Dell EMC Networking Erstellen und Anwenden der Management-ACL auf der X-Serie
Summary: Dell EMC Networking Erstellen und Anwenden der Management-ACL auf der X-Serie
Symptoms
Erstellen und Anwenden einer Management-ACL auf der X-Serie: Blockieren des Hostzugriffs auf das Switch-Management
Beispielszenario und Anforderungen
Sie implementieren einen Switch der X-Serie und möchten verhindern, dass Nutzer aus einem bestimmten Subnetz auf die Switch-Managementfunktionen zugreifen. Um dies zu erreichen, erstellen wir eine Zugriffskontrollliste (Access Control List, ACL), füllen sie mit den relevanten Zugriffskontrolleinträgen (ACEs) und wenden die ACL auf eine Schnittstelle an.
In diesem Szenario besteht der Zweck darin, allen Clients im Subnetz 172.31.200.0/24 den Zugriff auf die IP-Adresse des Switches zu verwehren. Der Switch verfügt über mehrere IP-Adressen, sowohl im lokalen Subnetz des Clients (172.31.200.3) als auch in einem separaten drahtlosen Subnetz.
Wenn Routing auf der X-Serie aktiviert ist, muss die erstellte ACL den Zugriff sowohl auf die IP des Switches im lokalen Subnetz als auch auf jeglichen Datenverkehr aus dem Clientsubnetz zu anderen Subnetz-IPs auf dem Switch blockieren (z. B. von 172.31.200.0/24 bis 172.30.200.3).
Umgebung
Client-Netzwerk: 172.31.200.0/24
Client-Netzwerkverbindung: Nicht gekennzeichnetes VLAN 50, Port Gi 1/0/1
Switch-IP-Adressen:
VLAN 10 – Wireless – 172.30.200.3/24
VLAN 50 – Clients 172.31.200.3/24
Schritte zum Erstellen
Netzwerkadministration -> Sicherheit -> ACL
Abb. 1 – Zugriff auf die ACL/ACE-Konfigurationsseite in der WebGUI
HINWEIS: Die X-Serie unterstützt keine Konfiguration von ACLs/ACEs über die CLI. Konfigurationen, die über die WebGUI durchgeführt werden, werden weiterhin in den CLI-Ausgaben angezeigt, die die Konfiguration zeigen, siehe Abb. 1a.
Abb. 1a – Die letzte ACL, die mit diesem Artikel erstellt wurde. Beachten Sie, wie der Switch einige Portnummern durch ihre bekannte Verwendung ersetzt (23 wird zu "telnet" und 80 zu "www").
Erstellen der ACL
IPV4-basierte ACL -> Bearbeiten -> Hinzufügen -> Erstellen eines Namens (ohne Leerzeichen) -> OK -> Popup schließen
Hinzufügen von Einträgen (ACEs) zu einer ACL
IPv4-basierter ACE (> ACL-Name(n) befinden sich in der Dropdown-Liste, wählen Sie den Namen aus, den Sie gerade erstellt haben) -> Bearbeiten -> Hinzufügen -> Regeln für Eintrag eingeben -> OK
Jeder ACE zielt auf ein Managementprotokoll ab, das wir blockieren möchten, sowie auf das eindeutige Ziel, das wir blockieren möchten. Wir müssen eine separate Gruppe von ACEs für die zweite mögliche Management-IP erstellen, da die Alternative darin besteht, die Protokolle ohne Rücksicht auf ihr Ziel zu blockieren – was jedes dieser Protokolle blockieren würde, das versucht, den Switch zu übertragen, was weit über das hinausgeht, was wir zu tun versuchen – oder ohne Rücksicht auf das Protokoll und nur basierend auf dem Ziel zu blockieren, was jeglichen gerouteten Datenverkehr verweigern würde!
