Dell EMC Networking 在 X 系列上创建和应用管理 ACL

在 X 系列上创建和应用管理 ACL：阻止主机访问交换机管理

示例场景和要求

实施 X 系列交换机，并希望阻止特定子网中的用户访问交换机管理功能。为此，我们将创建一个访问控制列表 （ACL），在其中填充相关的访问控制条目 （ACE），并将 ACL 应用于接口。
在这种情况下，目的是阻止子网 172.31.200.0/24 中的所有客户端访问交换机的 IP 地址。交换机有多个 IP 地址，位于客户端的本地子网 （172.31.200.3） 和单独的无线子网上。
如果在 X 系列上启用了路由，则创建的 ACL 必须阻止对本地子网中交换机 IP 的访问，以及从客户端子网发往交换机上其他子网 IP 的任何流量（例如，从 172.31.200.0/24 到 172.30.200.3）。

环境
 

客户端网络：172.31.200.0/24
Client Network Connection：未标记 VLAN 50，端口 Gi 1/0/1
交换机 IP 地址：
            VLAN 10 — 无线 — 172.30.200.3/24
VLAN 50 — 客户端 172.31.200.3/24

 

创建步骤

网络管理 —> 安全性 —> ACL图


1 – 访问 WebGUI 中的 ACL/ACE 配置页面

 

图 1a – 使用此文章创建的最终 ACL。请注意，交换机如何用一些端口号替换其众所周知的用途（23 变成“telnet”，80 变成“www”）

 

创建 ACL

基于 IPV4 的 ACL —> 编辑 —> 添加 —> 创建名称（无空格）—> 确定 —> 关闭弹出窗口

图 2 – 命名 ACL。避免在 ACL 名称中使用空格或非标准字符。

 

将条目 （ACE） 添加到 ACL

基于 IPv4 的 ACE -> （ACL 名称在下拉列表中，选择您刚刚创建的那个）-> 编辑 -> 添加 -> 填写输入规则 -> 确定

每个 ACE 都将针对我们希望阻止的一个管理协议以及我们希望阻止的唯一目标。我们需要为第二个可能的管理 IP 创建一组单独的 ACE，因为替代方案是阻止协议而不考虑其目的地 - 这将阻止任何试图传输交换机的协议，这远远超出了我们尝试执行的作 - 或者阻止而不考虑协议，并且仅基于目标，这将拒绝任何路由流量！



无花果。3 — 将 ACE 添加到数据块 172.31.200.0/24 客户端（从 Telnetting 到 172.31.200.3）。出于我们的目的，红色选项是必需的;日志记录 - 用橙色圈出 - 是可选的。

 

 

 

对每个协议（1 个用于 telnet（23），1 个用于 http（80），1 个用于 https（443），1 个用于 ssh（22）[如果已配置 - 默认情况下禁用对 X 系列的 ssh 访问] 和 destination，最后在末尾添加“permit all”语句，以允许未显式阻止的所有内容 – 参见图 4） -> 好的



图。4 – 创建“allow all”语句。如果不添加此项，将导致 ACL 末尾出现隐式拒绝，这意味着，如果交换机到达 ACL 末尾（规则按优先级顺序应用），并且所有规则均不匹配，则会拒绝流量。我们添加了一个许可证，以避免拒绝所有特定目标流量和我们根本不引用的所有流量。

完成后，ACL 的 ACE 条目应类似于下面的图 5。该图省略了我们未配置以便更好地查看的变量。



无花果。5 – 为清晰起见，进行了编辑。这将显示构成特定 ACL 的所有 ACE（规则）。看这里，我们将 4 种不同的协议（22、23、80 和 443）阻止到两个不同的目的地——172.31.200.3/32 和 172.30.200.3/32。
 

将 ACL 应用于接口

ACL 绑定 -> 编辑 -> 单击 Edit Icon by Port -> 将“Ingress”保留为选中状态 -> 选中“Select Ipv4 Based ACL”（如果尚未填充，请从下拉列表中选择 ACL）-> 确定图


6 – 将 ACL 应用于接口。我们选择入口，以便在交换机中进一步允许进入 Gi1/0/1 的所有流量之前根据 ACL 进行检查。