Dell EMC Networking Vytvoření a použití seznamu ACL pro správu v zařízeních řady X
Summary: Dell EMC Networking Vytvoření a použití seznamu ACL pro správu v zařízeních řady X
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Vytvoření a použití seznamu ACL pro správu u řady X: Blokování přístupu hostitele ke správě přepínače
Příklad scénáře a požadavky
Implementujete přepínač řady X a chcete zabránit uživatelům z konkrétní podsítě v přístupu k funkcím správy přepínačů. Za tímto účelem vytvoříme seznam řízení přístupu (ACL), naplníme jej příslušnými položkami řízení přístupu (ACE) a použijeme seznam ACL na rozhraní.
V tomto scénáři je účelem zablokovat všem klientům v podsíti 172.31.200.0/24 přístup k IP adrese přepínače. Přepínač má více IP adres, a to jak v místní podsíti klienta (172.31.200.3), tak v samostatné bezdrátové podsíti.
Pokud je v řadě X povolené směrování, vytvořený seznam ACL musí blokovat přístup k IP adrese přepínače v místní podsíti a také k veškerému provozu z podsítě klienta směřujícímu do jiných IP adres podsítě na přepínači (např. z 172.31.200.0/24 na 172.30.200.3).
Prostředí
Klientská síť: 172.31.200.0/24
Síťové připojení klienta: Neoznačená VLAN 50, IP adresy přepínače Port Gi 1/0/1
:
VLAN 10 – bezdrátová – 172.30.200.3/24
VLAN 50 – klienti 172.31.200.3/24
Postup vytvoření
Správa sítě -> Zabezpečení -> ACL
Obr. 1 – Přístup na konfigurační stránku ACL/ACE v WebGUI
POZNÁMKA: Řada X nepodporuje konfiguraci seznamů ACL/ACE prostřednictvím rozhraní příkazového řádku. Konfigurace provedená přes WebGUI se bude stále zobrazovat ve výstupech CLI zobrazujících konfiguraci, viz obr. 1a.
Obr. 1a – Výsledný seznam ACL vytvořený pomocí tohoto článku. Všimněte si, jak přepínač nahrazuje některá čísla portů pro jejich známé použití (23 se změní na "telnet" a 80 na "www")
Vytvoření seznamu ACL
Seznam ACL založený na IPV4 –> Upravit –> Přidat –> Vytvořit název (bez mezer) –> OK –> Zavřít automaticky otevírané okno
Přidání položek (ACE) do seznamu ACL
ACE založené na IPv4 –> (názvy seznamů ACL jsou v rozbalovací nabídce, vyberte ten, který jste právě vytvořili) –> Upravit –> Přidat –> Vyplnit pravidla pro zadání –> Ok
Každá položka řízení přístupu bude cílit na jeden protokol správy, který chceme blokovat, a také na jedinečný cíl, který chceme blokovat. Musíme vytvořit samostatnou skupinu ACE pro druhou možnou IP adresu správy, protože alternativou je blokovat protokoly bez ohledu na jejich cíl – což by zablokovalo kterýkoli z těchto protokolů, který se pokouší projít přepínačem, což je daleko za tím, co se snažíme udělat – nebo blokovat bez ohledu na protokol a pouze na základě cíle, který by odepřel jakýkoli směrovaný provoz!
Fík. 3 – Přidání položky řízení přístupu k blokování klientů 172.31.200.0/24 z protokolu Telnetting na adresu 172.31.200.3. Možnosti v červené barvě jsou pro naše účely povinné; logging - oranžově zakroužkované - je volitelné.
POZNÁMKA: Formát pro určení masky v seznamu ACL/ACE je opačný než metoda použitá pro maskování podsítě. Chcete-li zadat podsíť 172.31.200.0/24 (255.255.255.0), maska zástupného znaku je 0.0.0.255. Podobně, chcete-li určit jednoho hostitele (/32 nebo 255.255.255.255 v zápisu masky podsítě), použijte masku zástupného znaku 0.0.0.0.
Opakujte pro každý protokol (1 pro telnet(23), 1 pro http(80), 1 pro https(443), 1 pro ssh(22) [pokud je nakonfigurován – ssh přístup k X-series je ve výchozím nastavení zakázán] a cíl a nakonec na konci příkaz "povolit vše", aby bylo povoleno vše, co není explicitně blokováno – viz obr. 4) -> Ok
Obr. 4 – Vytvoření příkazu "povolit vše". Pokud toto nepřidáte, dojde k implicitnímu zamítnutí na konci seznamu ACL, což znamená, že pokud přepínač dosáhne konce seznamu ACL (pravidla se aplikují v pořadí podle priority) a žádné z pravidel se neshoduje, provoz odmítne. Povolení přidáváme vše, abychom se vyhnuli odepření veškerého specificky cíleného provozu a veškerého provozu, na který vůbec neodkazujeme.
Až budete hotovi, položky ACE pro váš ACL by měly vypadat podobně jako na obr. 5 níže. Na obrázku jsou vynechány proměnné, které jsme nenakonfigurovali pro lepší zobrazení.
Fík. 5 – Upraveno pro přehlednost. Zobrazí se všechny položky řízení přístupu (ACE) – pravidla, která tvoří konkrétní seznam ACL. Blokujeme 4 různé protokoly – 22, 23, 80 a 443 – do dvou různých umístění – 172.31.200.3/32 a 172.30.200.3/32.
Použití seznamu ACL na rozhraní
ACL Binding –> Edit –> Klikněte na Edit Icon by Port –> Nechte vybranou možnost "Ingress" –> zaškrtněte "Select Ipv4 Based ACL (select ACL from drop-down, pokud ještě není vyplněna)" –> OK
Obr. 6 – Použití seznamu ACL na rozhraní. Vybereme příchozí přenos dat, aby se veškerý provoz přicházející na Gi1/0/1 zkontroloval proti seznamu ACL, než se povolí dále v přepínači.
U seznamů ACL řídících přístup k přepínači je nutné zkontrolovat příchozí přenos dat. Seznamy ACL výchozího přenosu dat mají své místo, ale nezapomeňte, že provoz odepřený seznamem ACL pro výstup již prošel vnitřní infrastrukturou přepínače. Pokud bude provoz přerušen, je nejlepší to provést dříve, než dojde k plýtvání zdroji v topologii Fabric přepínače. Odepřít co nejblíže ke zdroji!
POZNÁMKA: Seznamy ACL řady X mohou být svázány pouze s fyzickými nebo logickými rozhraními, která agregují fyzická rozhraní. To znamená, že seznamy ACL mohou být svázány s fyzickými porty a LAG (kanály portů), ale seznamy ACL nemohou být svázány s VLAN.
Affected Products
Dell Networking X1000 Series, Dell Networking X4000 SeriesArticle Properties
Article Number: 000140912
Article Type: Solution
Last Modified: 05 Jun 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.