文書番号: 000120449
Jak nakonfigurovat seznam řízení přístupů IP u přepínačů Dell Networking řady N
概要: Jak v přepínačích Dell řady N nakonfigurovat seznam řízení přístupů IP.
文書の内容
手順
Tento článek vysvětluje, jak v přepínačích Dell Networking řady N implementovat seznamy řízení přístupů (ACL) protokolu IPv4.
Obsah
Přehled
- Seznam řízení přístupů je sada pravidel, která se z bezpečnostních důvodů používá k povolení nebo zablokování určitého provozu. Seznamů řízení přístupů je několik typů: Seznam ACL protokolu IPv4, seznam ACL protokolu IPv6 a seznam ACL adresy MAC.
- Tento článek je příklad seznamu řízení přístupů protokolu IPv4. Pravidla seznamu řízení přístupů se seskupují do skupiny přístupu a používají se na rozhraní. Pravidla seznamu řízení přístupů lze použít pro vstupní i výstupní provoz.
- Pořadové číslo může být přiřazeno ke každému pravidlu v seznamu řízení přístupů během konfigurace. Skupiny přístupů jsou pak prováděny od nejnižšího po nejvyšší pořadové číslo.
- Pokud máte v rozhraní nakonfigurováno více skupin přístupu, přiřaďte pořadová čísla tak, aby se skupiny přístupu prováděly v pořadí od nejnižšího po nejvyšší číslo.
Pokud vytvoříte seznam řízení přístupů s nesprávnými pravidly, dojde k zablokování provozu správy. Uživatel ztratí přístup k přepínači. Vždy mějte k dispozici alternativní metodu pro přístup k přepínači s přímým fyzickým přístupem pomocí sériového portu konzole.
Seznam řízení přístupů lze použít na datové porty (fyzické rozhraní, kanál portu a rozhraní VLAN) a nelze jej použít na port mimo pásmo (OOB).
Maximální počet seznamů řízení přístupů, který lze nakonfigurovat v kterýchkoliv přepínačích DELL řady N, je 100 a maximální počet pravidel, která lze nakonfigurovat na každý seznam řízení přístupů, je 1 023.
Konfigurace seznamů řízení přístupů
Konfigurace seznamu řízení přístupů zahrnuje následující kroky:
1. Vytvořte skupinu přístupu tak, že specifikujete pravidla seznamu řízení přístupů v pořadí, v němž mají být pomocí pořadového čísla prováděny. Pravidla se provádějí od nejnižšího po nejvyšší pořadové číslo.
2. Přiřaďte skupinu přístupu k rozhraní, které filtruje vstupní či výstupní provoz.
Například:
Abyste lépe porozuměli funkci seznamů řízení přístupů, uvádíme příklad. Představme si, že příchozí provoz na portu gi1/0/10 podléhající seznamu ACL, který blokuje provoz udp ze sítě 10.10.10.0 255.255.255.0 cílený na podsíť 10.10.20.0 255.255.255.0, zablokuje pakety ickmp z podsítě 192.168.1.0 255.255.255.0 určené pro jakoukoliv síť, odepře provoz tcp, který je specifický pro protokol Telnet z určité hostitelské podsítě 172.16.1.10 určené pro jakoukoliv síť, a zaprotokoluje do konzole shody s pravidlem.
