Dell EMC Networking – opprette og bruke administrasjons-ACL på X-serien
Summary: Dell EMC Networking – opprette og bruke administrasjons-ACL på X-serien
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Opprette og ta i bruk en administrasjonskontrolliste i X-serien: Blokkere vertstilgang til svitsjadministrasjon
Eksempel på scenario og krav
Implementerer en svitsj i X-serien, og ønsker å forhindre at brukere fra et bestemt subnett får tilgang til svitsjadministrasjonsfunksjonene. For å oppnå dette oppretter vi en tilgangskontrolliste (ACL), fyller den med relevante tilgangskontrolloppføringer (ACE-er) og bruker tilgangskontrollisten i et grensesnitt.
I dette scenariet er formålet å blokkere alle klienter i delnettet 172.31.200.0/24 fra å få tilgang til IP-adressen til svitsjen. Svitsjen har flere IP-adresser, både på klientens lokale delnett (172.31.200.3) og på et separat trådløst subnett.
Hvis ruting er aktivert i X-serien, må tilgangskontrollisten som opprettes, blokkere tilgangen både til IP-adressen til svitsjen i det lokale delnettet og eventuell trafikk som hentes fra klientsubnettet som skal til andre subnett-IP-er på svitsjen (f.eks. fra 172.31.200.0/24 til 172.30.200.3).
Miljø
Klientnettverk: 172.31.200.0/24
Klientnettverkstilkobling: Umerket VLAN 50, Port GI 1/0/1
Switch IP Addresses:
VLAN 10 – trådløs – 172.30.200.3/24
VLAN 50 – klienter 172.31.200.3/24
Fremgangsmåte for å opprette
Nettverksadministrasjon -> Sikkerhet -> ACL
Fig. 1 – Tilgang til ACL/ACE-konfigurasjonssiden i WebGUI
MERK: X-serien støtter ikke konfigurering av ACL/ACE via CLI. Konfigurasjon utført via WebGUI vil fortsatt vises i CLI-utganger som viser konfigurasjon, se fig. 1a.
Fig. 1a - Den endelige tilgangskontrollisten opprettet ved hjelp av denne artikkelen. Legg merke til hvordan bryteren erstatter noen portnumre for deres velkjente bruk (23 blir 'telnet' og 80 blir 'www')
Opprette tilgangskontrollisten
IPV4-basert ACL -> Rediger -> Legg til -> Opprett et navn (ingen mellomrom) -> OK -> Lukk popup
Legge til oppføringer (ACEer) i en tilgangskontrolliste
IPv4-basert ACE -> (ACL-navn (er) er i rullegardinmenyen, velg den du nettopp har laget) -> Rediger -> Legg til -> Fyll ut regler for oppføring -> Ok
Hver ACE vil målrette mot en administrasjonsprotokoll vi ønsker å blokkere, samt den unike destinasjonen vi ønsker å blokkere. Vi må lage en egen gruppe ACEer for den andre mulige administrasjons-IP-en, siden alternativet er å blokkere protokollene uten hensyn til destinasjonen - noe som vil blokkere noen av disse protokollene som forsøker å transittere bryteren, noe som er langt utenfor det vi prøver å gjøre - eller blokkere uten hensyn til protokoll og bare basert på destinasjon som ville nekte enhver rutet trafikk!
Fiken. 3 - Legge til ACE til blokk 172.31.200.0/24 klienter fra Telnetting til 172.31.200.3. Alternativene i rødt kreves for våre formål; logging - sirklet i oransje - er valgfritt.
MERK: Formatet for å spesifisere masken i en ACL/ACE er det motsatte av metoden som brukes for nettverksmaskering. Hvis du vil angi delnettet 172.31.200.0/24 (255.255.255.0), er jokertegnmasken 0.0.0.255. På samme måte, for å spesifisere en enkelt vert (/32 eller 255.255.255.255 i nettverksmaskenotasjon) bruker du jokertegnmasken 0.0.0.0.
Gjenta for hver protokoll (1 for telnet (23), 1 for http (80), 1 for https (443), 1 for ssh (22) [hvis konfigurert - ssh-tilgang til X-serien er deaktivert som standard] og destinasjon, og til slutt en "tillat alle" -setning på slutten for å tillate alt som ikke eksplisitt er blokkert - se fig. 4) -> OK
fig. 4 - Opprette "tillat alle" setning. Hvis du ikke legger til dette, vil det resultere i en implisitt avvisning på slutten av tilgangskontrollisten, noe som betyr at hvis svitsjen når slutten av tilgangskontrollisten (regler brukes i prioritert rekkefølge) og ingen av reglene samsvarer, vil trafikken nektes. Vi legger til en tillatelse alt for å unngå å nekte all spesifikt målrettet trafikk og all trafikken vi ikke refererer til i det hele tatt.
Når du er ferdig, skal ACE-oppføringene for ACL-en din ligne på fig. 5 nedenfor. Figuren har utelatt variablene vi ikke konfigurerte for bedre visning.
Fiken. 5 - Redigert for klarhet. Dette viser alle ACE - regler - som utgjør en bestemt ACL. Se her blokkerer vi 4 forskjellige protokoller - 22, 23, 80 og 443 - til to forskjellige destinasjoner - 172.31.200.3/32 og 172.30.200.3/32.
Bruke tilgangskontrollisten på et grensesnitt
ACL Binding -> Rediger -> Klikk på Rediger ikon etter port -> La "Ingress" være valgt -> Merk av for "Velg IPv4-basert ACL (velg ACL fra rullegardinlisten hvis den ikke allerede er fylt ut) -> OK
Fig. 6 – Bruke tilgangskontrollisten på grensesnittet. Vi velger ingress slik at all trafikk som kommer inn på Gi1/0/1 sjekkes mot ACL før den tillates videre i svitsjen.
For ACL-er som kontrollerer tilgang til bryteren, må vi sjekke om inngang. Utgående tilgangskontrollister har sin plass, men husk at trafikk som nektes av en utgående tilgangskontrolliste, allerede har passert den interne strukturen på svitsjen. Hvis trafikken skal droppes, er det best å gjøre det før det har kastet bort ressurser på å bli tillatt i og over bryterstrukturen. Nekt så nær kilden som mulig!
MERK: I X-serien kan tilgangskontrollister bare bindes til fysiske eller logiske grensesnitt som aggregerer fysiske grensesnitt. Dette betyr at ACLer kan være bundet til fysiske porter og LAGs (portkanaler), men ACLer kan ikke være bundet til VLAN.
Affected Products
Dell Networking X1000 Series, Dell Networking X4000 SeriesArticle Properties
Article Number: 000140912
Article Type: Solution
Last Modified: 05 Jun 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.