XシリーズでのDell EMC Networkingによる管理ACLの作成と適用

Summary: XシリーズでのDell EMC Networkingによる管理ACLの作成と適用

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms




Xシリーズでの管理ACLの作成と適用: スイッチ管理へのホスト アクセスのブロック


シナリオ例と要件

Xシリーズ スイッチを実装し、特定のサブネットのユーザーがスイッチ管理機能にアクセスできないようにしたい。これを実現するには、アクセス制御リスト(ACL)を作成し、関連するアクセス制御エントリー(ACE)を入力して、ACLをインターフェイスに適用します
このシナリオの目的は、サブネット172.31.200.0/24内のすべてのクライアントがスイッチのIPアドレスにアクセスできないようにすることです。スイッチには、クライアントのローカル サブネット(172.31.200.3)と個別のワイヤレス サブネットの両方に複数のIPアドレスがあります
X-Seriesでルーティングが有効になっている場合、作成されるACLは、ローカル サブネット内のスイッチのIPへのアクセスと、クライアント サブネットからスイッチ上の他のサブネットIP宛てのトラフィック(例:172.31.200.0/24から172.30.200.3)へのアクセスをブロックする必要があります。


Environment
 

クライアント ネットワーク: 172.31.200.0/24
クライアント ネットワーク接続: タグなしVLAN 50、ポートGi 1/0/1
スイッチIPアドレス:
            VLAN 10 – ワイヤレス – 172.30.200.3/24
VLAN 50 – クライアント172.31.200.3/24


 

作成手順


Network Administration > Security -> ACL

SLN301636_en_US__1ACL 1
Fig.1 – WebGUI の ACL/ACE 設定ページへのアクセス

 

SLN301636_en_US__2iconメモ:Xシリーズでは、CLIを使用したACL/ACEの設定はサポートされていません。WebGUIを介して行われた設定は、設定を示すCLI出力に引き続き表示されます(図1aを参照)。

 


SLN301636_en_US__3ACL 2
図1a – この記事を使用して作成された最終的なACL。スイッチが一部のポート番号を既知の用途に置き換えていることに注目してください(23は「telnet」になり、80は「www」になります)

 

ACLの作成


IPV4ベースのACL -> Edit -> Add -> 名前の作成(スペースなし) -> OK -> ポップアップを閉じる
SLN301636_en_US__4ACL 3

図2 - ACLの命名ACL名には、スペースや標準以外の文字を使用しないでください。

 


ACLへのエントリー(ACE)の追加


IPv4 ベースの ACE -> (ACL 名はドロップダウンにあるので、作成した名前を選択します) -> Edit -> 追加 -> エントリのルールを入力します -> Ok

各 ACE は、ブロックする 1 つの管理プロトコルと、ブロックする一意の宛先をターゲットにします。代替手段は、宛先に関係なくプロトコルをブロックすることであるためです。これは、スイッチを通過しようとするこれらのプロトコルのいずれかをブロックします。これは、私たちが行おうとしている範囲をはるかに超えています。または、プロトコルに関係なく、ルーティングされたトラフィックを拒否する宛先のみに基づいてブロックするためです


SLN301636_en_US__5ACL 4
無花果。3:172.31.200.0/24クライアントをTelnettingから172.31.200.3にブロックするACEを追加します。赤色のオプションは、当社の目的に必要です。logging (オレンジ色の丸で囲まれた部分) はオプションです。

 

 

SLN301636_en_US__2iconメモ:ACL/ACE でマスクを指定する形式は、サブネット マスキングに使用される方法とは逆です。サブネット 172.31.200.0/24 (255.255.255.0) を指定する場合、ワイルドカード マスクは 0.0.0.255 です。同様に、単一のホスト(サブネット マスク表記では/32または255.255.255.255)を指定するには、0.0.0.0のワイルドカード マスクを使用します。

 



各プロトコル (telnet(23) の場合は 1、http(80) の場合は 1、https(443) の場合は 1、ssh(22) [設定されている場合 - X シリーズへの ssh アクセスはデフォルトで無効] と宛先に対して繰り返し、最後に 'permit all' ステートメントを使用して、明示的にブロックされていないすべてのものを許可します – 図 4) -> Ok


SLN301636_en_US__7ACL 5
図を参照。4 – 「permit all」ステートメントの作成。これを追加しないと、ACLの最後に暗黙的な拒否が発生します。つまり、スイッチがACLの最後に到達し(ルールは優先度に従って適用されます)、どのルールも一致しない場合、トラフィックが拒否されます。特定のターゲットを絞ったすべてのトラフィックと、まったく参照していないすべてのトラフィックが拒否されないようにするために、すべて許可を追加します

終了すると、ACLのACEエントリは次の図5のようになります。この図では、見やすくするために構成しなかった変数を省略しています


SLN301636_en_US__8ACL 6
無花果。5 – わかりやすくするために編集しました。これにより、特定のACLを構成するすべてのACE(ルール)が表示されます。ここでは、4つの異なるプロトコル(22、23、80、443)を2つの異なる宛先(172.31.200.3/32と172.30.200.3/32)に対してブロックしています。
 


インターフェイスへの ACL の適用


ACL Binding -> Edit -> [Edit Icon by Port]をクリックします -> [Ingress]を選択したままにします-> [Select Ipv4 Based ACL]をオンにします(まだ入力されていない場合はドロップダウンからACLを選択します)-> OK

SLN301636_en_US__9ACL 7
図。6 – インターフェイスに ACL を適用します。入力を選択して、Gi1/0/1 に着信するすべてのトラフィックが ACL と照合されてから、スイッチでさらに許可されるようにします。 

   

 
SLN301636_en_US__2icon スイッチへのアクセスを制御するACLについては、入力を確認する必要があります。出力ACLにはそれなりの場所がありますが、出力ACLによって拒否されたトラフィックは、すでにスイッチの内部ファブリックを通過していることに注意してください。トラフィックをドロップする場合は、スイッチファブリック内およびスイッチファブリック全体で許可されるリソースが無駄になる前にドロップすることをお勧めします。  できるだけソースに近い場所で拒否してください!

 

SLN301636_en_US__2iconメモ:X シリーズでは、ACL は、物理インターフェイスを集約する物理インターフェイスまたは論理インターフェイスにのみバインドできます。つまり、ACLを物理ポートとLAG(ポートチャネル)にバインドすることはできますが、ACLをVLANにバインドすることはできません。

 









Affected Products

Dell Networking X1000 Series, Dell Networking X4000 Series
Article Properties
Article Number: 000140912
Article Type: Solution
Last Modified: 05 Jun 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.