Eksempel på konfigurasjon av en grunnleggende tilgangsliste for Dell Networking SONiC

Summary: Et eksempel forklarer denne artikkelen hvordan du konfigurerer en ACL (Basic Access Control List) for å blokkere trafikk til et bestemt delnett i Dell Networking SONiC.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

 

Forhåndskrav

Vi bruker standard grensesnittnavn for å demonstrere konseptene. Se artikkelen Dell Networking i S-serien: Basic Interface Configuration – SONiC 4.0 for mer informasjon om grensesnittnavn 


 


Index


Mål
Topologi
Kommandosyntaks
Konfigurasjon
Verifisere

 

Mål


Vi vil demonstrere en grunnleggende anvendelse av tilgangsliste i denne artikkelen. Tenk deg at vi har to serverfarmer, nemlig grønn og rød.
Vi må tillate at trafikk som kommer inn i Eth 1/1-grensesnittet fra 10.0.0.0/24-delnettet nektes tilgang til RED (50.0.0.0/24). All annen trafikk bør tillates.

 

Topologi

Topologi


 

Kommandosyntaks


Syntaks for konfigurasjon for IPv4-tilgangsliste 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description]


Når en pakke samsvarer med en setning i en L3 IPv4-tilgangsliste, utføres en av disse handlingene:

  • Tillatelse – pakken videresendes i dataplanet. Pakken telles.
  • Avslå – Pakken slippes i dataplanet. Pakken telles.
  • Transitt — Pakken videresendes i dataplanet. Pakken telles ikke.
  • Forkast – Pakken slippes i dataplanet. Pakken telles ikke.



Bruke tilgangslisten under et grensesnitt
 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out}

 

MERK:

Noen viktige punkter å huske på når du konfigurerer tilgangslisten. Vi ville bruke ACL term som kortform for tilgangsliste for korthet.

  • Bemerkningen er å sette en beskrivelse på tilgangslisten. Det har ingen innvirkning på trafikken.
  • Tilgangslisten filtrerer ikke trafikk som skal til svitsjen, for eksempel tilbakekobling av IP-adresse, grensesnitt-IP-adresse eller VLAN-IP-adresse.
  • Globale ACL-er (ACL-er som ikke er tilordnet et bestemt grensesnitt eller grensesnitt) filtrerer all trafikk som er overkoblet eller rutet i svitsjgrensesnitt. Globale tilgangskontrollister støtter MAC-, IPv4- og IPv6-regler.
  • ACLer som brukes på en Ethernet- eller portkanalgrensesnittprosess L2- og L3-pakker for å avgjøre om en pakke skal videresendes eller fjernes basert på tillatelsen eller nektede kriterier i tilgangskontrollisten.
  • ACLer som brukes på et VLAN-filter, all trafikk som er koblet sammen innenfor samme VLAN, eller som rutes inn eller ut av et VLAN. Bruke VLAN ACL-er på både brokoblet og rutet trafikk. VLAN ACL-er støtter MAC, IPv4 og IPv6 ACL-er.
  • ACLer behandles i sekvensiell rekkefølge fra første til siste nummererte oppføring. Når et treff blir funnet, utføres ingen ytterligere ACL-behandling.
  • Som standard inneholder alle L2 MAC-, IPv4- og IPv6 ACL-er en avvisningsregel på slutten. Nekt enhver regel dropper all trafikk som ikke samsvarer med foregående tillatelse eller nekte oppføringer i ACL.
  • Legg til en tillatelse, en hvilken som helst regel, på slutten av en tilgangskontrolliste for å tillate alle pakker som ikke nektes av andre kriterier.


    Bruk følgende kommandoer til å kontrollere konfigurasjonen av tilgangslisten.
     

    Show details of all access list in switch

DELLSONiC# show ip access-lists 


    Show details of specific access list in switch

DELLSONiC# show ip access-lists <access-list-name>


    Show details of access list and applied interface

DELLSONiC# show ip access-group

     

    Konfigurasjon


    La oss konfigurere tilgangslisten. Bemerkningen er å sette en beskrivelse på tilgangslisten. Det har ingen innvirkning på trafikken.
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list DENY-RED
DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED"
DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED"
DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else"
DELLSONiC(config-ipv4-acl)# end
DELLSONiC#



    La oss nå bruke tilgangslisten under grensesnittet Eth 1 / 1.
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in 
DELLSONiC(config-if-Eth1/1)# end
DELLSONiC#

     


    Bekreft

     
    Bruk følgende kommando til å kontrollere konfigurasjonen av tilgangslisten.
     

    DELLSONiC# show ip access-lists 
ip access-list DENY-RED
  remark "DENY IP of RED"
    seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
      remark "DENY RED"
    seq 10 permit ip any any (0 packets) [0 bytes]
      remark "Permit Everything else"
DELLSONiC# 

We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.

    DELLSONiC# show ip access-group 
Ingress IP access-list DENY-RED on Eth1/1
DELLSONiC#

    Affected Products

    Enterprise SONiC Distribution, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
    Article Properties
    Article Number: 000222478
    Article Type: How To
    Last Modified: 17 Jul 2025
    Version:  3
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.