文書番号: 000120449
So konfigurieren Sie die IP-ACL in Switches der N-Serie von DELL Networking
概要: So konfigurieren Sie die IP-Zugriffsliste in der Dell N-Serie
文書の内容
手順
In diesem Artikel wird erläutert, wie IPv4-Zugriffssteuerungslisten (Access Control Lists, ACL) auf Switches der Dell Networking N-Serie implementiert werden
Inhaltsverzeichnis
Übersicht
- Eine ACL ist ein Satz von Regeln, die angewendet werden, um einen bestimmten Datenverkehr aus Sicherheitsgründen zu erlauben oder zu blockieren. Es gibt die folgenden Typen von ACL: IPv4 ACL, IPv6 ACL und Mac ACL.
- Dieser Artikel beschreibt beispielhaft die IPv4-ACL. ACL-Regeln werden zu Zugriffsgruppen zusammengefasst und auf die Schnittstellen angewendet. ACL-Regeln können auf eingehenden oder ausgehenden Datenverkehr angewendet werden.
- Die Sequenznummer kann jeder Regel in der ACL zum Zeitpunkt der Konfiguration zugewiesen werden und wird von der niedrigsten bis zur höchsten Sequenznummer ausgeführt.
- Wenn auf einer Schnittstelle mehrere Zugriffsgruppen konfiguriert sind, weisen Sie die Sequenznummer so zu, dass die Zugriffsgruppen in der Reihenfolge vom niedrigsten zum höchsten ausgeführt werden.
Durch das Erstellen von ACLs mit falschen Regeln wird der Managementverkehr blockiert. Der Benutzer verliert den Zugang zum Switch. Verwenden Sie immer eine alternative Zugriffsmethode für den Switch mit direktem physischen Zugriff über den seriellen Konsolenanschluss.
Die ACL kann auf Datenports (physische Schnittstelle, Port-Channel- und VLAN-Schnittstelle) und nicht auf Out-of-Band-Ports (OOB-Ports) angewendet werden.
Die maximale Anzahl von ACLs, die für alle Switches der DELL N-Serie konfiguriert werden können, beträgt 100, und die maximale Anzahl von Regeln, die pro ACL konfiguriert werden können, beträgt 1023.
Konfigurieren von Zugriffssteuerungslisten
Die ACL-Konfiguration besteht aus den folgenden Schritten:
1. Erstellen von Zugriffsgruppen durch Festlegen von ACL-Regeln in der Reihenfolge, in der sie mithilfe der Sequenznummer ausgeführt werden sollen. Regeln werden von der niedrigsten bis zur höchsten Sequenznummer ausgeführt.
2. Weisen Sie die Zugriffsgruppe der Schnittstelle zu, die eingehenden oder ausgehenden Datenverkehr filtern soll.
Beispiel:
Ein Beispiel soll die Funktion von ACLs besser veranschaulichen. Angenommen, der eingehende Datenverkehr am Port gi1/0/10 unterliegt einer ACL, die den UDP-Datenverkehr vom Netzwerk 10.10.10.0 255.255.255.0 zum Subnetz 10.10.20.0 255.255.255.0 und die ICMP-Pakete vom Subnetz 192.168.1.0 255.255.255.0 zu einem beliebigen Netzwerk blockiert, den für das Telnet-Protokoll spezifischen TCP-Verkehr von dem bestimmten Host-Subnetz 172.16.1.10, der für ein beliebiges Netzwerk bestimmt ist, verweigert und die Regel-Treffer über die Konsole protokolliert.
