Dell EMC Networking: creazione e applicazione dell'ACL di gestione sulla serie X
Summary: Dell EMC Networking: creazione e applicazione dell'ACL di gestione sulla serie X
Symptoms
Creazione e applicazione di un ACL di gestione sulla serie X: Blocco dell'accesso host alla gestione degli switch
Scenario di esempio e requisiti
Implementazione di uno switch serie X e desiderio di impedire agli utenti di una subnet specifica di accedere alle funzioni di gestione degli switch. A tale scopo, creeremo un elenco di controllo degli accessi (ACL), lo popoleremo con le voci di controllo degli accessi (ACE) pertinenti e applicheremo l'ACL a un'interfaccia.
In questo scenario, lo scopo è impedire a tutti i client nella subnet 172.31.200.0/24 di accedere all'indirizzo IP dello switch. Lo switch dispone di più indirizzi IP, sia sulla subnet locale del client (172.31.200.3) che su una subnet wireless separata.
Se il routing è abilitato sulla serie X, l'ACL creato deve bloccare l'accesso sia all'IP dello switch nella subnet locale, sia a tutto il traffico originato dalla subnet client destinato ad altri IP della subnet sullo switch (ad esempio, da 172.31.200.0/24 a 172.30.200.3).
Ambiente
Rete client: Connessione di rete client 172.31.200.0/24
: VLAN 50 non taggata, indirizzo IP switch Gi 1/0/1
:
VLAN 10 – Senza fili – 172.30.200.3/24
VLAN 50 – Client 172.31.200.3/24
Passaggi per la creazione
Amministrazione di rete -> Sicurezza -> ACL
Fig. 1 - Accesso alla pagina di configurazione ACL/ACE nella WebGUI
NOTA: X-Series non supporta la configurazione di ACL/ACE tramite la CLI. La configurazione eseguita tramite WebGUI continuerà a essere visualizzata negli output CLI che mostrano la configurazione, vedere la Fig. 1a.
Fig. 1a – L'ACL finale creato utilizzando questo articolo. Si noti come lo switch sostituisca alcuni numeri di porta per il loro uso noto (23 diventa 'telnet' e 80 diventa 'www')
Creazione dell'ACL
ACL basato su IPV4 -> Modifica -> Aggiungi -> Crea un nome (senza spazi) -> OK -> Popup di chiusura
Aggiunta di voci (ACE) a un ACL
ACE basata su IPv4 -> (i nomi ACL si trovano nell'elenco a discesa, selezionare quello appena creato) -> Modificare -> Aggiungere -> Compilare le regole per l'ingresso -> Ok
Ogni ACE avrà come destinazione un protocollo di gestione che desideriamo bloccare e la destinazione univoca che desideriamo bloccare. È necessario creare un gruppo separato di ACE per il secondo IP di gestione possibile, poiché l'alternativa è bloccare i protocolli senza tenere conto della destinazione, il che bloccherebbe uno qualsiasi di questi protocolli che tenta di transitare sullo switch, il che è ben oltre ciò che stiamo tentando di fare, o bloccare senza considerare il protocollo e solo in base alla destinazione, che negherebbe qualsiasi traffico instradato!
Fico. 3 - Aggiunta dell'ACE ai client del blocco 172.31.200.0/24 da Telnetting a 172.31.200.3. Le Opzioni in Rosso sono necessarie per i nostri scopi; la registrazione, cerchiata in arancione, è facoltativa.
NOTA: Il formato per specificare la maschera in un ACL/ACE è l'inverso del metodo utilizzato per la subnet masking. Per specificare la subnet 172.31.200.0/24 (255.255.255.0), la maschera con caratteri jolly è 0.0.0.255. Allo stesso modo, per specificare un singolo host (/32 o 255.255.255.255 nella notazione della subnet mask) utilizzare la maschera con caratteri jolly 0.0.0.0.
Ripetere per ogni protocollo (1 per telnet(23), 1 per http(80), 1 per https(443), 1 per ssh(22) [se configurato – l'accesso ssh alla serie X è disabilitato per impostazione predefinita] e destinazione, e infine un'istruzione 'permit all'ultimo' per permettere tutto ciò che non è esplicitamente bloccato – vedi Fig. 4) -> Ok
Fig. 4 – Creazione dell'istruzione «autorizzare tutti». La mancata aggiunta di questa opzione comporterà una negazione implicita alla fine dell'ACL, il che significa che se lo switch raggiunge la fine dell'ACL (le regole vengono applicate in ordine di priorità) e nessuna delle regole è corrispondente, rifiuterà il traffico. Aggiungiamo un permesso tutto per evitare di negare tutto il traffico specificamente mirato e tutto il traffico a cui non facciamo riferimento.
Al termine, le voci ACE per l'ACL dovrebbero apparire simili alla Fig. 5, di seguito. La figura ha omesso le variabili che non abbiamo configurato per una migliore visualizzazione.
Fico. 5 – Modificato per maggiore chiarezza. Vengono visualizzate tutte le regole ACE (ACE) che costituiscono un particolare ACL. Stiamo bloccando 4 protocolli diversi - 22, 23, 80 e 443 - per due destinazioni diverse - 172.31.200.3/32 e 172.30.200.3/32.
Applicazione dell'ACL a un'interfaccia
Binding ACL -> Modifica -> Cliccare su Icona Modifica per porta -> Lasciare selezionato 'Ingress' -> Selezionare 'Select Ipv4 Based ACL (selezionare ACL dal menu a discesa se non è già popolato) -> OK
Fig. 6 - Applicazione dell'ACL all'interfaccia. Selezioniamo l'ingresso in modo che tutto il traffico in entrata su Gi1/0/1 venga controllato rispetto all'ACL prima di essere consentito ulteriormente nello switch.
Per gli ACL che controllano l'accesso allo switch, è necessario controllare l'ingresso. Gli ACL di uscita hanno il loro posto, ma tenere presente che il traffico negato da un ACL di uscita ha già attraversato la fabric interna dello switch. Se il traffico verrà interrotto, è consigliabile farlo prima di consentire lo spreco di risorse all'interno e all'interno della fabric dello switch. Nega il più vicino possibile alla fonte!
NOTA: Sugli ACL X-Series possono essere associati solo a interfacce fisiche o logiche che aggregano interfacce fisiche. Ciò significa che gli ACL possono essere associati a porte fisiche e LAG (canali delle porte), ma gli ACL non possono essere associati alle VLAN.