Dell EMC Networking X Serisinde Yönetim ACL'si Oluşturma ve Uygulama
Summary: Dell EMC Networking X Serisinde Yönetim ACL'si Oluşturma ve Uygulama
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
X Serisinde Yönetim ACL'si Oluşturma ve Uygulama: Anahtar yönetimine ana bilgisayar erişimini engelleme
Örnek Senaryo ve Gereksinimler
X serisi anahtar uygulamak ve belirli bir alt ağdaki kullanıcıların anahtar yönetimi işlevlerine erişmesini önlemek istemek. Bunu gerçekleştirmek için bir Erişim Denetimi Listesi (ACL) oluşturacağız, bunu ilgili Erişim Denetimi Girişleri (ACE'ler) ile dolduracağız ve ACL'yi bir arayüze uygulayacağız.
Bu senaryoda amaç, 172.31.200.0/24 alt ağındaki tüm istemcilerin anahtarın IP adresine erişmesini engellemektir. Anahtarın hem istemcinin yerel alt ağında (172.31.200.3) hem de ayrı bir kablosuz alt ağında birden fazla IP adresi vardır.
X serisinde yönlendirme etkinleştirildiyse, oluşturulan ACL'nin hem yerel alt ağdaki anahtarın IP'sine hem de anahtardaki diğer alt ağ IP'lerine (ör. 172.31.200.0/24 - 172.30.200.3) yönelik İstemci alt ağından kaynaklı tüm trafiği engellemesi gerekir.
Ortam
İstemci Ağı: 172.31.200.0/24
Client Network Connection: Untagged VLAN 50, Port Gi 1/0/1
Switch IP Addresses:
VLAN 10 – Kablosuz – 172.30.200.3/24
VLAN 50 – İstemciler 172.31.200.3/24
Oluşturma Adımları
Ağ Yönetimi -> Güvenlik -> ACL
Şek. 1 – WebGUI'da ACL/ACE Yapılandırma Sayfasına Erişim
NOT: X Serisi, CLI aracılığıyla ACL'lerin/ACE'lerin yapılandırmasını desteklemez. WebGUI aracılığıyla yapılan yapılandırma, yapılandırmayı gösteren CLI çıkışlarında gösterilmeye devam eder, bkz. Şekil 1a.
Şekil 1a – Bu makale kullanılarak oluşturulan son ACL. Anahtarın iyi bilinen kullanımları için bazı bağlantı noktası numaralarını nasıl değiştirdiğine dikkat edin (23 'telnet' ve 80 'www' olur)
ACL oluşturma
IPV4 Tabanlı ACL -> Düzenle -> Ekle -> Ad Oluştur (boşluksuz) -> Tamam -> Açılır Pencereyi Kapat
ACL'ye Girdiler (ACE'ler) Ekleme
IPv4 Tabanlı ACE -> (ACL ad(lar)ı Açılır Menüdedir, az önce yaptığınızı seçin) -> Düzenle -> Ekle -> Giriş kurallarını doldurun -> Tamam
Her ACE, engellemek istediğimiz bir yönetim protokolünün yanı sıra engellemek istediğimiz benzersiz hedefi de hedefleyecektir. İkinci olası yönetim IP'si için ayrı bir ACE grubu oluşturmamız gerekiyor, çünkü alternatif, protokolleri hedeflerine bakılmaksızın engellemektir - bu, yapmaya çalıştığımızın çok ötesinde olan anahtarı aktarmaya çalışan bu protokollerden herhangi birini engelleyecektir - veya protokole bakılmaksızın ve yalnızca yönlendirilmiş trafiği reddedecek hedefe dayalı olarak engelleyin!
Incir. 3 – Telnetleme'den 172.31.200.3'e 172.31.200.0/24 istemcilerini engellemek için ACE'yi ekleme. Kırmızı Renkli Seçenekler amaçlarımız için gereklidir; günlüğe kaydetme - Turuncu daire içine alınmış - isteğe bağlıdır.
NOT: ACL/ACE'de maske belirtme biçimi, alt ağ maskelemesi için kullanılan yöntemin tersidir. 172.31.200.0/24 (255.255.255.0) alt ağını belirtmek için joker karakter maskesi 0.0.0.255'tir. Benzer şekilde, tek bir ana bilgisayar belirtmek için (alt ağ maskesi gösteriminde /32 veya 255.255.255.255) 0.0.0.0 joker karakter maskesini kullanırsınız.
Her protokol için tekrarlayın (telnet(23) için 1, http(80) için 1, https(443) için 1, ssh(22) için 1 [yapılandırılmışsa – X serisine ssh erişimi varsayılan olarak devre dışıdır] ve hedef ve son olarak açıkça engellenmeyen her şeye izin vermek için sonunda bir 'tümüne izin ver' ifadesi – bkz. Şekil 4) -> Tamam
Şek. 4 – 'Tümüne izin ver' ifadesinin oluşturulması. Bunu eklemezseniz, ACL'nizin sonunda örtülü bir reddetme ile sonuçlanır, yani anahtar ACL'nin sonuna ulaşırsa (kurallar öncelik sırasına göre uygulanır) ve kuralların hiçbiri eşleşmezse trafik reddedilir. Özel olarak hedeflenen tüm trafiği ve hiç referans vermediğimiz tüm trafiği reddetmekten kaçınmak için bir izin ekleriz.
İşlemi tamamladığınızda, ACL'niz için ACE girişleri aşağıdaki Şekil 5'e benzer şekilde görünmelidir. Şekil, daha iyi görüntüleme için yapılandırmadığımız değişkenleri atladı.
Incir. 5 – Netlik için düzenlendi. Bu, belirli bir ACL'yi oluşturan tüm ACE'leri (kuralları) gösterir. Bakın burada 4 farklı protokolü (22, 23, 80 ve 443) iki farklı hedefe engelliyoruz – 172.31.200.3/32 ve 172.30.200.3/32.
ACL'yi bir arabirime uygulama
ACL Bağlama -> Düzenle -> Bağlantı Noktasına Göre Düzenle simgesine tıklayın -> 'Giriş'i seçili bırakın -> 'IPv4 Tabanlı ACL'yi Seç'i işaretleyin (önceden doldurulmamışsa açılır menüden ACL'yi seçin) -> Tamam
Şek. 6 – ACL'yi arayüze uygulama. Gi1/0/1 de gelen tüm trafiğin anahtarda daha fazla kullanılmasına izin verilmeden önce ACL'ye göre kontrol edilmesi için girişi seçiyoruz.
Anahtara erişimi denetleyen ACL'ler için girişi kontrol etmemiz gerekir. Çıkış ACL'lerinin yeri vardır ancak çıkış ACL'si tarafından reddedilen trafiğin anahtarın iç yapısından zaten geçtiğini unutmayın. Trafik kesilecekse bunu, anahtar yapısının içine ve karşısına geçmesine izin verilen kaynakları boşa harcamadan önce yapmak en iyisidir. Kaynağa mümkün olduğunca yakın inkar edin!
NOT: X Serisinde, ACL'ler yalnızca fiziksel arayüzleri toplayan fiziksel veya mantıksal arayüzlere bağlanabilir. Bu, ACL'lerin fiziksel bağlantı noktalarına ve LAG'lere (bağlantı noktası kanalları) bağlanabileceği ancak ACL'lerin VLAN'lara bağlanamayacağı anlamına gelir.
Affected Products
Dell Networking X1000 Series, Dell Networking X4000 SeriesArticle Properties
Article Number: 000140912
Article Type: Solution
Last Modified: 05 Jun 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.