Dell Networking SONiC Beispielkonfiguration einer grundlegenden Zugriffsliste

Summary: In diesem Artikel wird anhand eines Beispiels erläutert, wie Sie eine grundlegende Zugriffskontrollliste (Access Control List, ACL) konfigurieren, um den Datenverkehr zu einem bestimmten Subnetz in Dell Networking SONiC zu blockieren. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

 

Voraussetzungen

Wir verwenden die Standardbenennung von Schnittstellen, um die Konzepte zu demonstrieren. Weitere Informationen finden Sie im Artikel Dell Networking S-Serie: Grundlegende Schnittstellenkonfiguration – SONiC 4.0 für weitere Informationen zur Schnittstellenbenennung 


 


Index


Ziel
Topologie
Befehlssyntax
Konfiguration
Überprüfen

 

Ziel


In diesem Artikel würden wir eine grundlegende Anwendung der Zugriffsliste demonstrieren. Wir haben zwei Serverfarmen, nämlich die grüne und die rote.
Wir müssen zulassen, dass dem Datenverkehr, der vom Subnetz 10.0.0.0/24 in die Eth 1/1-Schnittstelle kommt, der Zugriff auf RED (50.0.0.0/24) verweigert wird. Jeder andere Datenverkehr sollte zulässig sein.

 

Topologie

Topologie


 

Befehlssyntax


Konfigurationssyntax für IPv4-Zugriffsliste 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description]


Wenn ein Paket mit einer Anweisung in einer L3-IPv4-Zugriffsliste übereinstimmt, wird eine der folgenden Aktionen ausgeführt:

  • Zulassen – Das Paket wird in der Datenebene weitergeleitet. Das Paket wird gezählt.
  • Deny – Das Paket wird in der Datenebene verworfen. Das Paket wird gezählt.
  • Transit – Das Paket wird in der Datenebene weitergeleitet. Das Paket wird nicht gezählt.
  • Verwerfen – Das Paket wird in der Datenebene verworfen. Das Paket wird nicht gezählt.



Anwenden der Zugriffsliste unter einer Schnittstelle
 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out}

 

HINWEIS:

Einige wichtige Punkte, die Sie bei der Konfiguration der Zugriffsliste beachten sollten. Der Kürze halber würden wir den Begriff ACL als Kurzform für die Zugriffsliste verwenden.

  • Die Bemerkung fügt eine Beschreibung in die Zugriffsliste ein. Es hat keine Auswirkungen auf den Verkehr.
  • Die Zugriffsliste filtert den für den Switch bestimmten Datenverkehr nicht wie Loopback-IP-Adresse, Schnittstellen-IP-Adresse, VLAN-IP-Adresse.
  • Globale ACLs (ACLs, die keiner bestimmten Schnittstelle oder bestimmten Schnittstellen zugewiesen sind) filtern den gesamten Datenverkehr, der auf Switchschnittstellen überbrückt oder weitergeleitet wird. Globale ACLs unterstützen MAC-, IPv4- und IPv6-Regeln.
  • ACLs, die auf eine Ethernet- oder Portkanalschnittstelle angewendet werden, verarbeiten L2- und L3-Pakete, um zu bestimmen, ob ein Paket basierend auf den Kriterien für die Genehmigung oder Ablehnung in der ACL weitergeleitet oder verworfen werden soll.
  • ACLs, die auf ein VLAN angewendet werden, filtern den gesamten Datenverkehr, der innerhalb desselben VLAN überbrückt wird oder der in ein oder aus einem VLAN geleitet wird. Wenden Sie VLAN-ACLs sowohl auf überbrückten als auch auf gerouteten Datenverkehr an. VLAN-ACLs unterstützen MAC-, IPv4- und IPv6-ACLs.
  • ACLs werden in sequenzieller Reihenfolge vom ersten bis zum letzten nummerierten Eintrag verarbeitet. Wenn eine Übereinstimmung gefunden wird, wird keine weitere ACL-Verarbeitung durchgeführt.
  • Standardmäßig enthalten alle L2 MAC-, IPv4- und IPv6-ACLs am Ende eine Regel zum Verweigern von allen. Mit der Regel deny any wird der gesamte Datenverkehr gelöscht, der nicht mit den vorhergehenden Permit- oder Deny-Einträgen in der ACL übereinstimmt.
  • Fügen Sie eine beliebige Regel zum Zulassen einer beliebigen Regel am Ende einer ACL hinzu, um alle Pakete zuzulassen, die nicht durch andere Kriterien abgelehnt werden.


    Verwenden Sie die folgenden Befehle, um die Konfiguration der Zugriffsliste zu überprüfen.
     

    Show details of all access list in switch

DELLSONiC# show ip access-lists 


    Show details of specific access list in switch

DELLSONiC# show ip access-lists <access-list-name>


    Show details of access list and applied interface

DELLSONiC# show ip access-group

     

    Konfiguration


    Lassen Sie uns die Zugriffsliste konfigurieren. Die Bemerkung fügt eine Beschreibung in die Zugriffsliste ein. Es hat keine Auswirkungen auf den Verkehr.
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list DENY-RED
DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED"
DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED"
DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else"
DELLSONiC(config-ipv4-acl)# end
DELLSONiC#



    Lassen Sie uns nun die Zugriffsliste unter Schnittstelle Eth 1/1 anwenden.
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in 
DELLSONiC(config-if-Eth1/1)# end
DELLSONiC#

     


    Prüfen

     
    Verwenden Sie den folgenden Befehl, um die Konfiguration der Zugriffsliste zu überprüfen.
     

    DELLSONiC# show ip access-lists 
ip access-list DENY-RED
  remark "DENY IP of RED"
    seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
      remark "DENY RED"
    seq 10 permit ip any any (0 packets) [0 bytes]
      remark "Permit Everything else"
DELLSONiC# 

We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.

    DELLSONiC# show ip access-group 
Ingress IP access-list DENY-RED on Eth1/1
DELLSONiC#

    Affected Products

    Enterprise SONiC Distribution, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
    Article Properties
    Article Number: 000222478
    Article Type: How To
    Last Modified: 17 Jul 2025
    Version:  3
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.