Dell Networking SONiC Voorbeeldconfiguratie van een basistoegangslijst
Summary: In dit artikel wordt uitgelegd hoe u een Basic Access Control List (ACL) configureert om verkeer naar een specifiek subnet in Dell Networking SONiC te blokkeren met een voorbeeld.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
VereistenWe gebruiken standaard interfacenaamgeving om de concepten te demonstreren. Lees het artikel Dell Networking S-serie: Basic Interface Configuration - SONiC 4.0 voor meer informatie over interfacenaamgeving |
Index
Doel
Topologie
Opdrachtsyntaxis
Configuratie
Verifiëren
Doel
In dit artikel demonstreren we een basistoepassing van de toegangslijst. Bedenk dat we twee serverfarms hebben, namelijk groen en rood.
We moeten toestaan dat verkeer dat binnenkomt in de Eth 1/1-interface van het subnet 10.0.0.0/24 de toegang tot RED wordt geweigerd (50.0.0.0/24). Al het andere verkeer moet worden toegestaan.
Topologie
Opdrachtsyntaxis
Configuratiesyntaxis voor IPv4-toegangslijst
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description] |
Wanneer een pakket overeenkomt met een instructie in een L3 IPv4-toegangslijst, wordt een van deze acties uitgevoerd:
- Permit: het pakket wordt doorgestuurd in het datavlak. Het pakket wordt geteld.
- Deny: het pakket wordt in het datavlak gedropt. Het pakket wordt geteld.
- Doorvoer — het pakket wordt doorgestuurd in het datavlak. Het pakket wordt niet geteld.
- Discard: pakket wordt in het datavlak gedropt. Het pakket wordt niet geteld.
De toegangslijst toepassen onder een interface
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out} |
OPMERKING:
Enkele belangrijke punten om te onthouden bij het configureren van de toegangslijst. We zouden de ACL-term gebruiken als korte vorm voor de toegangslijst voor beknoptheid.
- De opmerking is het plaatsen van een beschrijving op de toegangslijst. Het heeft geen invloed op het verkeer.
- De toegangslijst filtert geen verkeer dat bestemd is voor de switch, zoals loopback IP-adres, interface-IP-adres of Vlan IP-adres.
- Globale ACL's (ACL's die niet zijn toegewezen aan een specifieke interface of interfaces) filteren al het verkeer dat wordt overbrugd of gerouteerd op switchinterfaces. Wereldwijde ACL's ondersteunen MAC-, IPv4- en IPv6-regels.
- ACL's die worden toegepast op een Ethernet- of poortkanaalinterface, verwerken L2- en L3-pakketten om te bepalen of een pakket moet worden doorgestuurd of verwijderd op basis van de criteria voor toestaan of weigeren in de ACL.
- ACL's die op een VLAN worden toegepast, filteren al het verkeer dat binnen hetzelfde VLAN wordt overbrugd of dat in of uit een VLAN wordt geleid. Pas VLAN-ACL's toe op zowel overbrugd als gerouteerd verkeer. VLAN-ACL's ondersteunen MAC-, IPv4- en IPv6-ACL's.
- ACL's worden in opeenvolgende volgorde verwerkt van de eerste tot de laatste genummerde invoer. Wanneer er een match wordt gevonden, wordt er geen verdere ACL-verwerking uitgevoerd.
- Standaard bevatten alle L2 MAC-, IPv4- en IPv6-ACL's een 'deny any'-regel aan het eind. De regel voor weigeren laat al het verkeer vallen dat niet overeenkomt met de voorgaande vergunning of weigert vermeldingen in de ACL.
- Voeg een regel toe aan het einde van een ACL om alle pakketten toe te staan die niet worden geweigerd door andere criteria.
Gebruik de volgende opdrachten om de configuratie van de toegangslijst te controleren.
Show details of all access list in switch DELLSONiC# show ip access-lists |
Show details of specific access list in switch DELLSONiC# show ip access-lists <access-list-name> |
Show details of access list and applied interface DELLSONiC# show ip access-group |
Configuratie
Laten we de toegangslijst configureren. De opmerking is het plaatsen van een beschrijving op de toegangslijst. Het heeft geen invloed op het verkeer.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# ip access-list DENY-RED DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED" DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED" DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else" DELLSONiC(config-ipv4-acl)# end DELLSONiC# |
Laten we nu de toegangslijst toepassen onder interface Eth 1/1.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# interface Eth 1/1 DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in DELLSONiC(config-if-Eth1/1)# end DELLSONiC# |
Verifiëren
Gebruik de volgende opdracht om de configuratie van de toegangslijst te controleren.
DELLSONiC# show ip access-lists
ip access-list DENY-RED
remark "DENY IP of RED"
seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
remark "DENY RED"
seq 10 permit ip any any (0 packets) [0 bytes]
remark "Permit Everything else"
DELLSONiC#
We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.
|
DELLSONiC# show ip access-group Ingress IP access-list DENY-RED on Eth1/1 DELLSONiC# |
Affected Products
Enterprise SONiC Distribution, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON
, PowerSwitch Z9432F-ON
...
Article Properties
Article Number: 000222478
Article Type: How To
Last Modified: 17 Jul 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.