1. Vytvořte skupinu přístupu.
| Příkaz |
Účel |
| Dell# configure |
Vstup do režimu globální konfigurace |
| Dell(config)# ip access-list ACL-TEST |
Vytvoří skupinu přístupu tím, že ji pojmenujete. Zde se vytvoří skupina přístupu ACL-TEST. Názvy seznamů řízení přístupů mohou obsahovat písmena, čísla, tečku, pomlčku nebo podtržítko, měly by však začínat pouze písmenem a obsahovat maximálně 31 znaků. |
| Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log |
Zadejte první pravidlo a ujistěte se, že má nejnižší pořadové číslo. Zde je uvedeno pořadové číslo 10. Toto pravidlo odpírá provoz udp ze zdrojové podsítě 10.10.10.0 (podle syntaxe je zadána maska zástupného znaku 0.0.0.25) určený do 10.10.10.20. Pokud pravidlo odpovídá, úkon je zaprotokolován do konzole. |
| Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log |
Druhé pravidlo se zadává s pořadovým číslem 20, blokuje provoz icmp z podsítě 192.168.1.0 určený do libovolné sítě, a pokud dojde ke shodě s pravidlem, úkon se zaprotokoluje. |
| Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log |
Zadejte třetí pravidlo s pořadovým číslem 30, které blokuje provoz tcp souvisejícího s protokolem Telnet určený do jakékoliv sítě, který pochází ze sítě 172.16.1.0, a v případě shody s pravidlem úkon zaprotokoluje. |
Pokud nezadáte žádné pořadové číslo, operační systém Dell Networking (DNOS) jej automaticky přiřadí na základě pořadí zadaného pravidla. K prvnímu zadanému pravidlu je přiřazeno nejnižší pořadové číslo.
2. Použijte skupiny přístupu na rozhraní.
| Příkaz |
Účel |
| Dell# configure |
Vstup do režimu globální konfigurace |
| Dell(config)# interface gigabitethernet 1/0/10 |
Vstup do režimu konfigurace specifického rozhraní. |
| Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10 |
Skupinu přístupu použijte v rozhraní tak, aby veškerý vstupní nebo příchozí provoz byl vystaven pravidlům ve skupině přístupu. Pokud máte k dispozici více než jednu skupinu přístupu, přiřaďte pořadové číslo tak, aby bylo možné skupiny přístupu použít v pořadí od nejnižšího po nejvyšší pořadové číslo. Pokud nezadáte žádné pořadové číslo, dojde k jejich automatickému přiřazení ke skupinám přístupu, přičemž první zadaná skupina přístupu dostane nejnižší číslo. |
Konfigurace ověřování seznamu řízení přístupů
Níže jsou uvedené příkazy ověření seznamu řízení přístupů:
Dell#show ip access-lists
Current number of ACLs: 1 Maximum number of ACLs: 100
ACL Name Rules Interface(s) Direction Count
---------------------------------- -------- ------------------------- ----------------- ------
ACL-TEST 3 Gi1/0/10 Inbound 12
Dell#show ip access-lists ACL-TEST
IP ACL Name: ACL-TEST
Inbound Interface(s):
Gi1/0/10
Rule Number: 10
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 17(udp)
Source IP Address.............................. 10.10.10.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... 10.10.20.0
Destination IP Mask............................ 0.0.0.255
Log............................................ TRUE
ACL Hit Count.................................. 0
Rule Number: 20
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 1(icmp)
Source IP Address.............................. 192.168.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Log............................................ TRUE
ACL Hit Count.................................. 0
Rule Number: 30
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 6(tcp)
Source IP Address.............................. 172.16.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Destination Layer 4 Operator................... Equal To
Destination L4 Port Keyword.................... 23(telnet)
Log............................................ TRUE
ACL Hit Count.................................. 0
Dell#show running-config | begin access
ip access-list ACL-TEST
10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log20 deny icmp 192.168.1.0 0.0.0.255 any log
30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log
Chcete-li implementovat seznam řízení přístupů adresy MAC, klikněte na odkaz https://kb.dell.com/infocenter/index?page=content&id=HOW12466.
文書のプロパティ
影響を受ける製品
PowerSwitch N1500 Series, PowerSwitch N2000 Series, PowerSwitch N2100 Series, PowerSwitch N3000 Series, Dell EMC PowerSwitch N3100 Series, PowerSwitch N4000 Series
最後に公開された日付
10 4月 2021
バージョン
6
文書の種類
How To