Dell Networking SONiC Eksempel på konfiguration af en grundlæggende adgangsliste

Summary: I denne artikel forklares det, hvordan du konfigurerer en grundlæggende adgangskontrolliste (ACL) til at blokere trafik til et bestemt undernet i Dell Networking SONiC med et eksempel.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

 

Forudsætninger

Vi bruger standard interface navngivning til at demonstrere koncepterne. Se artiklen Dell Networking S-serien: Basic Interface Configuration - SONiC 4.0 for at få flere oplysninger om navngivning af grænseflade 


 


Indeks


Mål
Topologi
Kommandosyntaks
Konfiguration
Kontrolere

 

Mål


Vi vil demonstrere en grundlæggende anvendelse af adgangslisten i denne artikel. Overvej at vi har to Server Farms, nemlig Green og RED.
Vi skal tillade, at trafik, der kommer ind i Eth 1/1-grænsefladen fra 10.0.0.0/24-undernettet, nægtes adgang til RED (50.0.0.0/24). Al anden trafik skal være tilladt.

 

Topologi

Topologi


 

Kommandosyntaks


Konfigurationssyntaks for IPv4-adgangsliste 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description]


Når en pakke matcher en sætning på en L3 IPv4-adgangsliste, udføres en af disse handlinger:

  • Permit — Packet videresendes i dataplanet. Pakken tælles.
  • Afvis – Pakken slippes i dataplanet. Pakken tælles.
  • Transit — Pakken videresendes i dataplanet. Pakken tælles ikke.
  • Kassér – Pakken slippes i dataplanet. Pakken tælles ikke.



Anvend adgangslisten under en grænseflade
 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out}

 

BEMÆRK:

Nogle vigtige punkter, du skal huske, når du konfigurerer adgangslisten. Vi ville bruge ACL-udtryk som kort form for adgangsliste for kortfattethed.

  • Bemærkningen er at sætte en beskrivelse på adgangslisten. Det har ingen indflydelse på trafikken.
  • Adgangslisten filtrerer ikke trafik, der er bestemt til switchen, som loopback-IP-adresse, interface-IP-adresse, Vlan IP-adresse.
  • Globale ACL'er (ACL'er, der ikke er tildelt en eller flere bestemte grænseflader) filtrerer al trafik, der brobygges eller dirigeres på switchgrænseflader. Globale ACL'er understøtter MAC-, IPv4- og IPv6-regler.
  • ACL'er anvendt på en Ethernet- eller portkanalgrænsefladeproces L2- og L3-pakker for at afgøre, om en pakke skal videresendes eller slippes baseret på tilladelses- eller nægtelseskriterierne i ACL'en.
  • ACL er, der anvendes på et VLAN, filtrerer al trafik, der er brobygget inden for det samme VLAN, eller som dirigeres ind eller ud af et VLAN. Anvend VLAN ACL'er på både brobygget og dirigeret trafik. VLAN ACL er understøtter MAC, IPv4 og IPv6 ACL er.
  • ACL'er behandles i rækkefølge fra den første til den sidste nummererede post. Når der findes et match, udføres der ikke yderligere ACL-behandling.
  • Som standard indeholder alle L2 MAC-, IPv4- og IPv6 ACL'er en afvis enhver regel i slutningen. Afvis enhver regel dropper al trafik, der ikke stemmer overens med tidligere tilladelse, eller afvis poster i ACL.
  • Tilføj en tilladelsesregel til slutningen af en ACL for at tillade alle pakker, der ikke afvises af andre kriterier.


    Brug følgende kommandoer til at kontrollere konfigurationen af adgangslisten.
     

    Show details of all access list in switch

DELLSONiC# show ip access-lists 


    Show details of specific access list in switch

DELLSONiC# show ip access-lists <access-list-name>


    Show details of access list and applied interface

DELLSONiC# show ip access-group

     

    Konfiguration


    Lad os konfigurere adgangslisten. Bemærkningen er at sætte en beskrivelse på adgangslisten. Det har ingen indflydelse på trafikken.
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list DENY-RED
DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED"
DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED"
DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else"
DELLSONiC(config-ipv4-acl)# end
DELLSONiC#



    Lad os nu anvende adgangslisten under interface Eth 1/1.
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in 
DELLSONiC(config-if-Eth1/1)# end
DELLSONiC#

     


    Bekræft

     
    Brug følgende kommando til at kontrollere konfigurationen af adgangslisten.
     

    DELLSONiC# show ip access-lists 
ip access-list DENY-RED
  remark "DENY IP of RED"
    seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
      remark "DENY RED"
    seq 10 permit ip any any (0 packets) [0 bytes]
      remark "Permit Everything else"
DELLSONiC# 

We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.

    DELLSONiC# show ip access-group 
Ingress IP access-list DENY-RED on Eth1/1
DELLSONiC#

    Affected Products

    Enterprise SONiC Distribution, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
    Article Properties
    Article Number: 000222478
    Article Type: How To
    Last Modified: 17 Jul 2025
    Version:  3
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.