Dell Networking SONiC 基本访问列表的示例配置

Summary: 本文通过一个示例介绍如何配置基本访问控制列表 (ACL) 以阻止流向 Dell Networking SONiC 中特定子网的流量。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

 

前提条件

我们使用标准接口命名来演示概念。请参阅文章 Dell Networking S 系列:基本接口配置 - SONiC 4.0 ,了解有关接口命名的更多信息 


 


索引


目标
拓扑学
命令语法
配置
验证

 

目标


在本文中,我们将演示访问列表的基本应用。假设我们有两个服务器场,即绿色和红色。
我们必须拒绝从 10.0.0.0/24 子网进入以太网 1/1 接口的流量访问 RED (50.0.0.0/24)。应允许所有其他流量。

 

拓扑学

拓扑学


 

命令语法


IPv4 访问列表的配置语法 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description]


当数据包与 L3 IPv4 访问列表中的语句匹配时,将执行以下作之一:

  • Permit— 数据包在数据平面中转发。数据包被计数。
  • 拒绝 — 数据包被丢弃到数据平面中。数据包被计数。
  • 中转 — 数据包在数据平面中转发。数据包不计算在内。
  • 丢弃 — 数据包被丢弃在数据平面中。数据包不计算在内。



在接口下应用访问列表
 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out}

 

提醒:

配置访问列表时需要记住的一些关键点。为了简洁起见,我们将使用 ACL 术语作为访问列表的缩写形式。

  • 备注是对访问列表进行描述。它对流量没有影响。
  • 访问列表不会过滤发往交换机的流量,如环回 IP 地址、接口 IP 地址、Vlan IP 地址。
  • 全局 ACL(未分配给特定接口的 ACL)过滤交换机接口上桥接或路由的所有流量。全局 ACL 支持 MAC、IPv4 和 IPv6 规则。
  • 在以太网或端口通道接口上应用的 ACL 会处理 L2 和 L3 数据包,以根据 ACL 中的允许或拒绝标准确定转发还是丢弃数据包。
  • 应用于 VLAN 的 ACL 会过滤在同一 VLAN 内桥接或路由进出 VLAN 的所有流量。将 VLAN ACL 应用于桥接和路由流量。VLAN ACL 支持 MAC、IPv4 和 IPv6 ACL。
  • ACL 按从第一个条目到最后一个编号条目的顺序进行处理。找到匹配项时,不会执行进一步的 ACL 处理。
  • 默认情况下,所有 L2 MAC、IPv4 和 IPv6 ACL 的末尾都包含拒绝任何规则。拒绝任何规则会丢弃与前面的流量不匹配的所有流量,允许或拒绝 ACL 中的条目。
  • 在 ACL 末尾添加允许 任何 any 规则,以允许未被其他条件拒绝的所有数据包。


    使用以下命令验证访问列表配置。
     

    Show details of all access list in switch

DELLSONiC# show ip access-lists 


    Show details of specific access list in switch

DELLSONiC# show ip access-lists <access-list-name>


    Show details of access list and applied interface

DELLSONiC# show ip access-group

     

    配置


    我们来配置访问列表。备注是对访问列表进行描述。它对流量没有影响。
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list DENY-RED
DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED"
DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED"
DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else"
DELLSONiC(config-ipv4-acl)# end
DELLSONiC#



    现在,让我们在接口 Eth 1/1 下应用访问列表。
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in 
DELLSONiC(config-if-Eth1/1)# end
DELLSONiC#

     


    验证

     
    使用以下命令验证访问列表配置。
     

    DELLSONiC# show ip access-lists 
ip access-list DENY-RED
  remark "DENY IP of RED"
    seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
      remark "DENY RED"
    seq 10 permit ip any any (0 packets) [0 bytes]
      remark "Permit Everything else"
DELLSONiC# 

We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.

    DELLSONiC# show ip access-group 
Ingress IP access-list DENY-RED on Eth1/1
DELLSONiC#

    Affected Products

    Enterprise SONiC Distribution, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
    Article Properties
    Article Number: 000222478
    Article Type: How To
    Last Modified: 17 Jul 2025
    Version:  3
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.