZNÁMKA:

Některé klíčové body, které je třeba mít na paměti při konfiguraci seznamu přístupu Pro stručnost bychom používali termín ACL jako zkrácenou formu pro seznam přístupu.

  • Poznámka je vložení popisu do seznamu přístupu. Nemá žádný vliv na dopravu.
  • Seznam přístupu nefiltruje provoz určený pro přepínač, jako je IP adresa zpětné smyčky, IP adresa rozhraní nebo IP adresa VLAN.
  • Globální seznamy ACL (seznamy ACL nepřiřazené konkrétnímu rozhraní nebo rozhraním) filtrují veškerý provoz, který je přemostěn nebo směrován na rozhraních přepínačů. Globální seznamy ACL podporují pravidla MAC, IPv4 a IPv6.
  • Seznamy ACL použité na rozhraní Ethernet nebo port-channel zpracovávají pakety L2 a L3 k určení, zda se má paket předat nebo zahodit na základě kritérií povolení nebo zamítnutí v seznamu ACL.
  • Seznamy ACL použité pro síť VLAN filtrují veškerý provoz, který je přemostěn v rámci stejné sítě VLAN nebo který je směrován do sítě VLAN nebo z ní. Použijte seznamy ACL VLAN pro přemostěný i směrovaný provoz. Seznamy ACL sítě VLAN podporují seznamy ACL MAC, IPv4 a IPv6.
  • ACL se zpracovávají v postupném pořadí od první do poslední číslované položky. Pokud je nalezena shoda, neprovádí se žádné další zpracování seznamu ACL.
  • Ve výchozím nastavení obsahují všechny seznamy ACL L2 MAC, IPv4 a IPv6 na konci jakékoli pravidlo zamítnutí. Pravidlo "Odepřít any" zahodí veškerý provoz, který neodpovídá předchozímu povolení, nebo zakáže položky v seznamu ACL.
  • Přidejte na konec seznamu ACL libovolné pravidlo, které povolí všechny pakety, které nejsou odepřeny jinými kritérii.


    Pomocí následujících příkazů ověřte konfiguraci seznamu přístupu.
     

    Show details of all access list in switch

DELLSONiC# show ip access-lists 


    Show details of specific access list in switch

DELLSONiC# show ip access-lists <access-list-name>


    Show details of access list and applied interface

DELLSONiC# show ip access-group

     

    Configuration


    Teď nakonfigurujeme seznam přístupu. Poznámka je vložení popisu do seznamu přístupu. Nemá žádný vliv na dopravu.
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list DENY-RED
DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED"
DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED"
DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else"
DELLSONiC(config-ipv4-acl)# end
DELLSONiC#



    Nyní použijeme seznam přístupu v rozhraní Eth 1/1.
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in 
DELLSONiC(config-if-Eth1/1)# end
DELLSONiC#

     


    Ověření

     
    Pomocí následujícího příkazu ověřte konfiguraci seznamu přístupu.
     

    DELLSONiC# show ip access-lists 
ip access-list DENY-RED
  remark "DENY IP of RED"
    seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
      remark "DENY RED"
    seq 10 permit ip any any (0 packets) [0 bytes]
      remark "Permit Everything else"
DELLSONiC# 

We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.

    DELLSONiC# show ip access-group 
Ingress IP access-list DENY-RED on Eth1/1
DELLSONiC#

    Affected Products

    Enterprise SONiC Distribution, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
    Article Properties
    Article Number: 000222478
    Article Type: How To
    Last Modified: 17 Jul 2025
    Version:  3
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.