Dell EMC Networking Beheer-ACL maken en toepassen op de X-serie
Summary: Dell EMC Networking Beheer-ACL maken en toepassen op de X-serie
Symptoms
Een management-ACL maken en toepassen op de X-serie: Hosttoegang tot switchbeheer blokkeren
Voorbeeldscenario en vereisten
U implementeert een switch uit de X-serie en u wilt voorkomen dat gebruikers van een specifiek subnet toegang krijgen tot de switchbeheerfuncties. Om dit te bereiken maken we een Access Control List (ACL), vullen we deze met de relevante Access Control Entries (ACE's) en passen we de ACL toe op een interface.
In dit scenario is het doel om alle clients in subnet 172.31.200.0/24 te blokkeren voor toegang tot het IP-adres van de switch. De switch heeft meerdere IP-adressen, zowel op het lokale subnet van de client (172.31.200.3) als op een afzonderlijk draadloos subnet.
Als routering is ingeschakeld op de X-serie, moet de gemaakte ACL de toegang blokkeren tot zowel het IP-adres van de switch in het lokale subnet, als al het verkeer dat afkomstig is van het clientsubnet dat bestemd is voor andere subnet-IP's op de switch (bijvoorbeeld van 172.31.200.0/24 naar 172.30.200.3).
Milieu
Client Network: 172.31.200.0/24
Client Network Connection: Untagged VLAN 50, Port Gi 1/0/1
Switch IP Addresses:
VLAN 10 – draadloos – 172.30.200.3/24
VLAN 50 – clients 172.31.200.3/24
Stappen om te maken
Netwerkbeheer -> Beveiliging -> ACL
Afb. 1 – De ACL/ACE-configuratiepagina openen in de WebGUI
OPMERKING: De X-serie biedt geen ondersteuning voor de configuratie van ACL's/ACE's via de CLI. Configuratie die via de WebGUI is uitgevoerd, wordt nog steeds weergegeven in CLI-uitgangen met configuratie, zie Fig. 1a.
Fig. 1a – De laatste ACL gemaakt met behulp van dit artikel. Merk op hoe de switch sommige poortnummers vervangt voor hun bekende gebruik (23 wordt 'telnet' en 80 wordt 'www')
De ACL maken
Op IPV4 gebaseerde ACL -> Bewerken -> Toevoegen -> Een naam maken (geen spaties) -> OK -> Pop-up sluiten
Vermeldingen (ACE's) toevoegen aan een ACL
Op IPv4 gebaseerde ACE -> (ACL-naam/namen staan in de vervolgkeuzelijst, selecteer degene die u zojuist hebt gemaakt) -> Bewerken -> Toevoegen -> Vul regels in voor invoer -> Ok
Elke ACE richt zich op één beheerprotocol dat we willen blokkeren, evenals de unieke bestemming die we willen blokkeren. We moeten een aparte groep ACE's maken voor het tweede mogelijke beheer-IP, omdat het alternatief is om de protocollen te blokkeren zonder rekening te houden met hun bestemming - wat elk van deze protocollen zou blokkeren die probeert de switch door te geven, wat veel verder gaat dan wat we proberen te doen - of blokkeren zonder rekening te houden met het protocol en alleen op basis van bestemming, wat elk gerouteerd verkeer zou weigeren!
Vijg. 3 - De ACE toevoegen aan block 172.31.200.0/24-clients van Telnetting naar 172.31.200.3. De opties in rood zijn vereist voor onze doeleinden; logging - omcirkeld in oranje - is optioneel.
OPMERKING: De indeling voor het opgeven van het masker in een ACL/ACE is het omgekeerde van de methode die wordt gebruikt voor subnetmaskering. Als u het subnet van 172.31.200.0/24 (255.255.255.0) wilt opgeven, is het jokertekenmasker 0.0.0.255. Om een enkele host op te geven (/32 of 255.255.255.255 in de notatie van subnetmaskers) gebruikt u ook het jokertekenmasker 0.0.0.0.
Herhaal dit voor elk protocol (1 voor telnet(23), 1 voor http(80), 1 voor https(443), 1 voor ssh(22) [indien geconfigureerd - ssh-toegang tot X-serie is standaard uitgeschakeld] en bestemming, en tenslotte een 'permit all'-instructie aan het einde om alles toe te staan dat niet expliciet is geblokkeerd - zie Fig. 4) -> ok
afb. 4 – Het maken van de 'alles toestaan'-verklaring. Als u dit niet toevoegt, resulteert dit in een impliciete weigering aan het einde van uw ACL, wat betekent dat als de switch het einde van de ACL bereikt (regels worden in volgorde van prioriteit toegepast) en geen van de regels overeenkomt, het verkeer wordt geweigerd. We voegen een vergunning toe om te voorkomen dat al het specifiek gerichte verkeer en al het verkeer waarnaar we helemaal niet verwijzen, wordt geweigerd.
Als u klaar bent, zouden de ACE-vermeldingen voor uw ACL er ongeveer zo uit moeten zien als Fig. 5 hieronder. De afbeelding heeft de variabelen weggelaten die we niet hebben geconfigureerd voor een betere weergave.
Vijg. 5 - Bewerkt voor duidelijkheid. Dit toont alle ACE's - regels - waaruit een bepaalde ACL bestaat. Hier blokkeren we 4 verschillende protocollen - 22, 23, 80 en 443 - naar twee verschillende bestemmingen - 172.31.200.3/32 en 172.30.200.3/32.
De ACL toepassen op een interface
ACL-binding -> Bewerken -> Klik op het pictogram Bewerken per poort -> laat 'inkomend' geselecteerd -> Vink 'Selecteer op Ipv4 gebaseerde ACL aan (selecteer ACL in de vervolgkeuzelijst als deze nog niet is ingevuld) -> OK
Afb. 6 - De ACL toepassen op de interface. We selecteren ingress zodat al het verkeer dat binnenkomt op Gi1/0/1 wordt gecontroleerd aan de hand van de ACL voordat het verder in de switch wordt toegelaten.
Voor ACL's die de toegang tot de switch beheren, moeten we het binnendringen controleren. Uitgaande ACL's hebben hun plaats, maar vergeet niet dat verkeer dat wordt geweigerd door een uitgaande ACL al de interne structuur van de switch is gepasseerd. Als het verkeer wordt stopgezet, kunt u dit het beste doen voordat er resources worden verspild die in en over de switchfabric worden toegelaten. Ontken zo dicht mogelijk bij de bron!
OPMERKING: Op de X-serie kunnen ACL's alleen worden gebonden aan fysieke of logische interfaces die fysieke interfaces samenvoegen. Dit betekent dat ACL's gebonden kunnen zijn aan fysieke poorten en LAG's (poortkanalen), maar ACL's niet gebonden kunnen zijn aan VLAN's.