1. Erstellen einer Zugriffsgruppe
| Befehl |
Zweck |
| Dell# configure |
Rufen Sie den globalen Konfigurationsmodus auf. |
| Dell(config)# ip access-list ACL-TEST |
Erstellen Sie eine Zugriffsgruppe, indem Sie Ihr einen Namen geben. Hier wird die Zugriffsgruppe ACL-TEST erstellt. ACL-Namen können Buchstaben, Zahlen, Punkte, Bindestriche oder Unterstriche enthalten, dürfen jedoch nur mit Buchstaben beginnen und dürfen nicht länger als 31 Zeichen sein. |
| Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log |
Geben Sie die erste Regel ein und vergewissern Sie sich, dass sie die niedrigste Sequenznummer hat. Hier wird die Sequenznummer 10 angegeben. Diese Regel verweigert UDP-Verkehr vom Quell-Subnetz 10.10.10.0 (gemäß der Syntax wird die Platzhaltermaske 0.0.0.25 eingegeben), der für 10.10.10.20 bestimmt ist. Wenn die Regel erfüllt ist, wird die Aktion in der Konsole protokolliert. |
| Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log |
Die zweite Regel wird mit der Sequenznummer 20 eingegeben. Sie verweigert den ICMP-Verkehr aus dem Subnetz 192.168.1.0, der für ein beliebiges Netzwerk bestimmt ist, und protokolliert, wenn die Regel erfüllt wurde. |
| Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log |
Geben Sie die dritte Regel mit der Sequenznummer 30 ein, die angibt, dass jeglicher TCP-Verkehr im Zusammenhang mit dem Telnet-Protokoll, der für ein Netzwerk aus 172.16.1.0 bestimmt ist, verweigert und protokolliert werden soll, wenn die Regel erfüllt wurde. |
Wenn keine Sequenznummer eingegeben wird, weist Dell Networking OS (DNOS) automatisch eine Sequenznummer zu, basierend auf der Reihenfolge der eingegebenen Regel. Der ersten eingegebenen Regel wird die niedrigste Sequenznummer zugewiesen.
2. Anwenden der Zugriffsgruppe auf die Schnittstelle
| Befehl |
Zweck |
| Dell# configure |
Rufen Sie den globalen Konfigurationsmodus auf. |
| Dell(config)# interface gigabitethernet 1/0/10 |
Wechseln Sie zum benutzeroberflächenspezifischen Konfigurationsmodus. |
| Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10 |
Wenden Sie die Zugriffsgruppe auf die Schnittstelle an, sodass der gesamte eingehende Datenverkehr (Ingress) den Regeln in der Zugriffsgruppe unterworfen ist. Wenn mehr als eine Zugriffsgruppe vorhanden ist, weisen Sie eine Sequenznummer zu, sodass die Zugriffsgruppen in der Reihenfolge der niedrigsten bis zur höchsten Sequenznummer angewendet werden können. Wenn keine Sequenznummer angegeben wird, werden den Zugriffsgruppen automatisch Sequenznummern zugewiesen, die erste Zugriffsgruppe hat den niedrigsten Wert. |
Überprüfen der Konfiguration der Zugriffssteuerungsliste
Unten aufgeführte ACL-Überprüfungsbefehle:
Dell#show ip access-lists
Aktuelle Anzahl von ACLs: 1 Maximale Anzahl von ACLs: 100
ACL Name Rules Interface(s) Direction Count
---------------------------------- -------- ------------------------- ----------------- ------
ACL-TEST 3 Gi1/0/10 Inbound 12
Dell#show ip access-lists ACL-TEST
IP ACL Name: ACL-TEST
Inbound Interface(s):
Gi1/0/10
Rule Number: 10
Action......................................... deny
Match All...................................... FALSCH
Protocol....................................... 17(udp)
Source IP Address.............................. 10.10.10.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... 10.10.20.0
Destination IP Mask............................ 0.0.0.255
Log............................................ WAHR
ACL Hit Count.................................. 0
Rule Number: 20
Action......................................... deny
Match All...................................... FALSCH
Protocol....................................... 1(icmp)
Source IP Address.............................. 192.168.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Log............................................ WAHR
ACL Hit Count.................................. 0
Rule Number: 30
Action......................................... deny
Match All...................................... FALSCH
Protocol....................................... 6(tcp)
Source IP Address.............................. 172.16.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Destination Layer 4 Operator................... Equal To
Destination L4 Port Keyword.................... 23(telnet)
Log............................................ WAHR
ACL Hit Count.................................. 0
Dell#show running-config | begin access
ip access-list ACL-TEST
10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log20 deny icmp 192.168.1.0 0.0.0.255 any log
30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log
Um MAC ACL zu implementieren, folgen Sie bitte dem Link: https://kb.dell.com/infocenter/index?page=content&id=HOW12466
文書のプロパティ
影響を受ける製品
PowerSwitch N1500 Series, PowerSwitch N2000 Series, PowerSwitch N2100 Series, PowerSwitch N3000 Series, Dell EMC PowerSwitch N3100 Series, PowerSwitch N4000 Series
最後に公開された日付
10 4月 2021
バージョン
6
文書の種類
How To