DELL Networking Nシリーズ スイッチのIP ACLの設定方法

概要: Dell nシリーズでipアクセス リストを設定する方法

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

手順


この文書では、Dell Networking Nシリーズ スイッチにIPv4アクセス制御リスト(ACL)を実装する方法について説明します
 

 

目次

  1. 概要

  2. アクセス制御リストの設定

  3. アクセス制御リストの設定の確認


 

概要

 

  • ACLは、セキュリティ上の理由から特定のトラフィックを許可またはブロックするために適用される一連のルールです。ACLには、IPv4 ACL、IPv6 ACL、MAC ACLの3つのタイプがあります。
  • この文書では、IPv4 ACLの例を示します。ACLルールは、グループ化されてアクセス グループを形成し、インターフェイスに適用されます。ACLルールは、受信または送信のトラフィックに適用できます。
  • 設定時には、ACL内のすべてのルールにシーケンス番号を割り当てることができ、最小の番号から最大の番号まで順番に実行されます。
  • 1つのインターフェイスに複数のアクセス グループを設定している場合は、シーケンス番号を割り当てて、最小の番号のアクセス グループから最大の番号のグループまで順番に実行されるようにします。 


 

HOW12391_ja__1icon 誤ったルールを使用してACLを作成した場合、管理トラフィックの妨げになる可能性があります。  ユーザーはスイッチへのアクセス権を失うことになります。シリアル コンソール ポートを使用して直接物理アクセスを行うスイッチには、必ず代替アクセス方法を設定します。

 

HOW12391_ja__2icon ACLはデータ用ポート(物理インターフェイス、ポートチャネル、VLANインターフェイス)に適用でき、帯域外(OOB)ポートには適用できません。


任意のDELL Nシリーズ スイッチ上で設定可能なACLの最大数は100であり、ACLごとに設定できるルール(可能な場合)の最大数は1023です

 

アクセス制御リストの設定


ACLを設定するには、次の手順を実行します。


1.  シーケンス番号に従って、実行される順にACLルールを指定するアクセス グループを作成します。ルールは、最小の番号から最大の番号まで順番に実行されます
2.  受信または送信のトラフィックのフィルタリングが想定されるインターフェイスにアクセス グループを割り当てます

 

例:

ACLの機能をわかりやすく示していると思われる例を挙げます。ポートgi1/0/10の受信トラフィックが、10.10.20.0 255.255.255.0サブネットに送信されるネットワーク10.10.10.0 255.255.255.0からのudpトラフィックをブロックし、ネットワークに送信されるサブネット192.168.1.0 255.255.255.0からのicmpパケットをブロックするACLに依存しているとします。このACLは、任意のネットワークを宛先とする特定のホストの172.16.1.10サブネットからのtelnetプロトコルに固有のtcpトラフィックを拒否し、コンソール経由でルールのヒットをログに記録します。


1.  アクセス グループの作成

 

コマンド

目的

Dell# configure

グローバル設定モードに入ります

Dell(config)# ip access-list ACL-TEST

名前を付けることによってアクセス グループを作成します。ここで、アクセス グループACL-TESTが作成されました。

ACL名には、文字、数字、ドット、ダッシュ、アンダースコアを使用できますが、文字のみで始める必要があり、31文字以内にする必要があります

Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log

最初のルールを入力して、最小のシーケンス番号であることを確認します。ここでは、シーケンス番号10が割り当てられています。このルールは、10.10.10.20を宛先とするソース10.10.10.0サブネットからのudpトラフィックを拒否します(構文に従って、ワイルドカード マスク0.0.0.25が入力されます)。ルールが一致する場合、アクションがコンソールのログに記録されます

Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log

2番目のルールには、シーケンス番号20が設定されており、192.168.1.0サブネットから任意のネットワーク宛てのicmpトラフィックを拒否し、ルール ヒットが発生した場合にはログに記録します

Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log

シーケンス番号30が割り当てられた3番目のルールを入力します。このルールは、172.16.1.0ネットワークから任意のネットワーク ソース宛てのtelnetプロトコルに関連するすべてのtcpトラフィックを拒否するように指定します

   
 

HOW12391_ja__2icon シーケンス番号を入力しない場合、Dell Networking OS(DNOS)は、入力されたルールの順序に基づいて、自動的にシーケンス番号を割り当てます。最初に入力されたルールには、最小シーケンス番号が割り当てられます


2.  インターフェイスにアクセスグループを適用します
 

コマンド

目的

Dell# configure

グローバル設定モードに入ります

Dell(config)# interface gigabitethernet 1/0/10

インターフェイス固有の設定モードを入力します

Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10

アクセスグループをインターフェイスに適用して、すべての受信/送信トラフィックがアクセスグループ内のルールに依存するようにします。複数のアクセスグループがある場合は、シーケンス番号を割り当てて、アクセスグループを最小のシーケンス番号から最大の番号まで順番に適用できるようにします。シーケンス番号を指定しない場合、アクセスグループには自動的にシーケンス番号が割り当てられます。つまり、最初に指定されたアクセスグループには最小の番号が割り当てられます


 

アクセス制御リストの設定の確認


ACL検証コマンドを以下に示します。

Dell#show ip access-lists

 

Current number of ACLs: 1  Maximum number of ACLs: 100

 

ACL Name                        Rules Interface(s)              Direction Count

---------------------------------- -------- ------------------------- ----------------- ------                                                                                                                                                     

ACL-TEST                           3       Gi1/0/10                  Inbound   12
 

Dell#show ip access-lists ACL-TEST

 

IP ACL Name: ACL-TEST


Inbound Interface(s):
Gi1/0/10


Rule Number: 10
Action......................................... deny
Match All...................................... 偽
Protocol....................................... 17(udp)
Source IP Address.............................. 10.10.10.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... 10.10.20.0
Destination IP Mask............................ 0.0.0.255
Log............................................ 真の
ACL Hit Count.................................. 0

Rule Number: 20
Action......................................... deny
Match All......................................偽
Protocol....................................... 1(icmp)
Source IP Address..............................192.168.1.0
Source IP Mask.................................0.0.0.255
Destination IP Address......................... any
Log............................................真の
ACL Hit Count..................................0

Rule Number: 30
Action......................................... deny
Match All......................................偽
Protocol....................................... 6(tcp)
Source IP Address..............................172.16.1.0
Source IP Mask.................................0.0.0.255
Destination IP Address......................... any
Destination Layer 4 Operator................... Equal To
Destination L4 Port Keyword.................... 23(telnet)
Log............................................真の
ACL Hit Count..................................0

 

 

Dell#show running-config | begin access

 

ip access-list ACL-TEST

10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
20 deny icmp 192.168.1.0 0.0.0.255 any log
30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log



MAC ACLを実装するには、次のリンクを参照してください。https://kb.dell.com/infocenter/index?page=content&id=HOW12466

対象製品

PowerSwitch N1500 Series, PowerSwitch N2000 Series, PowerSwitch N2100 Series, PowerSwitch N3000 Series, PowerSwitch N3100 Series, PowerSwitch N4000 Series
文書のプロパティ
文書番号: 000120449
文書の種類: How To
最終更新: 03 3月 2025
バージョン:  7
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。