基本存取清單的 Dell Networking SONiC 組態範例

Summary: 本文透過範例說明如何設定基本存取控制清單 (ACL),以封鎖流向 Dell Networking SONiC 中特定子網路的流量。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

 

先決條件

我們使用標準介面命名來演示概念。請參閱文章 Dell Networking S 系列:基本介面組態 - SONiC 4.0 ,以取得有關介面命名的詳細資訊 


 


索引


目標
拓樸
命令語法
組態


 

目的


我們將在本文中演示訪問清單的基本應用。假設我們有兩個伺服器場,即綠色和紅色。
我們必須允許從 10.0.0.0/24 子網進入 Eth 1/1 介面的流量拒絕訪問 RED (50.0.0.0/24)。應允許所有其他流量。

 

拓樸

拓樸


 

命令語法


IPv4 存取清單的組態語法 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description]


當資料包與 L3 IPv4 存取清單中的語句匹配時,將執行以下操作之一:

  • 允許 — 數據包在數據平面中轉發。對數據包進行計數。
  • 拒絕 — 資料包在數據平面中被丟棄。對數據包進行計數。
  • 傳輸 — 數據包在數據平面中轉發。不計算數據包。
  • 丟棄 — 數據包在數據平面中丟棄。不計算數據包。



套用介面下的存取清單
 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out}

 

注意:

配置訪問清單時要記住的一些要點。為簡潔起見,我們會使用 ACL 術語作為 Access 清單的縮寫形式。

  • 備註是將說明放入存取清單。它對流量沒有影響。
  • 存取清單不會篩選發往交換器的流量,例如迴路 IP 位址、介面 IP 位址、Vlan IP 位址等
  • 全域 ACL(未分配給一個或多個特定介面的 ACL)可過濾交換機介面上橋接或路由的所有資訊流。全域 ACL 支援 MAC、IPv4 和 IPv6 規則。
  • 應用於乙太網或埠通道介面的 ACL 處理 L2 和 L3 數據包,以根據 ACL 中的允許或拒絕標準確定是轉發還是丟棄數據包。
  • 應用於 VLAN 的 ACL 會過濾在同一 VLAN 中橋接的所有流量,或者路由進出 VLAN 的所有流量。將 VLAN ACL 應用於橋接和路由流量。VLAN ACL 支援 MAC、IPv4 和 IPv6 ACL。
  • ACL 按從第一個條目到最後一個編號條目的順序進行處理。找到匹配項時,不會執行進一步的 ACL 處理。
  • 根據預設,所有 L2 MAC、IPv4 和 IPv6 ACL 的結尾都會包含拒絕任何規則。拒絕任何規則會丟棄與 ACL 中前面的允許或拒絕條目不匹配的所有流量。
  • 在 ACL 的末尾添加允許 任何規則 ,以允許其他條件未拒絕的所有數據包。


    使用下列命令驗證存取清單組態。
     

    Show details of all access list in switch

DELLSONiC# show ip access-lists 


    Show details of specific access list in switch

DELLSONiC# show ip access-lists <access-list-name>


    Show details of access list and applied interface

DELLSONiC# show ip access-group

     

    組態


    讓我們來設定存取清單備註是將說明放入存取清單。它對流量沒有影響。
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list DENY-RED
DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED"
DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED"
DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else"
DELLSONiC(config-ipv4-acl)# end
DELLSONiC#



    現在讓我們在介面 Eth 1/1 下套用存取清單
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in 
DELLSONiC(config-if-Eth1/1)# end
DELLSONiC#

     


    確認

     
    使用以下命令驗證存取清單組態。
     

    DELLSONiC# show ip access-lists 
ip access-list DENY-RED
  remark "DENY IP of RED"
    seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
      remark "DENY RED"
    seq 10 permit ip any any (0 packets) [0 bytes]
      remark "Permit Everything else"
DELLSONiC# 

We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.

    DELLSONiC# show ip access-group 
Ingress IP access-list DENY-RED on Eth1/1
DELLSONiC#

    Affected Products

    Enterprise SONiC Distribution, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
    Article Properties
    Article Number: 000222478
    Article Type: How To
    Last Modified: 17 Jul 2025
    Version:  3
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.