Dell Networking SONiC Ejemplo de configuración de una lista de acceso básica
Summary: En este artículo, se explica cómo configurar una lista de control de acceso (ACL) básica para bloquear el tráfico a una subred específica en Dell Networking SONiC con un ejemplo.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Requisitos previosEstamos utilizando la nomenclatura estándar de la interfaz para demostrar los conceptos. Consulte el artículo Serie S de Dell Networking: Configuración básica de la interfaz: SONiC 4.0 para obtener más información sobre la asignación de nombres de interfaces |
Índice
Gol
Topología
Sintaxis
del comandoConfiguración
Verificar
Meta
En este artículo demostraremos una aplicación básica de la lista de acceso. Tenga en cuenta que tenemos dos granjas de servidores: verde y roja.
Debemos permitir que al tráfico que entra en la interfaz Eth 1/1 desde la subred 10.0.0.0/24 se le niegue el acceso a RED (50.0.0.0/24). El resto del tráfico debe estar permitido.
Topología
Sintaxis del comando
Sintaxis de configuración para la lista de acceso IPv4
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description] |
Cuando un paquete coincide con una declaración en una lista de acceso IPv4 L3, se realiza una de estas acciones:
- Permit: el paquete se reenvía en el plano de datos. Se cuenta el paquete.
- Denegar: el paquete se descarta en el plano de datos. Se cuenta el paquete.
- Tránsito: el paquete se reenvía en el plano de datos. El paquete no se cuenta.
- Descartar: el paquete se descarta en el plano de datos. El paquete no se cuenta.
Aplicar la lista de acceso en una interfaz
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out} |
NOTA:
Algunos puntos clave que se deben recordar al configurar la lista de acceso. Utilizaríamos el término ACL como forma abreviada para la lista de acceso por razones de brevedad.
- El comentario es poner una descripción a la lista de acceso. No tiene ningún impacto en el tráfico.
- La lista de acceso no filtra el tráfico destinado al switch, como la dirección IP de loopback, la dirección IP de interfaz o la dirección IP de VLAN.
- Las ACL globales (ACL no asignadas a una o más interfaces específicas) filtran todo el tráfico que se puentea o enruta en las interfaces de switch. Las ACL globales admiten las reglas MAC, IPv4 e IPv6.
- Las ACL aplicadas en una interfaz Ethernet o de canal de puerto procesan los paquetes L2 y L3 para determinar si se debe reenviar o descartar un paquete en función de los criterios de permiso o denegación en la ACL.
- Las ACL aplicadas a una VLAN filtran todo el tráfico que se puentea dentro de la misma VLAN o que se enruta dentro o fuera de una VLAN. Aplique las ACL de VLAN al tráfico puenteado y enrutado. Las ACL de VLAN son compatibles con las ACL MAC, IPv4 e IPv6.
- Las ACL se procesan en orden secuencial desde la primera hasta la última entrada numerada. Cuando se encuentra una coincidencia, no se realiza ningún procesamiento adicional de ACL.
- De manera predeterminada, todas las ACL MAC L2, IPv4 e IPv6 contienen una regla de denegación de cualquier regla al final. La regla de denegación elimina todo el tráfico que no coincida con las entradas de permiso o denegación anteriores en la ACL.
- Agregue una regla de permiso al final de una ACL para permitir todos los paquetes que no sean denegados por otros criterios.
Utilice los siguientes comandos para verificar la configuración de la lista de acceso.
Show details of all access list in switch DELLSONiC# show ip access-lists |
Show details of specific access list in switch DELLSONiC# show ip access-lists <access-list-name> |
Show details of access list and applied interface DELLSONiC# show ip access-group |
Configuración
Configuremos la lista de acceso. El comentario es poner una descripción a la lista de acceso. No tiene ningún impacto en el tráfico.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# ip access-list DENY-RED DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED" DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED" DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else" DELLSONiC(config-ipv4-acl)# end DELLSONiC# |
Ahora apliquemos la lista de acceso en la interfaz Eth 1/1.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# interface Eth 1/1 DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in DELLSONiC(config-if-Eth1/1)# end DELLSONiC# |
Verificar
Utilice el siguiente comando para verificar la configuración de la lista de acceso.
DELLSONiC# show ip access-lists
ip access-list DENY-RED
remark "DENY IP of RED"
seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
remark "DENY RED"
seq 10 permit ip any any (0 packets) [0 bytes]
remark "Permit Everything else"
DELLSONiC#
We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.
|
DELLSONiC# show ip access-group Ingress IP access-list DENY-RED on Eth1/1 DELLSONiC# |
Affected Products
Enterprise SONiC Distribution, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON
, PowerSwitch Z9432F-ON
...
Article Properties
Article Number: 000222478
Article Type: How To
Last Modified: 17 Jul 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.