Dell Networking SONiC Configurazione di esempio di un elenco ACL di base
Summary: Questo articolo illustra con un esempio come configurare un elenco di controllo degli accessi (ACL) di base per bloccare il traffico verso una subnet specifica in Dell Networking SONiC. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
PrerequisitiUsiamo la denominazione dell'interfaccia standard per dimostrare i concetti. Consultare l'articolo Dell Networking serie S: Basic Interface Configuration - SONiC 4.0 per ulteriori informazioni sulla denominazione delle interfacce |
Indice
Traguardo
Topologia
Sintassi
dei comandiConfigurazione
Verificare
Obiettivo
In questo articolo mostreremo un'applicazione di base dell'elenco di accesso. Considera che abbiamo due server farm, ovvero verde e ROSSA.
Dobbiamo consentire al traffico in entrata nell'interfaccia Eth 1/1 dalla subnet 10.0.0.0/24 di negare l'accesso a RED (50.0.0.0/24). Tutto il resto del traffico dovrebbe essere consentito.
Topologia
Sintassi dei comandi
Sintassi di configurazione per l'elenco ACL IPv4
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description] |
Quando un pacchetto corrisponde a un'istruzione in un elenco di accesso IPv4 L3, viene eseguita una delle seguenti azioni:
- Permit: il pacchetto viene inoltrato nel piano dati. Il pacchetto viene conteggiato.
- Deny: il pacchetto viene scartato nel piano dati. Il pacchetto viene conteggiato.
- Transit: il pacchetto viene inoltrato nel piano dati. Il pacchetto non viene conteggiato.
- Discard: il pacchetto viene scartato nel piano dati. Il pacchetto non viene conteggiato.
Applicazione dell'elenco ACL in un'interfaccia
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out} |
NOTA:
Alcuni punti chiave da ricordare durante la configurazione dell'elenco degli accessi. Per brevità, utilizzeremo il termine ACL come forma abbreviata per l'elenco degli accessi.
- Si tratta di inserire una descrizione nell'elenco degli accessi. Non ha alcun impatto sul traffico.
- L'elenco degli accessi non filtra il traffico destinato allo switch come l'indirizzo IP di loopback, l'indirizzo IP dell'interfaccia e l'indirizzo IP della VLAN.
- Gli ACL globali (ACL non assegnati a una o più interfacce specifiche) filtrano tutto il traffico con bridge o instradato sulle interfacce degli switch. Gli ACL globali supportano le regole MAC, IPv4 e IPv6.
- Gli ACL applicati su un'interfaccia Ethernet o port-channel elaborano i pacchetti L2 e L3 per determinare se inoltrare o scartare un pacchetto in base ai criteri permit o denied nell'ACL.
- Gli ACL applicati a una VLAN filtrano tutto il traffico con bridge all'interno della stessa VLAN o instradato all'interno o all'esterno di una VLAN. Applicare gli ACL VLAN sia al traffico con bridge che a quello instradato. Gli ACL VLAN supportano gli ACL MAC, IPv4 e IPv6.
- Gli ACL vengono elaborati in ordine sequenziale dalla prima all'ultima voce numerata. Quando viene trovata una corrispondenza, non viene eseguita alcuna ulteriore elaborazione ACL.
- Per impostazione predefinita, tutti gli ACL MAC, IPv4 e IPv6 L2 contengono una regola deny any alla fine. La regola deny any elimina tutto il traffico che non corrisponde alle precedenti voci permit o deny nell'ACL.
- Aggiungere una regola permit any any alla fine di un ACL per consentire tutti i pacchetti che non vengono negati da altri criteri.
Utilizzare i seguenti comandi per verificare la configurazione dell'elenco ACL.
Show details of all access list in switch DELLSONiC# show ip access-lists |
Show details of specific access list in switch DELLSONiC# show ip access-lists <access-list-name> |
Show details of access list and applied interface DELLSONiC# show ip access-group |
Configuration
Procediamo alla configurazione dell'elenco ACL. Si tratta di inserire una descrizione nell'elenco degli accessi. Non ha alcun impatto sul traffico.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# ip access-list DENY-RED DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED" DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED" DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else" DELLSONiC(config-ipv4-acl)# end DELLSONiC# |
Applichiamo ora l'elenco degli accessi nell'interfaccia Eth 1/1.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# interface Eth 1/1 DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in DELLSONiC(config-if-Eth1/1)# end DELLSONiC# |
Verifica
Utilizzare il comando seguente per verificare la configurazione dell'elenco ACL.
DELLSONiC# show ip access-lists
ip access-list DENY-RED
remark "DENY IP of RED"
seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
remark "DENY RED"
seq 10 permit ip any any (0 packets) [0 bytes]
remark "Permit Everything else"
DELLSONiC#
We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.
|
DELLSONiC# show ip access-group Ingress IP access-list DENY-RED on Eth1/1 DELLSONiC# |
Affected Products
Enterprise SONiC Distribution, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON
, PowerSwitch Z9432F-ON
...
Article Properties
Article Number: 000222478
Article Type: How To
Last Modified: 17 Jul 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.