Настройка списка управления доступом (ACL) для IP на коммутаторах Dell Networking серии N

В этой статье объясняется, как внедрить списки управления доступом (ACL) для IPv4 на коммутаторах Dell Networking серии N.
 

Содержание

1. Обзор

2. Настройка списков управления доступом

3. Проверка конфигурации списка управления доступом

Обзор

• Список управления доступом (ACL) — это набор правил, применяемых для разрешения или блокировки определенного трафика в целях безопасности. Списки ACL бывают следующих типов: ACL для IPv4-адресов, ACL для IPv6-адресов и ACL для MAC-адресов.
• В этой статье представлен пример ACL для IPv4. Правила ACL группируются для формирования группы доступа и применяются к интерфейсам. Правила ACL можно применять к входящему и исходящему трафику.
• Порядковый номер может быть назначен каждому правилу в списке управления доступом во время настройки и выполняется от самого низкого до самого высокого порядкового номера.
• Если в интерфейсе настроено несколько групп доступа, назначьте последовательный номер так, чтобы группы доступа выполнялись по порядку от самой низкой к самой высокой. 

 

Создание списков управления доступом с неправильными правилами приведет к блокировке трафика управления.  При этом пользователь потеряет доступ к коммутатору. Всегда используйте альтернативный способ доступа к коммутатору с прямым физическим доступом через последовательный консольный порт.

 

Список ACL можно применять к портам данных (физический интерфейс, порт-канал и интерфейс VLAN) и невозможно применять к внеполосному порту (OOB).

Максимальное число списков управления доступом, которые можно настроить на любом коммутаторе DELL серии N, равно 100, а максимальное число (если имеются правила, которые можно настроить для каждого ACL) — 1023

 

Настройка списков управления доступом

Конфигурация ACL состоит из следующих шагов.


1.  Создайте группу доступа, указав правила ACL в порядке выполнения с использованием порядкового номера. Правила выполняются от самого низкого к самому высокому порядковому номеру
2.  Назначьте группу доступа интерфейсу, который должен фильтровать входящий или исходящий трафик

 

Пример:

В качестве наглядного примера демонстрируется работа списков управления доступом (ACL). Рассмотрим следующее. Входящий трафик на порте gi1/0/10 зависит от ACL, который блокирует трафик udp из сети 10.10.10.0 255.255.255.0, предназначенный для подсети 10.10.20.0 255.255.255.0, блокирует пакеты icmp из подсети 192.168.1.0 255.255.255.0, предназначенные для любой сети. Необходимо запретить трафик tcp, специфичный для протокола telnet, из определенной подсети хоста 172.16.1.10, который предназначен для любой сети, а также зарегистрировать совпадения правила через консоль.


1.  Создайте группу доступа

 

Если порядковый номер не введен, Dell Networking OS (DNOS) автоматически назначает порядковый номер в соответствии с порядком, указанным в правиле. Первое введенное правило назначается с наименьшим порядковым номером

2.  Примените группу доступа к интерфейсу
 

Проверка конфигурации списка управления доступом

Ниже перечислены команды проверки ACL:

Dell#show ip access-lists

Current number of ACLs: 1  Maximum number of ACLs: 100

ACL Name                        Rules Interface(s)              Direction Count

---------------------------------- -------- ------------------------- ----------------- ------                                                                                                                                                     

ACL-TEST                           3       Gi1/0/10                  Inbound   12
 

Dell#show ip access-lists ACL-TEST

IP ACL Name: ACL-TEST

Dell#show running-config | begin access

ip access-list ACL-TEST

Чтобы внедрить ACL для MAC-адресов, перейдите по ссылке: https://kb.dell.com/infocenter/index?page=content&id=HOW12466