Dell EMC Networking 在 X 系列上建立和套用管理 ACL

在 X 系列上建立和套用管理 ACL：封鎖主機存取交換器管理

範例方案和要求

實作 X 系列交換器，並希望防止特定子網路的使用者存取交換器管理功能。為此，我們將創建一個訪問控制清單 （ACL），使用相關的訪問控制項 （ACE） 填充它，並將 ACL 應用於介面。
在這種情況下，目的是阻止子網 172.31.200.0/24 中的所有用戶端訪問交換機的 IP 位址。交換器在用戶端本機子網 （172.31.200.3） 和個別無線子網路上有多個 IP 位址。
如果在 X 系列上啟用了路由，則創建的 ACL 必須阻止對本地子網中交換機 IP 的訪問，以及來自用戶端子網發往交換機上其他子網 IP 的任何流量（例如，從 172.31.200.0/24 到 172.30.200.3）。

環境
 

用戶端網路：172.31.200.0/24
用戶端網路連線：未標記的 VLAN 50、連接埠 Gi 1/0/1
交換器 IP 位址：
            VLAN 10 – 無線 – 172.30.200.3/24
VLAN 50 – 用戶端 172.31.200.3/24

 

建立步驟

網路管理 -> 安全性 -> ACL圖


1 – 在 WebGUI 中存取 ACL/ACE 組態頁面

 

圖 1a – 使用本文創建的最終 ACL。請注意交換機如何將某些埠號替換為其眾所周知的用途（23 變為“telnet”，80 變為“www”）

 

建立 ACL

IPV4 型 ACL -> 編輯 -> 新增 -> 建立名稱 （無空格） -> 確定 -> 關閉快顯視窗

圖 2 – 命名 ACL。避免在 ACL 名稱中使用空格或非標準字元。

 

將項目 （ACE） 新增至 ACL

基於 IPv4 的 ACE -> （ACL 名稱位於下拉清單中，請選擇剛剛創建的名稱） -> 編輯 -> 新增 -> 填寫輸入規則 -> 確定

每個 ACE 將針對我們希望阻止的一個管理協定以及我們希望阻止的唯一目標。我們需要為第二個可能的管理IP創建一個單獨的 ACE 組，因為替代方案是阻止協定而不考慮其目的地 - 這將阻止任何這些協定試圖通過交換機，這遠遠超出了我們嘗試做的事情 - 或者阻止而不考慮協定，僅基於將拒絕任何路由流量的目的地！



無花果。3 – 將 ACE 添加到阻止 172.31.200.0/24 用戶端從 Telnetting 到 172.31.200.3。出於我們的目的，紅色選項是必需的;日誌記錄 - 以橙色圈出 - 是可選的。

 

 

 

對每個協定重複（1 用於 telnet（23），1 用於 HTTP（80），1 用於 https（443），1 用於 ssh（22） [如果配置 – 默認情況下禁用對 X 系列的 ssh 訪問] 和目標，最後在末尾添加“全部允許”語句以允許未明確阻止的所有內容 – 見圖 4） -> 好的
圖


4 – 創建“全部允許”語句。未添加此項將導致 ACL 末尾的隱式拒絕，這意味著如果交換機到達 ACL 的末尾（規則按優先順序順序應用）並且沒有任何規則匹配，它將拒絕流量。我們添加一個許可證，以避免拒絕所有特定目標流量和我們根本不引用的所有流量。

完成後，ACL 的 ACE 條目應類似於下面的圖 5。該圖省略了我們為了更好地查看而未配置的變數。



無花果。5 – 為清楚起見進行了編輯。這將顯示構成特定 ACL 的所有 ACE（規則）。在這裡，我們將 4 種不同的協定（22、23、80 和 443）阻止到兩個不同的目的地 – 172.31.200.3/32 和 172.30.200.3/32。
 

將 ACL 套用至介面

ACL 繫結 -> 編輯 -> 按一下「依連接埠編輯」圖示 -> 保留「入口」選項 -> 勾選「選取 IPv4 型 ACL （若尚未填入，請從下拉式選單選取 ACL） -> 確定圖


6 – 將 ACL 應用於介面。我們選擇入口，以便根據 ACL 檢查傳入 Gi1/0/1 上的所有流量，然後再允許進一步進入交換機。