Dell EMC Networking: створення та застосування системи керування ACL на X-серії
Summary: Dell EMC Networking: створення та застосування системи керування ACL на X-серії
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Створення та застосування керуючого ACL на X-серії: Блокування доступу хоста до керування перемикачами
Приклад сценарію та вимоги
Впроваджуючи перемикач серії X і бажаючи запобігти доступу користувачів з певної підмережі до функцій управління перемикачем. Щоб досягти цього, ми створимо список контролю доступу (ACL), заповнимо його відповідними записами контролю доступу (ACEs) і застосуємо ACL до інтерфейсу.
У цьому сценарії мета полягає в тому, щоб заблокувати доступ усіх клієнтів у підмережі 172.31.200.0/24 до IP-адреси комутатора. Комутатор має кілька IP-адрес, як на локальній підмережі клієнта (172.31.200.3), так і на окремій бездротовій підмережі.
Якщо маршрутизація включена на X-серії, створений ACL повинен блокувати доступ як до IP комутатора в локальній підмережі, так і до будь-якого трафіку, що надходить з підмережі Client, призначеного для інших IP-адрес підмережі на комутаторі (наприклад, з 172.31.200.0/24 до 172.30.200.3).
Середовище
Клієнтська мережа: 172.31.200.0/24
Підключення до клієнтської мережі: IP-адреси комутатора VLAN 50 з портом GI 1/0/1
:
VLAN 10 – бездротовий – 172.30.200.3/24
VLAN 50 – клієнти 172.31.200.3/24
Кроки до створення
Адміністрування мережі -> Безпека -> ACL
Рис. 1 – Доступ до сторінки конфігурації ACL/ACE у WebGUI
ПРИМІТКА: Серія X не підтримує конфігурацію ACL/ACE через CLI. Конфігурація, виконана за допомогою WebGUI, все одно буде відображатися у виводах CLI, що показують конфігурацію, див. Рисунок 1a.
Рисунок 1а – Остаточний ACL, створений за допомогою цієї статті. Зверніть увагу, як комутатор замінює деякі номери портів для їх добре відомого використання (23 стає 'telnet', а 80 стає 'www')
Створення ACL
ACL на основі IPV4 -> Редагування -> Додавання -> Створення імені (без пробілів) -> OK -> Закрити спливаюче вікно
Додавання записів (ACE) до ACL
IPv4 Based ACE -> (Імена ACL вказані у випадаючому списку, виберіть те, яке ви щойно створили) -> Редагувати -> Додати -> Заповнити правила для входу -> Ok
Кожен ACE буде націлений на один протокол управління, який ми хочемо заблокувати, а також на унікальне призначення, яке ми хочемо заблокувати. Нам потрібно створити окрему групу ACE для другої можливої IP-адреси управління, оскільки альтернативою є блокування протоколів без урахування їх призначення – що заблокує будь-який з цих протоколів, намагаючись передати комутатор, що набагато виходить за рамки того, що ми намагаємося зробити – або блокування без урахування протоколу і лише на основі пункту призначення, що заборонить будь-який маршрутизований трафік!
Рис. 3 – Додавання ACE для блокування 172.31.200.0/24 клієнтів з Telnetting до 172.31.200.3. Опції червоного кольору необхідні для наших цілей; Вирубка - обведена помаранчевим кольором - необов'язкова.
ПРИМІТКА: Формат вказівки маски в ACL/ACE є зворотним до методу, який використовується для маскування підмережі. Щоб вказати підмережу 172.31.200.0/24 (255.255.255.0), маска підстановки має вигляд 0.0.0.255. Аналогічно, щоб вказати один хост (/32 або 255.255.255.255 у нотації маски підмережі) ви повинні використовувати маску підстановки 0.0.0.0.
Повторіть для кожного протоколу (1 для telnet(23), 1 для http(80), 1 для https(443), 1 для ssh(22) [якщо налаштовано – доступ ssh до X-серії вимкнено за замовчуванням] і призначення, і, нарешті, оператор 'permit all' в кінці, щоб дозволити все, що не явно заблоковано - див. Рис. 4) -> Ok
Fig. 4 – Створення оператора «дозволити все». Якщо цього не додати, це призведе до неявного заперечення в кінці вашого ACL, що означає, що якщо перемикач досягне кінця ACL (правила застосовуються в порядку пріоритету) і жодне з правил не співпадає, воно заборонить трафік. Ми додаємо дозвіл, щоб не відмовляти в усьому конкретно цільовому трафіку та трафіку, на який ми взагалі не посилаємося.
Коли ви закінчите, записи ACE для вашого ACL повинні виглядати так само, як показано на рисунку 5 нижче. На малюнку пропущені змінні, які ми не налаштували для кращого перегляду.
Рис. 5 – Відредаговано для ясності. Тут відображаються всі ACE – правила – які складають конкретний ACL. Дивіться, ми блокуємо 4 різні протоколи – 22, 23, 80 та 443 – на два різні напрямки – 172.31.200.3/32 та 172.30.200.3/32.
Застосування ACL до інтерфейсу
Прив'язка ACL -> Редагувати - Натисніть> Редагувати значок за портом -> Залиште "Ingress" вибраним -> Виберіть ACL на основі IPv4 (виберіть ACL з випадаючого списку, якщо він ще не заповнений) -> OK
Рис. 6 – Застосування ACL до інтерфейсу. Ми вибираємо вхід таким чином, щоб весь трафік, що надходить на Gi1/0/1, звірявся з ACL, перш ніж його дозволили далі в комутаторі.
Для ACL, які контролюють доступ до вимикача, ми повинні перевірити вхід. ACL на виході мають своє місце, але пам'ятайте, що трафік, якому перешкоджає вихідний ACL, вже пройшов через внутрішню тканину перемикача. Якщо трафік збирається впасти, краще зробити це до того, як він витратив ресурси, які будуть допущені всередину та через тканину перемикача. Заперечуйте якомога ближче до джерела!
ПРИМІТКА: На ACL серії X можуть бути прив'язані лише до фізичних або логічних інтерфейсів, які агрегують фізичні інтерфейси. Це означає, що списки керування доступом (ACL) можуть бути прив'язані до фізичних портів і LAG (порт-каналів), але ACL не можуть бути прив'язані до VLAN.
Affected Products
Dell Networking X1000 Series, Dell Networking X4000 SeriesArticle Properties
Article Number: 000140912
Article Type: Solution
Last Modified: 05 Jun 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.