Dell Networking SONiC Temel Erişim Listesi örnek yapılandırması

Summary: Bu makalede, Dell Networking SONiC te belirli bir alt ağa giden trafiği engellemek için temel Erişim Denetim Listesinin (ACL) nasıl yapılandırılacağı bir örnekle açıklanmaktadır.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

 

Önkoşullar

Kavramları göstermek için standart arabirim adlandırması kullanıyoruz. Dell Networking S Serisi: Arayüz adlandırma hakkında daha fazla bilgi için Temel Arayüz Yapılandırması - SONiC 4.0 


 


Dizin


Hedef
Topoloji
Komut söz dizimi
Konfigürasyon
Doğrulamak

 

Amaç


Bu makalede erişim listesinin temel bir uygulamasını göstereceğiz. Yeşil ve KIRMIZI olmak üzere iki Sunucu Çiftliğimiz olduğunu düşünün.
10.0.0.0/24 alt ağından Eth 1/1 arayüzüne gelen trafiğin RED e (50.0.0.0/24) erişiminin reddedilmesine izin vermeliyiz. Diğer tüm trafiğe izin verilmelidir.

 

Topoloji

Topoloji


 

Komut söz dizimi


IPv4 erişim listesi için Yapılandırma Söz Dizimi 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description]


Bir paket, L3 IPv4 Erişim listesindeki bir deyimle eşleşirse şu eylemlerden biri gerçekleştirilir:

  • İzin - Paket, veri düzleminde iletilir. Paket sayılır.
  • Deny — Paket veri düzlemine bırakılır. Paket sayılır.
  • Transit — Paket, veri düzleminde iletilir. Paket sayılmaz.
  • Discard — Paket veri düzlemine bırakılır. Paket sayılmaz.



Erişim listesini bir arabirim altında uygulama
 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out}

 

NOT:

Erişim listesini yapılandırırken hatırlanması gereken bazı önemli noktalar. Kısalık için Erişim listesi için kısa biçim olarak ACL terimini kullanacağız.

  • Açıklama, erişim listesine bir açıklama koymaktır. Trafik üzerinde hiçbir etkisi yoktur.
  • Erişim listesi; geri döngü IP adresi, arabirim IP adresi, Vlan IP adresi gibi anahtarı hedefleyen trafiği filtrelemez.
  • Genel ACL'ler (belirli bir arabirime veya arabirimlere atanmamış ACL'ler), köprü kurulan veya anahtar arayüzlerinde yönlendirilen tüm trafiği filtreler. Global ACL'ler MAC, IPv4 ve IPv6 kurallarını destekler.
  • Ethernet veya bağlantı noktası-kanal arayüzüne uygulanan ACL'ler, ACL'deki izin veya reddedilen kriterlere göre bir paketin iletilip iletilmeyeceğini belirlemek için L2 ve L3 paketlerini işler.
  • VLAN'a uygulanan ACL'ler, aynı VLAN içinde köprülenmiş olan veya bir VLAN'ın içine veya dışına yönlendirilen tüm trafiği filtreler. VLAN ACL'lerini hem köprülenmiş hem de yönlendirilmiş trafiğe uygulayın. VLAN ACL'leri MAC, IPv4 ve IPv6 ACL'leri destekler.
  • ACL'ler, ilk numaralı girişten son numaralı girişe kadar sırayla işlenir. Bir eşleşme bulunduğunda başka ACL işlemi gerçekleştirilmez.
  • Varsayılan olarak, tüm L2 MAC, IPv4 ve IPv6 ACL'lerinin sonunda herhangi bir reddetme kuralı bulunur. Herhangi bir kuralı reddet, ACL'deki önceki izin veya ret girişleriyle eşleşmeyen tüm trafiği bırakır.
  • Diğer kriterler tarafından reddedilmeyen tüm paketlere izin vermek için ACL'nin sonuna herhangi bir kurala izin verin.


    Erişim listesi yapılandırmasını doğrulamak için aşağıdaki komutları kullanın.
     

    Show details of all access list in switch

DELLSONiC# show ip access-lists 


    Show details of specific access list in switch

DELLSONiC# show ip access-lists <access-list-name>


    Show details of access list and applied interface

DELLSONiC# show ip access-group

     

    Yapılandırma


    Erişim listesini yapılandıralım. Açıklama, erişim listesine bir açıklama koymaktır. Trafik üzerinde hiçbir etkisi yoktur.
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list DENY-RED
DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED"
DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED"
DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else"
DELLSONiC(config-ipv4-acl)# end
DELLSONiC#



    Şimdi Eth 1/1 arayüzü altındaki erişim listesini uygulayalım.
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in 
DELLSONiC(config-if-Eth1/1)# end
DELLSONiC#

     


    Doğrulama

     
    Erişim listesi yapılandırmasını doğrulamak için aşağıdaki komutu kullanın.
     

    DELLSONiC# show ip access-lists 
ip access-list DENY-RED
  remark "DENY IP of RED"
    seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
      remark "DENY RED"
    seq 10 permit ip any any (0 packets) [0 bytes]
      remark "Permit Everything else"
DELLSONiC# 

We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.

    DELLSONiC# show ip access-group 
Ingress IP access-list DENY-RED on Eth1/1
DELLSONiC#

    Affected Products

    Enterprise SONiC Distribution, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
    Article Properties
    Article Number: 000222478
    Article Type: How To
    Last Modified: 17 Jul 2025
    Version:  3
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.