Dell EMC Networking Skapa och tillämpa hanterings-ACL på X-serien

Summary: Dell EMC Networking Skapa och tillämpa hanterings-ACL på X-serien

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms




Skapa och tillämpa en hanterings-ACL på X-serien: Blockera värdåtkomst till switchhantering


Exempelscenario och krav

Implementera en switch i X-serien och vill förhindra att användare från ett specifikt undernät får åtkomst till switchhanteringsfunktionerna. För att göra detta skapar vi en åtkomstkontrollista (ACL), fyller i den med relevanta åtkomstkontrollposter (ACE:er) och tillämpar ACL:en på ett gränssnitt.
I det här scenariot är syftet att blockera alla klienter i undernätet 172.31.200.0/24 från att komma åt IP-adressen för växeln. Switchen har flera IP-adresser, både på klientens lokala subnät (172.31.200.3) och på ett separat trådlöst subnet.
Om routning är aktiverat i X-serien måste den ACL som skapas blockera åtkomst både till IP-adressen för switchen i det lokala undernätet, samt all trafik som kommer från klientundernätet till andra IP-adresser för undernätet på switchen (t.ex. från 172.31.200.0/24 till 172.30.200.3).


Miljö
 

Klientnätverk: 172.31.200.0/24
Klientnätverksanslutning: Omärkt VLAN 50, port Gi 1/0/1-switch-IP-adresser
:
            VLAN 10 – trådlöst – 172.30.200.3/24
VLAN 50 – klienter 172.31.200.3/24


 

Steg för att skapa


Nätverksadministration -> Säkerhet -> ACLSLN301636_en_US__1ACL 1


Fig. 1 – Åtkomst till ACL/ACE-konfigurationssidan i WebGUI

 

SLN301636_en_US__2icon Obs! X-serien stöder inte konfiguration av ACL/ACE via CLI. Konfiguration som görs via WebGUI kommer fortfarande att visas i CLI-utgångar som visar konfiguration, se fig. 1a.

 


SLN301636_en_US__3ACL 2
1a – den slutliga ACL som skapats med hjälp av den här artikeln. Lägg märke till hur switchen ersätter vissa portnummer för deras välkända användning (23 blir "telnet" och 80 blir "www")

 

Skapa ACL


IPV4-baserad ACL -> Redigera -> Lägg till -> Skapa ett namn (inga mellanslag) -> OK -> Stäng popup
SLN301636_en_US__4ACL 3

Fig. 2 – Namnge ACL. Undvik att använda blanksteg eller icke-standardtecken i ACL-namn.

 


Lägga till poster (ACE) i en ACL


IPv4-baserad ACE -> (ACL-namn finns i rullgardinsmenyn, välj det du just gjorde) -> Redigera -> Lägg till -> Fyll i regler för inmatning -> Ok

Varje ACE kommer att rikta in sig på ett hanteringsprotokoll som vi vill blockera samt det unika mål vi vill blockera. Vi måste skapa en separat grupp av ACE:er för den andra möjliga hanterings-IP:n eftersom alternativet är att blockera protokollen utan hänsyn till deras destination – vilket skulle blockera något av dessa protokoll som försöker transitera switchen, vilket är långt bortom vad vi försöker göra – eller blockera utan hänsyn till protokoll och endast baserat på destination, vilket skulle neka all dirigerad trafik!


SLN301636_en_US__5ACL 4
Fikon. 3 – Lägga till ACE för att blockera 172.31.200.0/24-klienter från Telnetting till 172.31.200.3. Alternativen i rött krävs för våra ändamål; loggning – inringad i orange – är valfritt.

 

 

SLN301636_en_US__2icon Obs! Formatet för att ange masken i en ACL/ACE är omvänt mot den metod som används för subnätmaskering. Om du vill ange undernätet för 172.31.200.0/24 (255.255.255.0) är jokerteckenmasken 0.0.0.255. Om du vill ange en enda värd (/32 eller 255.255.255.255 i nätmasknotation) använder du jokerteckenmasken 0.0.0.0.

 



Upprepa för varje protokoll (1 för telnet(23), 1 för http(80), 1 för https(443), 1 för ssh(22) [om det är konfigurerat – ssh-åtkomst till X-serien är inaktiverad som standard] och destination, och slutligen en "permit all"-sats i slutet för att tillåta allt som inte uttryckligen blockeras – se fig. 4) -> OkSLN301636_en_US__7ACL 5



Fig. 4 – Att skapa uttalandet "permit all". Om du inte lägger till detta resulterar det i en implicit nekande i slutet av ACL:en, vilket innebär att om växeln når slutet av ACL:en (regler tillämpas i prioritetsordning) och ingen av reglerna har matchat, kommer den att neka trafiken. Vi lägger till ett tillstånd allt för att undvika att neka all specifikt riktad trafik och all trafik som vi inte refererar till alls.

När du är klar bör ACE-posterna för din ACL se ut ungefär som i bild 5 nedan. Figuren har utelämnat de variabler som vi inte konfigurerade för bättre visning.


SLN301636_en_US__8ACL 6
Fikon. 5 – Redigerad för tydlighetens skull. Här visas alla ACE:er – regler – som utgör en viss ACL. Här blockerar vi 4 olika protokoll – 22, 23, 80 och 443 – till två olika destinationer – 172.31.200.3/32 och 172.30.200.3/32.
 


Tillämpa ACL på ett gränssnitt


ACL-bindning -> Redigera -> Klicka på Redigera ikon efter port -> Lämna "Ingress" markerat -> Markera "Välj IPv4-baserad ACL (välj ACL i listrutan om den inte redan är ifylld) -> OKSLN301636_en_US__9ACL 7


Fig. 6 – Applicera ACL på gränssnittet. Vi väljer ingress så att all trafik som kommer in på Gi1/0/1 kontrolleras mot ACL:en innan den tillåts vidare i switchen. 

   

 
SLN301636_en_US__2icon För ACL:er som styr åtkomsten till switchen måste vi kontrollera ingressen. ACL:er för utgående trafik har sin plats, men kom ihåg att trafik som nekas av en utgående ACL redan har passerat växelns interna struktur. Om trafiken ska tappas är det bäst att göra det innan det har slöseri med resurser som tillåts i och över switchstrukturen.  Förneka så nära källan som möjligt!

 

SLN301636_en_US__2icon Obs! I X-serien kan ACL:er endast bindas till fysiska eller logiska gränssnitt som aggregerar fysiska gränssnitt. Det innebär att ACL:er kan bindas till fysiska portar och LAG:er (portkanaler) men ACL:er kan inte bindas till VLAN.

 









Affected Products

Dell Networking X1000 Series, Dell Networking X4000 Series
Article Properties
Article Number: 000140912
Article Type: Solution
Last Modified: 05 Jun 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.