Dell Networking SONiC Exempel på konfiguration av en grundläggande åtkomstlista

Summary: I den här artikeln förklaras hur du konfigurerar en grundläggande åtkomstkontrollista (ACL) för att blockera trafik till ett specifikt undernät i Dell Networking SONiC med ett exempel.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

 

Förutsättningar

Vi använder standardgränssnittsnamn för att demonstrera begreppen. Se artikeln Dell Networking S-serien: Grundläggande gränssnittskonfiguration – SONiC 4.0 för mer information om gränssnittsnamngivning 


 


Index


Mål
Topologi
Syntax för kommandon
Konfiguration
Kontrollera

 

Mål


Vi visar en grundläggande tillämpning av åtkomstlistan i den här artikeln. Tänk på att vi har två serverfarmar, nämligen grön och röd.
Vi måste tillåta att trafik som kommer in i Eth 1/1-gränssnittet från undernätet 10.0.0.0/24 nekas åtkomst till RED (50.0.0.0/24). All annan trafik bör tillåtas.

 

Topologi

Topologi


 

Syntax för kommandon


Konfigurationssyntax för IPv4-åtkomstlista 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description]


När ett paket matchar en instruktion i en L3 IPv4-åtkomstlista vidtas någon av följande åtgärder:

  • Permit – Paketet vidarebefordras i dataplanet. Paketet räknas.
  • Deny – Paketet tas bort i dataplanet. Paketet räknas.
  • Transit – Paketet vidarebefordras i dataplanet. Paketet räknas inte.
  • Discard – Paketet släpps i dataplanet. Paketet räknas inte.



Tillämpa åtkomstlistan under ett gränssnitt
 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out}

 

Obs!

Några viktiga punkter att komma ihåg när du konfigurerar åtkomstlistan. Vi skulle använda ACL-termen som kortform för åtkomstlistan för korthet.

  • Anmärkningen är att lägga till en beskrivning i åtkomstlistan. Det har ingen inverkan på trafiken.
  • Åtkomstlistan filtrerar inte trafik som är avsedd för switchen, t.ex. loopback-IP-adress, gränssnittets IP-adress, Vlan-IP-adress.
  • Globala ACL:er (ACL:er som inte tilldelats till ett eller flera specifika gränssnitt) filtrerar all trafik som bryggas eller dirigeras på switchgränssnitt. Globala ACL:er har stöd för MAC-, IPv4- och IPv6-regler.
  • ACL:er som tillämpas på ett Ethernet- eller portkanalgränssnitt bearbetar L2- och L3-paket för att avgöra om ett paket ska vidarebefordras eller tas bort baserat på kriterierna för tillåtet eller nekat i ACL:en.
  • ACL:er som tillämpas på ett VLAN filtrerar all trafik som bryggas inom samma VLAN eller som dirigeras in i eller ut ur ett VLAN. Tillämpa VLAN-ACL:er på både bryggad och dirigerad trafik. VLAN-ACL:er stöder MAC-, IPv4- och IPv6-ACL:er.
  • ACL:er bearbetas i sekventiell ordning från den första till den sista numrerade posten. När en matchning hittas utförs ingen ytterligare ACL-bearbetning.
  • Som standard innehåller alla L2 MAC-, IPv4- och IPv6-ACL:er en regel för att neka alla i slutet. Regeln neka alla tar bort all trafik som inte matchar föregående tillåtna eller nekade poster i ACL:en.
  • Lägg till en tillåt valfri regel i slutet av en ACL för att tillåta alla paket som inte nekas av andra kriterier.


    Använd följande kommandon för att verifiera konfigurationen av åtkomstlistan.
     

    Show details of all access list in switch

DELLSONiC# show ip access-lists 


    Show details of specific access list in switch

DELLSONiC# show ip access-lists <access-list-name>


    Show details of access list and applied interface

DELLSONiC# show ip access-group

     

    Konfiguration


    Vi ska nu konfigurera åtkomstlistan. Anmärkningen är att lägga till en beskrivning i åtkomstlistan. Det har ingen inverkan på trafiken.
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list DENY-RED
DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED"
DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED"
DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else"
DELLSONiC(config-ipv4-acl)# end
DELLSONiC#



    Låt oss nu tillämpa åtkomstlistan under gränssnittet Eth 1/1.
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in 
DELLSONiC(config-if-Eth1/1)# end
DELLSONiC#

     


    Verifiera

     
    Använd följande kommando för att kontrollera konfigurationen av åtkomstlistan.
     

    DELLSONiC# show ip access-lists 
ip access-list DENY-RED
  remark "DENY IP of RED"
    seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
      remark "DENY RED"
    seq 10 permit ip any any (0 packets) [0 bytes]
      remark "Permit Everything else"
DELLSONiC# 

We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.

    DELLSONiC# show ip access-group 
Ingress IP access-list DENY-RED on Eth1/1
DELLSONiC#

    Affected Products

    Enterprise SONiC Distribution, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
    Article Properties
    Article Number: 000222478
    Article Type: How To
    Last Modified: 17 Jul 2025
    Version:  3
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.