Dell Networking SONiC Peruskäyttöoikeusluettelon esimerkkimääritys

Summary: Tässä artikkelissa selitetään esimerkin avulla, miten Basic Access Control List (ACL) määritetään estämään liikenne tiettyyn aliverkkoon Dell Networking SONiCissa.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

 

Edellytykset

Käytämme vakiorajapintojen nimeämistä käsitteiden havainnollistamiseen. Katso artikkeli Dell Networking S-Series: Basic Interface Configuration - SONiC 4.0 tarjoaa lisätietoja liittymien nimeämisestä 


 


Hakemisto


Tavoite
Topologia
Komennon syntaksi
Konfiguraatio
Tarkistaa

 

Tavoite


Osoitamme tässä artikkelissa käyttöoikeusluettelon perussovelluksen. Ajattele, että meillä on kaksi palvelinfarmia, nimittäin Green ja RED.
Meidän on sallittava, että Eth 1/1 -rajapintaan aliverkosta 10.0.0.0/24 tulevalta liikenteeltä estetään pääsy RED:ään (50.0.0.0/24). Kaikki muu liikenne on sallittava.

 

Topologia

Topologia


 

Komennon syntaksi


IPv4-käyttöoikeusluettelon määrityssyntaksi 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description]


Kun paketti vastaa L3 IPv4 Access -luettelossa olevaa lausetta, suoritetaan jokin seuraavista toimista:

  • Permit — Paketti välitetään datatasossa. Paketti lasketaan.
  • Deny — Paketti pudotetaan datatasoon. Paketti lasketaan.
  • Transit — Paketti välitetään datatasossa. Pakettia ei lasketa.
  • Hylkää — Paketti pudotetaan datatasoon. Pakettia ei lasketa.



Käytä käyttöoikeusluetteloa liittymässä
 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out}

 

HUOMAUTUS:

Joitakin keskeisiä kohtia, jotka on muistettava käyttöoikeusluetteloa määritettäessä. Käytämme ACL-termiä lyhyenä muotona Access-luettelossa lyhyyden vuoksi.

  • Huomautus on kuvauksen lisääminen käyttöoikeusluetteloon. Sillä ei ole vaikutusta liikenteeseen.
  • Käyttöoikeusluettelo ei suodata kytkimelle tarkoitettua liikennettä, kuten silmukan IP-osoitetta, liittymän IP-osoitetta, Vlan-IP-osoitetta.
  • Global ACL:t (käyttöoikeusluettelot, joita ei ole määritetty tiettyyn liittymään tai liittymiin) suodattavat kaiken liikenteen, joka silloitetaan tai reititetään kytkinliittymien kautta. Yleiset käyttöoikeusluettelot tukevat MAC-, IPv4- ja IPv6-sääntöjä.
  • ACL: t, joita käytetään Ethernet- tai porttikanavaliitäntäprosessissa L2- ja L3-paketit sen määrittämiseksi, lähetetäänkö vai pudotetaanko paketti ACL: n lupaehtojen tai evättyjen ehtojen perusteella.
  • VLAN-verkkoon sovellettavat käyttöoikeusluettelot suodattavat kaiken liikenteen, joka on yhdistetty saman VLAN-verkon sisällä tai joka reititetään VLAN-verkkoon tai sieltä pois. Käytä VLAN ACL -luetteloita sekä sillatulle että reititetylle liikenteelle. VLAN-käyttöoikeusluettelot tukevat MAC-, IPv4- ja IPv6-käyttöoikeusluetteloita.
  • ACL-luettelot käsitellään järjestyksessä ensimmäisestä viimeiseen numeroituun merkintään. Kun vastaavuus löytyy, käyttöoikeusluetteloa ei enää käsitellä.
  • Kaikkien L2 MAC-, IPv4- ja IPv6-käyttöoikeusluetteloiden lopussa on kieltosääntö. Estä kaikki -sääntö pudottaa kaiken liikenteen, joka ei vastaa aiempaa lupaa, tai estä merkinnät käyttöoikeusluettelossa.
  • Lisää lupa minkä tahansa säännön ACL: n loppuun salliaksesi kaikki paketit, joita muut kriteerit eivät kiellä.


    Tarkista käyttöoikeusluettelon määritys seuraavilla komennoilla.
     

    Show details of all access list in switch

DELLSONiC# show ip access-lists 


    Show details of specific access list in switch

DELLSONiC# show ip access-lists <access-list-name>


    Show details of access list and applied interface

DELLSONiC# show ip access-group

     

    Määritys


    Määritetään käyttöoikeusluettelo. Huomautus on kuvauksen lisääminen käyttöoikeusluetteloon. Sillä ei ole vaikutusta liikenteeseen.
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list DENY-RED
DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED"
DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED"
DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else"
DELLSONiC(config-ipv4-acl)# end
DELLSONiC#



    Nyt käytetään käyttöoikeusluetteloa käyttöliittymän Eth 1/1 alla.
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in 
DELLSONiC(config-if-Eth1/1)# end
DELLSONiC#

     


    Tarkista

     
    Tarkista käyttöoikeusluettelon määritykset seuraavalla komennolla.
     

    DELLSONiC# show ip access-lists 
ip access-list DENY-RED
  remark "DENY IP of RED"
    seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
      remark "DENY RED"
    seq 10 permit ip any any (0 packets) [0 bytes]
      remark "Permit Everything else"
DELLSONiC# 

We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.

    DELLSONiC# show ip access-group 
Ingress IP access-list DENY-RED on Eth1/1
DELLSONiC#

    Affected Products

    Enterprise SONiC Distribution, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
    Article Properties
    Article Number: 000222478
    Article Type: How To
    Last Modified: 17 Jul 2025
    Version:  3
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.