Dell Networking SONiC Приклад конфігурації базового списку доступу
Summary: У цій статті пояснюється, як налаштувати базовий список контролю доступу (ACL) для блокування трафіку до певної підмережі в Dell Networking SONiC на прикладі.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
ПередумовиМи використовуємо стандартні іменування інтерфейсів для демонстрації концепцій. Дивіться статтю Dell Networking S-Series: Базова конфігурація інтерфейсу - SONiC 4.0 для отримання додаткової інформації щодо іменування інтерфейсів |
Індекс
Мета
Топологія
Синтаксис
командКонфігурації
Перевірити
Мета
У цій статті ми продемонструємо основне застосування списку доступу. Вважайте, що у нас є дві серверні ферми, а саме зелена та ЧЕРВОНА.
Ми повинні дозволити трафіку, що надходить в інтерфейс Eth 1/1 з підмережі 10.0.0.0/24, якому було відмовлено в доступі до RED (50.0.0.0/24). Будь-який інший трафік повинен бути дозволений.
Топологія
Синтаксис команд
Синтаксис конфігурації для списку доступу IPv4
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description] |
Коли пакет збігається з твердженням у списку доступу L3 IPv4, виконується одна з таких дій:
- Дозвіл — пакет пересилається в площині даних. Пакет підраховано.
- Deny — пакет скидається в площину даних. Пакет підраховано.
- Транзит — пакет пересилається в площині даних. Пакет не зараховується.
- Відкинути — пакет скидається в площину даних. Пакет не зараховується.
Застосування списку доступу під інтерфейсом
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out} |
ПРИМІТКА.
Деякі ключові моменти, які слід пам'ятати під час налаштування списку доступу. Ми б використовували термін ACL як скорочену форму для списку Access для стислості.
- Зауваження полягає в тому, щоб додати опис до списку доступу. Це ніяк не впливає на трафік.
- Список доступу не фільтрує трафік, призначений для комутатора, як-от IP-адреса зворотного зв'язку, IP-адреса інтерфейсу, IP-адреса Vlan.
- Глобальні ACL (списки керування доступом (ACL, не призначені певному інтерфейсу або інтерфейсам) фільтрують весь трафік, який переміщується або маршрутизується на інтерфейсах комутаторів. Глобальні списки керування доступом (ACL) підтримують правила MAC, IPv4 та IPv6.
- ACL, що застосовуються на інтерфейсі Ethernet або порт-каналі, обробляють пакети L2 і L3 для визначення того, пересилати або скидати пакет на основі критеріїв дозволу або відхилення в ACL.
- ACL, що застосовуються до VLAN-фільтра, фільтрують увесь трафік, який об'єднано в межах одного VLAN або який спрямовується в VLAN або з нього. Застосовуйте списки керування доступом VLAN як до мостового, так і до маршрутизованого трафіку. ACL VLAN підтримують MAC, IPv4 та IPv6 ACL.
- ACL обробляються в послідовному порядку від першого до останнього нумерованого запису. Коли збіг знайдено, подальша обробка ACL не виконується.
- За замовчуванням усі L2 MAC, IPv4 та IPv6 ACL містять правило відмови в кінці. Правило заборони будь-якого відкидає весь трафік, який не збігається з попереднім дозволом, або забороняє входи в ACL.
- Додайте будь-яке правило allow будь-яке в кінець ACL, щоб дозволити всі пакети, які не відхилені іншими критеріями.
Використовуйте наведені нижче команди, щоб перевірити конфігурацію списку доступу.
Show details of all access list in switch DELLSONiC# show ip access-lists |
Show details of specific access list in switch DELLSONiC# show ip access-lists <access-list-name> |
Show details of access list and applied interface DELLSONiC# show ip access-group |
Конфігурація
Давайте налаштуємо список доступу. Зауваження полягає в тому, щоб додати опис до списку доступу. Це ніяк не впливає на трафік.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# ip access-list DENY-RED DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED" DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED" DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else" DELLSONiC(config-ipv4-acl)# end DELLSONiC# |
Тепер давайте застосуємо список доступу під інтерфейсом Eth 1/1.
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# interface Eth 1/1 DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in DELLSONiC(config-if-Eth1/1)# end DELLSONiC# |
Перевірити
Використовуйте наведену нижче команду, щоб перевірити конфігурацію списку доступу.
DELLSONiC# show ip access-lists
ip access-list DENY-RED
remark "DENY IP of RED"
seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
remark "DENY RED"
seq 10 permit ip any any (0 packets) [0 bytes]
remark "Permit Everything else"
DELLSONiC#
We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.
|
DELLSONiC# show ip access-group Ingress IP access-list DENY-RED on Eth1/1 DELLSONiC# |
Affected Products
Enterprise SONiC Distribution, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON
, PowerSwitch Z9432F-ON
...
Article Properties
Article Number: 000222478
Article Type: How To
Last Modified: 17 Jul 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.