Création et application de l’ACL de gestion de réseau Dell EMC sur la série X

Création et application d’une ACL de gestion sur la série X : Blocage de l’accès de l’hôte à la gestion des commutateurs

Exemple de scénario et de conditions requises

Implémentant un commutateur de série X et souhaitant empêcher les utilisateurs d’un sous-réseau spécifique d’accéder aux fonctions de gestion des commutateurs. Pour ce faire, nous allons créer une liste de contrôle d’accès (ACL), la remplir avec les entrées de contrôle d’accès (ACE) pertinentes et appliquer l’ACL à une interface.
Dans ce scénario, l’objectif est d’empêcher tous les clients du sous-réseau 172.31.200.0/24 d’accéder à l’adresse IP du commutateur. Le commutateur dispose de plusieurs adresses IP, à la fois sur le sous-réseau local du client (172.31.200.3) et sur un sous-réseau sans fil distinct.
Si le routage est activé sur la série X, l’ACL créée doit bloquer l’accès à la fois à l’adresse IP du commutateur dans le sous-réseau local, ainsi qu’à tout trafic provenant du sous-réseau client destiné à d’autres adresses IP de sous-réseau sur le commutateur (par exemple, de 172.31.200.0/24 à 172.30.200.3).

Environnement :
 

Réseau client : 172.31.200.0/24
Client Network Connection : VLAN 50 non balisé, port Gi 1/0/1
Adresses IP des commutateurs :
            VLAN 10 – Sans fil – 172.30.200.3/24
VLAN 50 – Clients 172.31.200.3/24

 

Étapes de création

Administration réseau -> Sécurité -> ACL


Fig. 1 – Accéder à la page de configuration ACL/ACE dans l’interface graphique Web

 

Fig. 1a – L’ACL finale créée à l’aide de cet article. Remarquez comment le commutateur substitue certains numéros de port à leur utilisation bien connue (23 devient 'telnet' et 80 devient 'www')

 

Création de l’ACL

ACL basée sur IPV4 -> Modifier -> Ajouter -> Créer un nom (sans espace) -> OK -> Fermer la fenêtre contextuelle

Fig. 2 – Dénomination de l’ACL. Évitez d’utiliser des espaces ou des caractères non standard dans les noms d’ACL.

 

Ajouter des entrées (ACE) à une ACL

ACE basée sur IPv4 -> (nom(s) d’ACL dans la liste déroulante, sélectionnez celle que vous venez de créer) -> Modifier -> Ajouter -> Renseigner les règles de saisie -> Ok

Chaque ACE ciblera un protocole de gestion que nous souhaitons bloquer ainsi que la destination unique que nous souhaitons bloquer. Nous devons créer un groupe séparé d’ACE pour la deuxième adresse IP de gestion possible, car l’alternative est de bloquer les protocoles sans tenir compte de leur destination - ce qui bloquerait n’importe lequel de ces protocoles tentant de faire transiter le commutateur, ce qui est bien au-delà de ce que nous essayons de faire - ou de bloquer sans tenir compte du protocole et uniquement en fonction de la destination, ce qui refuserait tout trafic acheminé !



Figue. 3 – Ajout de l’ACE pour bloquer les clients 172.31.200.0/24 de Telnetting vers 172.31.200.3. Les options en rouge sont requises pour nos besoins ; La journalisation - entourée en orange - est facultative.

 

 

 

Répétez l’opération pour chaque protocole (1 pour telnet(23), 1 pour http(80), 1 pour https(443), 1 pour ssh(22) [s’il est configuré – l’accès ssh à la série X est désactivé par défaut] et la destination, et enfin une instruction 'permit all' à la fin pour autoriser tout ce qui n’est pas explicitement bloqué – voir Fig. 4) -> Ok



Fig. 4 – Création de l’instruction 'permit all'. Si vous ne l’ajoutez pas, un refus implicite se produira à la fin de votre ACL, ce qui signifie que si le commutateur atteint la fin de l’ACL (les règles sont appliquées par ordre de priorité) et qu’aucune des règles n’a correspondu, il refusera le trafic. Nous ajoutons un permis pour éviter de refuser tout le trafic spécifiquement ciblé et tout le trafic que nous ne référençons pas du tout.

Lorsque vous avez terminé, les entrées ACE de votre ACL doivent ressembler à la Fig. 5 ci-dessous. La figure a omis les variables que nous n’avons pas configurées pour un meilleur affichage.



Figue. 5 – Édité pour plus de clarté. Cela affiche toutes les ACE, c’est-à-dire les règles, qui constituent une ACL particulière. Vous voyez ici que nous bloquons 4 protocoles différents - 22, 23, 80 et 443 - vers deux destinations différentes - 172.31.200.3/32 et 172.30.200.3/32.
 

Application de l’ACL à une interface

Liaison ACL -> Modifier -> Cliquez sur l’icône Modifier par port -> Laissez l’entrée sélectionnée -> Cochez la case « Sélectionner l’ACL basée sur IPV4 » (sélectionnez l’ACL dans la liste déroulante si elle n’est pas déjà remplie) -> OK


Fig. 6 – Application de l’ACL à l’interface. Nous sélectionnons l’entrée afin que tout le trafic entrant sur Gi1/0/1 soit vérifié par rapport à l’ACL avant d’être autorisé à aller plus loin dans le commutateur.