Dell EMC Networking: создание и применение списка управления для серверов серии X

Создание и применение списка управления для управления в системах серии X: Блокировка доступа хоста к управлению коммутатором

Пример сценария и требований

Заказчики, использующие коммутатор серии X, хотите запретить пользователям из определенной подсети доступ к функциям управления коммутатором. Для этого мы создадим список контроля доступа (ACL), заполним его соответствующими записями контроля доступа (ACE) и применим ACL к интерфейсу.
В этом сценарии цель — заблокировать доступ всех клиентов в подсети 172.31.200.0/24 к IP-адресу коммутатора. Коммутатор имеет несколько IP-адресов, как в локальной подсети клиента (172.31.200.3), так и в отдельной подсети беспроводной сети.
Если маршрутизация включена в системах серии X, созданный список контроля доступа должен блокировать доступ как к IP-адресу коммутатора в локальной подсети, так и к любому трафику, исходящему из подсети Client, предназначенному для IP-адресов других подсетей коммутатора (например, с 172.31.200.0/24 по 172.30.200.3).

Среда
 

Клиентская сеть: Клиентское сетевое подключение 172.31.200.0/24
: Немаркированная сеть VLAN 50, порт Gi 1/0/1
IP-адреса коммутатора:
            VLAN 10 — беспроводная связь — 172.30.200.3/24
; VLAN 50 — клиенты 172.31.200.3/24

 

Этапы создания

Сетевое администрирование -> Безопасность -> ACL


Рис. 1. Доступ к странице конфигурации ACL/ACE в веб-интерфейсе пользователя.

 

Рис.1a – Окончательный ACL, созданный с помощью этой статьи. Обратите внимание на то, как коммутатор заменяет некоторые номера портов для их хорошо известного использования (23 становится 'telnet', а 80 - 'www')

 

Создание списка контроля доступа

Список контроля доступа на основе IPV4 —> Правка —> Добавить —> Создание имени (без пробелов) —> OK —> Всплывающее окно «Закрыть»

Рис.2 – Присвоение имени ACL. Не используйте пробелы или нестандартные символы в именах списков контроля доступа.

 

Добавление записей (ACE) в список контроля доступа

Запись ACE на основе IPv4 -> (имена ACL отображаются в раскрывающемся списке, выберите только что созданную) -> Изменить -> Добавить -> Ввести правила для ввода -> OK

Каждый ACE будет нацелен на один протокол управления, который необходимо заблокировать, а также на уникальный целевой ресурс, который необходимо заблокировать. Нам нужно создать отдельную группу ACE для второго возможного IP-адреса управления, поскольку альтернативой является блокировка протоколов без учета их назначения, что заблокирует любой из этих протоколов, пытающихся транзитировать коммутатор, что выходит далеко за рамки того, что мы пытаемся сделать, или блокировка без учета протокола и только на основе назначения, что будет отклонять любой маршрутизируемый трафик!



Инжир. 3 – Добавление ACE для блокировки клиентов 172.31.200.0/24 из Telnetting в 172.31.200.3. Опции, выделенные красным цветом, необходимы для наших целей; Ведение журнала, обведенное оранжевым цветом, не является обязательным.

 

 

 

Повторите эти действия для каждого протокола (1 для telnet(23), 1 для http(80), 1 для https(443), 1 для ssh(22) [если настроен – доступ по SSH к X-серии отключен по умолчанию] и назначения, и, наконец, оператор 'allow all' в конце, чтобы разрешить все, что не заблокировано явно - см. рис. 4) -> Хорошо



,рис. 4 – Создание оператора «разрешить все». Если этого не добавить, это приведет к неявному запрету в конце ACL, а это означает, что если коммутатор достигнет конца ACL (правила применяются в порядке приоритета) и ни одно из правил не совпадет, он отклонит трафик. Мы добавляем разрешение all, чтобы не отклонять весь конкретно целевой трафик и весь трафик, на который мы вообще не ссылаемся.

Когда вы закончите, записи ACE для вашего ACL должны выглядеть, как показано на рисунке 5 ниже. На рисунке опущены переменные, которые мы не настроили для лучшего просмотра.



Инжир. 5 – Отредактировано для ясности. Здесь отображаются все записи ACE (правила), составляющие определенный ACL. Смотрите, мы блокируем 4 различных протокола — 22, 23, 80 и 443 — для двух разных адресов — 172.31.200.3/32 и 172.30.200.3/32.
 

Применение списка контроля доступа к интерфейсу

Привязка ACL -> Правка -> Нажмите значок редактирования по порту -> Оставьте выбранным 'Ingress' -> Установите флажок 'Выбрать ACL на основе Ipv4 (выберите ACL из выпадающего списка, если еще не заполнен) -> OK


Рис. 6 – Применение ACL к интерфейсу. Мы выбираем входящий трафик таким образом, чтобы весь трафик, поступающий на Gi1/0/1, проверялся на соответствие ACL, прежде чем он был разрешен дальше по коммутатору.