Feige. 3 Hinzufügen des ACE zum Blockieren von 172.31.200.0/24-Clients von Telnetting auf 172.31.200.3. Die Optionen in Rot sind für unsere Zwecke erforderlich; Die Protokollierung - orange eingekreist - ist optional.
HINWEIS: Das Format für die Angabe der Maske in einer ACL/ACE ist die Umkehrung der Methode, die für Subnetzmaskierung verwendet wird. Um das Subnetz von 172.31.200.0/24 (255.255.255.0) anzugeben, lautet die Platzhaltermaske 0.0.0.255. Um einen einzelnen Host (/32 oder 255.255.255.255 in Subnetzmaskennotation) anzugeben, verwenden Sie die Platzhaltermaske 0.0.0.0.
Wiederholen Sie dies für jedes Protokoll (1 für Telnet(23), 1 für http(80), 1 für https(443), 1 für ssh(22) [falls konfiguriert – ssh-Zugriff auf die X-Serie ist standardmäßig deaktiviert] und Ziel, und schließlich eine 'permit all'-Anweisung am Ende, um alles zuzulassen, was nicht explizit blockiert ist – siehe Abb. 4) -> ok
Abb. 4 – Erstellen der Anweisung "Alle zulassen". Wenn Sie dies nicht hinzufügen, führt dies zu einer impliziten Verweigerung am Ende Ihrer ACL, d. h., wenn der Switch das Ende der ACL erreicht (Regeln werden in der Reihenfolge der Priorität angewendet) und keine der Regeln übereinstimmt, wird der Datenverkehr verweigert. Wir fügen eine Genehmigung hinzu, um zu vermeiden, dass der gesamte speziell anvisierte Verkehr und der gesamte Verkehr, auf den wir uns überhaupt beziehen, verweigert wird.
Wenn Sie fertig sind, sollten die ACE-Einträge für Ihre ACL ähnlich wie in Abb. 5 unten angezeigt werden. In der Abbildung wurden die Variablen ausgelassen, die wir nicht für eine bessere Anzeige konfiguriert haben.
Feige. 5 – Aus Gründen der Übersichtlichkeit bearbeitet. Hier werden alle ACEs (Regeln) angezeigt, aus denen eine bestimmte ACL besteht. Siehe hier, wir blockieren 4 verschiedene Protokolle – 22, 23, 80 und 443 – für zwei verschiedene Ziele – 172.31.200.3/32 und 172.30.200.3/32.
Anwenden der ACL auf eine Schnittstelle
ACL-Bindung -> Bearbeiten -> Klicken Sie auf das Bearbeitungssymbol nach Port -> Lassen Sie 'Ingress' ausgewählt -> Aktivieren Sie "Select Ipv4 Based ACL (Select ACL from Drop-down, falls noch nicht ausgefüllt") -> OK
Abb. 6 – Anwenden der ACL auf die Schnittstelle. Wir wählen ingress so aus, dass der gesamte Datenverkehr, der auf Gi1/0/1 eingeht, mit der ACL abgeglichen wird, bevor er weiter in den Switch gelassen wird.
Für ACLs, die den Zugriff auf den Switch steuern, müssen wir den Eingang überprüfen. Ausgangs-ACLs haben ihren Platz, aber denken Sie daran, dass der Datenverkehr, der von einer Ausgangs-ACL verweigert wird, bereits die interne Fabric des Switches durchlaufen hat. Wenn der Datenverkehr unterbrochen wird, ist es am besten, dies zu tun, bevor Ressourcen verschwendet werden, die in und zwischen der Switch-Fabric zugelassen werden. Leugnen Sie so nah wie möglich an der Quelle!
HINWEIS: Bei der X-Serie können ACLs nur an physische oder logische Schnittstellen gebunden werden, die physische Schnittstellen aggregieren. Das bedeutet, dass ACLs an physische Ports und LAGs (Port-Channels) gebunden werden können, ACLs jedoch nicht an VLANs gebunden werden können.