Dell EMC Networking Management ACL:n luominen ja käyttäminen X-sarjassa
Summary: Dell EMC Networking Management ACL:n luominen ja käyttäminen X-sarjassa
Symptoms
Hallinnan käyttöoikeusluettelon luominen ja käyttäminen X-sarjassa: Kytkimenhallinnan estäminen isännältä
Esimerkkiskenaario ja vaatimukset
X-sarjan kytkimen käyttöönotto ja haluat estää tietyn aliverkon käyttäjiä käyttämästä kytkinten hallintatoimintoja. Tätä varten luodaan käyttöoikeusluettelo (Access Control List, ACL), täytetään siihen asianmukaiset käytönvalvontamerkinnät (ACE) ja käytetään käyttöoikeusluetteloa käyttöliittymässä.
Tässä tilanteessa tarkoitus on estää kaikkia aliverkon 172.31.200.0/24 asiakkaita käyttämästä kytkimen IP-osoitetta. Kytkimellä on useita IP-osoitteita sekä asiakkaan paikallisessa aliverkossa (172.31.200.3) että erillisessä langattomassa aliverkossa.
Jos reititys on käytössä X-sarjassa, luodun käyttöoikeusluettelon on estettävä pääsy sekä kytkimen IP-osoitteeseen paikallisessa aliverkossa että kaikki asiakkaan aliverkosta tuleva liikenne, joka on tarkoitettu kytkimen muihin aliverkon IP-osoitteisiin (esim. 172.31.200.0/24–172.30.200.3).
Ympäristö
Asiakasverkko: 172.31.200.0/24-asiakasverkkoyhteys
: Tunnisteeton VLAN 50, portti Gi 1/0/1
Kytkimen IP-osoitteet:
VLAN 10 – Langaton – 172.30.200.3/24
VLAN 50 – Asiakkaat 172.31.200.3/24
Luomisen vaiheet
Verkon hallinta -> Turvallisuus -> ACL
Kuva. 1 – ACL/ACE-määrityssivun avaaminen verkkokäyttöliittymässä
HUOMAUTUS: X-sarja ei tue käyttöoikeusluetteloiden/ACE:iden määrittämistä komentoriviliittymässä. Webgraafisen käyttöliittymän kautta tehdyt määritykset näkyvät edelleen komentoriviliittymän tuloksissa, joissa näkyy kokoonpano, katso kuva 1a.
Kuva 1a – Tällä artikkelilla luotu lopullinen käyttöoikeusluettelo. Huomaa, kuinka kytkin korvaa joitakin porttinumeroita niiden tunnetussa käytössä (23: sta tulee "telnet" ja 80: stä tulee "www")
ACL:n luominen
IPV4-pohjainen käyttöoikeusluettelo -> Muokkaa -> Lisää -> Luo nimi (ei välilyöntejä) -> OK -> Sulje ponnahdusikkuna
Lisää merkintöjä (ACE) käyttöoikeusluetteloon
IPv4-pohjainen ACE -> (ACL-nimet ovat avattavassa valikossa, valitse juuri tekemäsi) -> Muokkaa -> Lisää -> Täytä maahantulosäännöt -> Ok
Jokainen ACE kohdistaa yhden hallintaprotokollan, jonka haluamme estää, sekä yksilölliseen kohteeseen, jonka haluamme estää. Meidän on tehtävä erillinen ACE-ryhmä toiselle mahdolliselle hallinta-IP: lle, koska vaihtoehto on estää protokollat riippumatta niiden määränpäästä - mikä estäisi minkä tahansa näistä protokollista, jotka yrittävät siirtää kytkimen, joka on paljon pidemmälle kuin mitä yritämme tehdä - tai estää protokollasta riippumatta ja vain määränpään perusteella, joka kieltäisi reititetyn liikenteen!
