Dell EMC Networking Erstellen und Anwenden der Management-ACL auf der X-Serie

Erstellen und Anwenden einer Management-ACL auf der X-Serie: Blockieren des Hostzugriffs auf das Switch-Management

Beispielszenario und Anforderungen

Sie implementieren einen Switch der X-Serie und möchten verhindern, dass Nutzer aus einem bestimmten Subnetz auf die Switch-Managementfunktionen zugreifen. Um dies zu erreichen, erstellen wir eine Zugriffskontrollliste (Access Control List, ACL), füllen sie mit den relevanten Zugriffskontrolleinträgen (ACEs) und wenden die ACL auf eine Schnittstelle an.
In diesem Szenario besteht der Zweck darin, allen Clients im Subnetz 172.31.200.0/24 den Zugriff auf die IP-Adresse des Switches zu verwehren. Der Switch verfügt über mehrere IP-Adressen, sowohl im lokalen Subnetz des Clients (172.31.200.3) als auch in einem separaten drahtlosen Subnetz.
Wenn Routing auf der X-Serie aktiviert ist, muss die erstellte ACL den Zugriff sowohl auf die IP des Switches im lokalen Subnetz als auch auf jeglichen Datenverkehr aus dem Clientsubnetz zu anderen Subnetz-IPs auf dem Switch blockieren (z. B. von 172.31.200.0/24 bis 172.30.200.3).

Umgebung
 

Client-Netzwerk: 172.31.200.0/24
Client-Netzwerkverbindung: Nicht gekennzeichnetes VLAN 50, Port Gi 1/0/1
Switch-IP-Adressen:
            VLAN 10 – Wireless – 172.30.200.3/24
VLAN 50 – Clients 172.31.200.3/24

 

Schritte zum Erstellen

Netzwerkadministration -> Sicherheit -> ACL


Abb. 1 – Zugriff auf die ACL/ACE-Konfigurationsseite in der WebGUI

 

Abb. 1a – Die letzte ACL, die mit diesem Artikel erstellt wurde. Beachten Sie, wie der Switch einige Portnummern durch ihre bekannte Verwendung ersetzt (23 wird zu "telnet" und 80 zu "www").

 

Erstellen der ACL

IPV4-basierte ACL -> Bearbeiten -> Hinzufügen -> Erstellen eines Namens (ohne Leerzeichen) -> OK -> Popup schließen

Abb. 2 – Benennung der ACL. Vermeiden Sie die Verwendung von Leerzeichen oder nicht standardmäßigen Zeichen in ACL-Namen.

 

Hinzufügen von Einträgen (ACEs) zu einer ACL

IPv4-basierter ACE (> ACL-Name(n) befinden sich in der Dropdown-Liste, wählen Sie den Namen aus, den Sie gerade erstellt haben) -> Bearbeiten -> Hinzufügen -> Regeln für Eintrag eingeben -> OK

Jeder ACE zielt auf ein Managementprotokoll ab, das wir blockieren möchten, sowie auf das eindeutige Ziel, das wir blockieren möchten. Wir müssen eine separate Gruppe von ACEs für die zweite mögliche Management-IP erstellen, da die Alternative darin besteht, die Protokolle ohne Rücksicht auf ihr Ziel zu blockieren – was jedes dieser Protokolle blockieren würde, das versucht, den Switch zu übertragen, was weit über das hinausgeht, was wir zu tun versuchen – oder ohne Rücksicht auf das Protokoll und nur basierend auf dem Ziel zu blockieren, was jeglichen gerouteten Datenverkehr verweigern würde!



Feige. 3 Hinzufügen des ACE zum Blockieren von 172.31.200.0/24-Clients von Telnetting auf 172.31.200.3. Die Optionen in Rot sind für unsere Zwecke erforderlich; Die Protokollierung - orange eingekreist - ist optional.

 

 

 

Wiederholen Sie dies für jedes Protokoll (1 für Telnet(23), 1 für http(80), 1 für https(443), 1 für ssh(22) [falls konfiguriert – ssh-Zugriff auf die X-Serie ist standardmäßig deaktiviert] und Ziel, und schließlich eine 'permit all'-Anweisung am Ende, um alles zuzulassen, was nicht explizit blockiert ist – siehe Abb. 4) -> ok



Abb. 4 – Erstellen der Anweisung "Alle zulassen". Wenn Sie dies nicht hinzufügen, führt dies zu einer impliziten Verweigerung am Ende Ihrer ACL, d. h., wenn der Switch das Ende der ACL erreicht (Regeln werden in der Reihenfolge der Priorität angewendet) und keine der Regeln übereinstimmt, wird der Datenverkehr verweigert. Wir fügen eine Genehmigung hinzu, um zu vermeiden, dass der gesamte speziell anvisierte Verkehr und der gesamte Verkehr, auf den wir uns überhaupt beziehen, verweigert wird.

Wenn Sie fertig sind, sollten die ACE-Einträge für Ihre ACL ähnlich wie in Abb. 5 unten angezeigt werden. In der Abbildung wurden die Variablen ausgelassen, die wir nicht für eine bessere Anzeige konfiguriert haben.



Feige. 5 – Aus Gründen der Übersichtlichkeit bearbeitet. Hier werden alle ACEs (Regeln) angezeigt, aus denen eine bestimmte ACL besteht. Siehe hier, wir blockieren 4 verschiedene Protokolle – 22, 23, 80 und 443 – für zwei verschiedene Ziele – 172.31.200.3/32 und 172.30.200.3/32.
 

Anwenden der ACL auf eine Schnittstelle

ACL-Bindung -> Bearbeiten -> Klicken Sie auf das Bearbeitungssymbol nach Port -> Lassen Sie 'Ingress' ausgewählt -> Aktivieren Sie "Select Ipv4 Based ACL (Select ACL from Drop-down, falls noch nicht ausgefüllt") -> OK


Abb. 6 – Anwenden der ACL auf die Schnittstelle. Wir wählen ingress so aus, dass der gesamte Datenverkehr, der auf Gi1/0/1 eingeht, mit der ACL abgeglichen wird, bevor er weiter in den Switch gelassen wird.