Dell Networking SONiC Exemple de configuration d’une liste d’accès de base
Summary: Dans cet article, par exemple, nous vous expliquons comment configurer une liste de contrôle d’accès (ACL) de base pour bloquer le trafic vers un sous-réseau spécifique dans Dell Networking SONiC. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Configuration requiseNous utilisons une dénomination d’interface standard pour démontrer les concepts. Voir l’article Dell Networking série S : Configuration de l’interface de base - SONiC 4.0 pour plus d’informations sur la dénomination des interfaces |
Index
But
Topologie
Syntaxe de la
commandeConfiguration
Vérifier
But
Nous démontrerons une application de base de la liste d’accès dans cet article. Considérez que nous avons deux fermes de serveurs, à savoir Green et RED.
Nous devons permettre au trafic entrant dans l’interface Eth 1/1 à partir du sous-réseau 10.0.0.0/24 de se voir refuser l’accès à RED (50.0.0.0/24). Tout le reste du trafic doit être autorisé.
Topologie
Syntaxe de la commande
Syntaxe de configuration de la liste d’accès IPv4
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description] |
Lorsqu’un paquet correspond à une instruction dans une liste d’accès IPv4 L3, l’une des actions suivantes est effectuée :
- Permit : le paquet est transféré dans le plan de données. Le paquet est compté.
- Deny : le paquet est abandonné dans le plan de données. Le paquet est compté.
- Transit : le paquet est transféré dans le plan de données. Le paquet n’est pas comptabilisé.
- Abandonner : le paquet est abandonné dans le plan de données. Le paquet n’est pas comptabilisé.
Appliquer la liste d’accès sous une interface
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out} |
Remarque :
Quelques points clés à retenir lors de la configuration de la liste d’accès. Nous utiliserions le terme ACL comme forme abrégée pour la liste d’accès par souci de concision.
- La remarque ajoute une description à la liste d’accès. Cela n’a aucun impact sur le trafic.
- La liste d’accès ne filtre pas le trafic destiné au commutateur, comme l’adresse IP de bouclage, l’adresse IP de l’interface et l’adresse IP VLAN.
- Les ACL globales (ACL non attribuées à une ou plusieurs interfaces spécifiques) filtrent tout le trafic qui est ponté ou acheminé sur les interfaces du commutateur. Les ACL globales prennent en charge les règles MAC, IPv4 et IPv6.
- Les ACL appliquées sur une interface Ethernet ou de canal de port traitent les paquets L2 et L3 pour déterminer s’il faut transférer ou abandonner un paquet en fonction des critères d’autorisation ou de refus de l’ACL.
- Les ACL appliquées à un VLAN filtrent tout le trafic qui est ponté au sein du même VLAN, ou qui est acheminé vers ou depuis un VLAN. Appliquez des ACL de VLAN au trafic ponté et acheminé. Les ACL VLAN prennent en charge les ACL MAC, IPv4 et IPv6.
- Les ACL sont traitées dans l’ordre séquentiel, de la première à la dernière entrée numérotée. Lorsqu’une correspondance est trouvée, aucun autre traitement ACL n’est effectué.
- Par défaut, toutes les ACL MAC L2, IPv4 et IPv6 contiennent une règle deny any à la fin. La règle deny any supprime tout trafic qui ne correspond pas aux entrées d’autorisation ou de refus précédentes dans l’ACL.
- Ajoutez une règle permit any any à la fin d’une ACL pour autoriser tous les paquets qui ne sont pas refusés par d’autres critères.
Utilisez les commandes suivantes pour vérifier la configuration de la liste d’accès.
Show details of all access list in switch DELLSONiC# show ip access-lists |
Show details of specific access list in switch DELLSONiC# show ip access-lists <access-list-name> |
Show details of access list and applied interface DELLSONiC# show ip access-group |
Configuration
Configureons la liste d’accès. La remarque ajoute une description à la liste d’accès. Cela n’a aucun impact sur le trafic.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# ip access-list DENY-RED DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED" DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED" DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else" DELLSONiC(config-ipv4-acl)# end DELLSONiC# |
Appliquons maintenant la liste d’accès sous l’interface Eth 1/1.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# interface Eth 1/1 DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in DELLSONiC(config-if-Eth1/1)# end DELLSONiC# |
Vérifier
Utilisez la commande suivante pour vérifier la configuration de la liste d’accès.
DELLSONiC# show ip access-lists
ip access-list DENY-RED
remark "DENY IP of RED"
seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
remark "DENY RED"
seq 10 permit ip any any (0 packets) [0 bytes]
remark "Permit Everything else"
DELLSONiC#
We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.
|
DELLSONiC# show ip access-group Ingress IP access-list DENY-RED on Eth1/1 DELLSONiC# |
Affected Products
Enterprise SONiC Distribution, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON
, PowerSwitch Z9432F-ON
...
Article Properties
Article Number: 000222478
Article Type: How To
Last Modified: 17 Jul 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.