Viikuna. 3 – ACE:n lisääminen lohkoon 172.31.200.0/24 asiakasta Telnettingistä versioon 172.31.200.3. Punaisella merkityt vaihtoehdot ovat välttämättömiä tarkoituksiimme; kirjaaminen - ympyröity oranssilla - on valinnainen.
HUOMAUTUS: ACL/ACE:ssä maskin määritysmuoto on päinvastainen kuin aliverkon peittämisessä käytetty menetelmä. Jos haluat määrittää aliverkon 172.31.200.0/24 (255.255.255.0), yleismerkin peite on 0.0.0.255. Vastaavasti yksittäisen isännän määrittämiseen (/32 tai 255.255.255.255 aliverkon peittomerkinnässä) käytetään yleismerkkipeitettä 0.0.0.0.
Toista jokaiselle protokollalle (1 telnetille(23), 1 http(80), 1 https(443), 1 ssh(22) [jos määritetty – ssh-pääsy X-sarjaan on oletusarvoisesti poistettu käytöstä] ja kohteelle, ja lopuksi lopussa oleva "salli kaikki" -lauseke, joka sallii kaiken, mitä ei ole nimenomaisesti estetty – katso kuva 4) -> Ok
Kuva. 4 – "Salli kaikki" -maininnan luominen. Jos tätä ei lisätä, ACL:n lopussa on implisiittinen kielto, mikä tarkoittaa, että jos kytkin saavuttaa käyttöoikeusluettelon lopun (sääntöjä sovelletaan tärkeysjärjestyksessä) eikä mikään säännöistä ole täsmännyt, se estää liikenteen. Lisäämme luvan, jotta emme kieltäisi kaikkea erityisesti kohdennettua liikennettä ja kaikkea liikennettä, johon emme viittaa lainkaan.
Kun olet valmis, ACL:n ACE-merkintöjen pitäisi näyttää samanlaisilta kuin alla olevassa kuvassa 5. Kuvasta on jätetty pois muuttujat, joita emme määrittäneet parempaa katselua varten.
Viikuna. 5 – Muokattu selkeyden vuoksi. Tämä näyttää kaikki ACE: t - säännöt -, jotka muodostavat tietyn ACL: n. Katso täältä, että estämme 4 eri protokollaa - 22, 23, 80 ja 443 - kahteen eri kohteeseen - 172.31.200.3/32 ja 172.30.200.3/32.
ACL:n soveltaminen käyttöliittymään
ACL-sidonta -> Muokkaa -> Napsauta Muokkaa kuvaketta portin mukaan -> Jätä 'Ingress' valituksi -> Valitse 'Valitse IPv4-pohjainen käyttöoikeusluettelo (valitse ACL avattavasta valikosta, jos sitä ei ole jo täytetty) -> OK
Kuva. 6 – ACL:n soveltaminen käyttöliittymään. Valitsemme sisääntulon siten, että kaikki Gi1/0/1:een tuleva liikenne tarkistetaan käyttöoikeusluetteloa vasten ennen kuin se sallitaan kytkimessä.
Jos käyttöoikeusluettelot ohjaavat kytkimen käyttöä, meidän on tarkistettava sisäänpääsy. Lähtevien ACL-luetteloiden paikka on, mutta muista, että lähtevän ACL-luettelon estämä liikenne on jo kulkenut kytkimen sisäisen verkon kautta. Jos liikenne aiotaan lopettaa, se on parasta tehdä ennen kuin se on tuhlannut resursseja, jotka sallitaan kytkinrakenteessa ja sen yli. Kiellä mahdollisimman lähellä lähdettä!
HUOMAUTUS: X-sarjassa käyttöoikeusluettelot voidaan sitoa vain fyysisiin tai loogisiin rajapintoihin, jotka yhdistävät fyysisiä rajapintoja. Tämä tarkoittaa sitä, että käyttöoikeusluettelot voidaan sitoa fyysisiin portteihin ja paikallisiin toimintaryhmiin (porttikanaviin), mutta käyttöoikeusluetteloita ei voi sitoa VLAN-verkkoihin.