Dell EMC Networking Oprettelse og anvendelse af ACL til administration på X-serien
Summary: Dell EMC Networking Oprettelse og anvendelse af ACL til administration på X-serien
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Oprettelse og anvendelse af en ACL til administration på X-serien: Blokering af værters adgang til switchadministration
Eksempelscenarie og krav
Implementering af en switch i X-serien og ønsker at forhindre brugere fra et bestemt undernet i at få adgang til switchadministrationsfunktionerne. For at opnå dette opretter vi en adgangskontrolliste (ACL), udfylder den med de relevante adgangskontrolposter (ACE'er) og anvender ACL'en på en grænseflade.
I dette scenarie er formålet at blokere alle klienter i undernet 172.31.200.0/24 fra at få adgang til switchens IP-adresse. Switchen har flere IP-adresser, både på klientens lokale undernet (172.31.200.3) og på et separat trådløst undernet.
Hvis routing er aktiveret på X-serien, skal den oprettede ACL blokere adgangen både til switchens IP i det lokale undernet samt al trafik, der stammer fra klientens undernet til andre undernet-IP er på switchen (f.eks. fra 172.31.200.0/24 til 172.30.200.3).
Miljø
Klientnetværk: 172.31.200.0/24
Klientnetværksforbindelse: Umærket VLAN 50, Port Gi 1/0/1
Skift IP-adresser:
VLAN 10 – trådløs – 172.30.200.3/24
VLAN 50 – klienter 172.31.200.3/24
Trin til oprettelse
Netværksadministration -> Sikkerhed -> ACL
fig. 1 - Adgang til ACL / ACE-konfigurationssiden i WebGUI
BEMÆRK: X-serien understøtter ikke konfiguration af ACL er/ACE er via CLI. Konfiguration, der udføres via WebGUI, vises stadig i CLI-output, der viser konfiguration, se fig. 1a.
Fig. 1a - Den endelige ACL oprettet ved hjælp af denne artikel. Bemærk, hvordan switchen erstatter nogle portnumre med deres velkendte brug (23 bliver til 'telnet' og 80 bliver til 'www')
Oprettelse af ACL
IPV4-baseret ACL -> Rediger -> Tilføj -> Opret et navn (ingen mellemrum) -> OK -> Luk pop op-vindue
Føj poster (ACE'er) til en ACL
IPv4-baseret ACE -> (ACL-navn (er) er i rullemenuen, vælg det, du lige har oprettet) -> Rediger -> Tilføj -> Udfyld regler for indtastning -> Ok
Hver ACE vil målrette mod en administrationsprotokol, vi ønsker at blokere, samt den unikke destination, vi ønsker at blokere. Vi er nødt til at oprette en separat gruppe ACE'er for den anden mulige administrations-IP, da alternativet er at blokere protokollerne uden hensyn til deres destination - hvilket ville blokere nogen af disse protokoller, der forsøger at passere switchen, hvilket er langt ud over, hvad vi forsøger at gøre - eller blokere uden hensyn til protokol og kun baseret på destination, som ville nægte enhver dirigeret trafik!
Figen. 3 – Tilføjelse af ACE til blok 172.31.200.0/24-klienter fra Telnetting til 172.31.200.3. Indstillingerne i rødt er nødvendige til vores formål; logning - cirklet i orange - er valgfri.
BEMÆRK: Formatet til angivelse af masken i en ACL/ACE er det modsatte af den metode, der bruges til undernetmaskering. Hvis du vil angive undernettet 172.31.200.0/24 (255.255.255.0), er jokertegnmasken 0.0.0.255. På samme måde skal du bruge jokertegnmasken 0.0.0.0 for at angive en enkelt vært (/32 eller 255.255.255.255.255 i undernetmaskenotation).
Gentag for hver protokol (1 for telnet(23), 1 for http(80), 1 for https(443), 1 for ssh(22) [hvis konfigureret – ssh-adgang til X-serien er deaktiveret som standard] og destination, og endelig en 'tillad alle'-erklæring i slutningen for at tillade alt, hvad der ikke udtrykkeligt er blokeret – se fig. 4) -> Ok
fig. 4 – Oprettelse af erklæringen »tillad alle«. Hvis du ikke tilføjer dette, vil det resultere i en implicit afvisning i slutningen af din ACL, hvilket betyder, at hvis switchen når slutningen af ACL (regler anvendes i prioriteret rækkefølge), og ingen af reglerne har matchet, vil den afvise trafikken. Vi tilføjer en tilladelse alt sammen for at undgå at afvise al den specifikt målrettede trafik og al den trafik, vi slet ikke refererer til.
Når du er færdig, skal ACE-posterne for din ACL se ud som fig. 5 nedenfor. Figuren har udeladt de variabler, vi ikke konfigurerede til bedre visning.
Figen. 5 - Redigeret for klarhedens skyld. Dette viser alle ACE'er - regler - der udgør en bestemt ACL. Se her blokerer vi 4 forskellige protokoller - 22, 23, 80 og 443 - til to forskellige destinationer - 172.31.200.3/32 og 172.30.200.3/32.
Anvendelse af ACL på en grænseflade
ACL-binding -> Rediger -> Klik på Rediger ikon efter port -> Lad 'Indgående' være valgt -> Marker 'Vælg IPV4-baseret ACL (vælg ACL fra rullelisten, hvis den ikke allerede er udfyldt) -> OK
fig. 6 – Anvendelse af ACL på grænsefladen. Vi vælger indgående plads, så al trafik, der kommer ind på Gi1/0/1, kontrolleres i forhold til ACL'en, før den tillades længere i switchen.
For ACL'er, der styrer adgangen til switchen, skal vi kontrollere indtrængen. ACL er for udgående data har deres plads, men husk, at trafik, der nægtes af en udgående ACL allerede har passeret switchens interne struktur. Hvis trafikken skal tabes, er det bedst at gøre det, før det har spildt ressourcer, der tillades i og på tværs af switchstrukturen. Afvis så tæt på kilden som muligt!
BEMÆRK: På X-serien kan ACL'er kun bindes til fysiske eller logiske grænseflader, som samler fysiske grænseflader. Det betyder, at ACL'er kan bindes til fysiske porte og LAG'er (portkanaler), men ACL'er kan ikke bindes til VLAN'er.
Affected Products
Dell Networking X1000 Series, Dell Networking X4000 SeriesArticle Properties
Article Number: 000140912
Article Type: Solution
Last Modified: 05 Jun 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.