Dell Networking SONiC Exemplo de configuração de uma lista de acesso básica
Summary: Este artigo explica como configurar uma ACL (Access Control List, lista de controle de acesso) básica para bloquear o tráfego para uma sub-rede específica no Dell Networking SONiC com um exemplo. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Pré-requisitosEstamos usando a nomenclatura de interface padrão para demonstrar os conceitos. Consulte o artigo Dell Networking série S: Configuração básica da interface — SONiC 4.0 para obter mais informações sobre nomenclatura de interface |
Índice
Objetivo
Topologia
Sintaxe
do comandoConfiguração
Verificar
Objetivo
Demonstraremos uma aplicação básica da lista de acesso neste artigo. Considere que temos dois farms de servidores: Verde e VERMELHO.
Devemos permitir que o tráfego que entra na interface Eth 1/1 da sub-rede 10.0.0.0/24 tenha o acesso negado à RED (50.0.0.0/24). Todos os outros tráfegos devem ser permitidos.
Topologia
Sintaxe do comando
Sintaxe de configuração para a lista de acesso IPv4
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description] |
Quando um pacote corresponde a uma instrução em uma lista de acesso IPv4 L3, uma destas ações é realizada:
- Permit — o pacote é encaminhado no plano de dados. O pacote é contado.
- Negar — o pacote é descartado no plano de dados. O pacote é contado.
- Transit — o pacote é encaminhado no plano de dados. O pacote não é contado.
- Discard — o pacote é descartado no plano de dados. O pacote não é contado.
Aplicar a lista de acesso em uma interface
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out} |
Nota:
Alguns pontos-chave a serem lembrados ao configurar a lista de acesso. Estaríamos usando o termo da ACL como forma abreviada para a lista de acesso por brevidade.
- A observação é colocar uma descrição na lista de acesso. Não tem impacto no trânsito.
- A lista de acesso não filtra o tráfego destinado ao switch, como endereço IP de loopback, endereço IP da interface, endereço IP da VLAN.
- As ACLs globais (ACLs não atribuídas a uma interface ou interfaces específicas) filtram todo o tráfego conectado ou roteado em interfaces de switch. As ACLs globais dão suporte a regras MAC, IPv4 e IPv6.
- ACLs aplicadas em pacotes L2 e L3 de processo em uma interface Ethernet ou port-channel para determinar se um pacote deve ser encaminhado ou descartado com base nos critérios de permissão ou negado na ACL.
- As ACLs aplicadas a uma VLAN filtram todo o tráfego que é interligado dentro da mesma VLAN ou que é roteado para dentro ou fora de uma VLAN. Aplique ACLs de VLAN ao tráfego em ponte e roteado. As ACLs de VLAN são compatíveis com ACLs de MAC, IPv4 e IPv6.
- As ACLs são processadas em ordem sequencial da primeira à última entrada numerada. Quando uma correspondência é encontrada, nenhum processamento adicional de ACL é executado.
- Por padrão, todas as ACLs L2 MAC, IPv4 e IPv6 contêm uma regra deny any no final. A regra deny any descarta todo o tráfego que não corresponde à permissão anterior ou nega entradas na ACL.
- Adicione uma permissão a qualquer regra ao final de uma ACL para permitir todos os pacotes que não são negados por outros critérios.
Use os seguintes comandos para verificar a configuração da lista de acesso.
Show details of all access list in switch DELLSONiC# show ip access-lists |
Show details of specific access list in switch DELLSONiC# show ip access-lists <access-list-name> |
Show details of access list and applied interface DELLSONiC# show ip access-group |
Configuração
Vamos configurar a lista de acesso. A observação é colocar uma descrição na lista de acesso. Não tem impacto no trânsito.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# ip access-list DENY-RED DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED" DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED" DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else" DELLSONiC(config-ipv4-acl)# end DELLSONiC# |
Agora vamos aplicar a lista de acesso na interface Eth 1/1.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# interface Eth 1/1 DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in DELLSONiC(config-if-Eth1/1)# end DELLSONiC# |
Verificação
Use o comando a seguir para verificar a configuração da lista de acesso.
DELLSONiC# show ip access-lists
ip access-list DENY-RED
remark "DENY IP of RED"
seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
remark "DENY RED"
seq 10 permit ip any any (0 packets) [0 bytes]
remark "Permit Everything else"
DELLSONiC#
We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.
|
DELLSONiC# show ip access-group Ingress IP access-list DENY-RED on Eth1/1 DELLSONiC# |
Affected Products
Enterprise SONiC Distribution, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON
, PowerSwitch Z9432F-ON
...
Article Properties
Article Number: 000222478
Article Type: How To
Last Modified: 17 Jul 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.