Sådan konfigureres IP-ACL på DELL-netværksswitche i N-serien

Denne artikel forklarer, hvordan du implementerer IPv4-adgangskontrollister (ACL) på Dell-netværksswitche i N-serien.
 

Indholdsfortegnelse

1. Oversigt

2. Konfiguration af adgangskontrollister

3. Kontrol af konfiguration af adgangskontrolliste

Oversigt

• ACL er et sæt regler, der anvendes til at tillade eller blokere visse typer trafik af sikkerhedsmæssige årsager. ACL'er er af følgende typer: IPv4 ACL, IPv6 ACL og MAC ACL.
• Denne artikel bruger IPv4 ACL som eksempel. ACL-regler grupperes for at danne adgangsgrupper og anvendes på grænsefladerne. ACL-regler kan anvendes på indgående eller udgående trafik.
• Sekvensnummeret kan tildeles alle regler i ACL på tidspunktet for konfigurationen og udføres fra det laveste til det højeste sekvensnummer.
• Hvis du har flere adgangsgrupper konfigureret på en grænseflade, skal du tildele sekvensnummeret, så adgangsgrupperne udføres i rækkefølge fra den laveste til den højeste. 

 

Oprettelse af ACL'er med forkerte regler vil føre til administrationsblokering af trafikken.  Brugeren mister adgang til switchen. Hav altid en alternativ adgangsmetode til switchen med direkte fysisk adgang ved hjælp af den serielle konsolport.

 

ACL kan anvendes på dataporte (fysisk grænseflade, portkanal og VLAN-grænseflade) og kan ikke anvendes på en OOB-port (Out-Of-Band).

Det maksimale antal ACL'er, der kan konfigureres på en DELL N-serie-switch, er 100, og det maksimale antal regler, der kan konfigureres pr. ACL, er 1023

 

Konfiguration af adgangskontrollister

ACL-konfiguration består af følgende trin:


1.  Opret adgangsgruppe, der angiver ACL-regler i den rækkefølge, de skal udføres, ved hjælp af sekvensnummer. Reglerne udføres fra laveste til højeste sekvensnummer
2.  Tildel adgangsgruppen til den grænseflade, der skal filtrere indgående eller udgående trafik

 

Eksempel:

Her vises et eksempel for bedre at demonstrere funktionen af ACL'er. Vi antager, at den indgående trafik på port gi1/0/10, som er betinget af en ACL, der blokerer udp-trafik fra netværk 10.10.10.0 255.255.255.0 med destinationen undernet 10.10.20.0 255.255.255.0, blokerer icmp-pakker fra undernet 192.168.1.0 255.255.255.0 med destinationen ethvert netværk, afviser tcp-trafik, der er specifik for telnet-protokollen fra et bestemt værtsundernet 172.16.1.10 med destinationen ethvert netværk, og logger regeloverensstemmelser på konsollen.


1.  Opret adgangsgruppe

 

Hvis der ikke er angivet et sekvensnummer, tildeler DNOS (Dell Networking OS) automatisk sekvensnummer baseret på rækkefølgen af den indtastede regel. Den første regel, der indtastes, tildeles det laveste sekvensnummer

2.  Anvend adgangsgruppe til grænsefladen
 

Kontrol af konfiguration af adgangskontrolliste

ACL-bekræftelseskommandoer anført nedenfor:

Dell#show ip access-lists

Current number of ACLs: 1  Maximum number of ACLs: 100

ACL Name                        Rules Interface(s)              Direction Count

---------------------------------- -------- ------------------------- ----------------- ------                                                                                                                                                     

ACL-TEST                           3       Gi1/0/10                  Inbound   12
 

Dell#show ip access-lists ACL-TEST

IP ACL-navn: ACL-TEST

Dell#show running-config | begin access

ip access-list ACL-TEST

For at implementere Mac ACL skal du følge linket: https://kb.dell.com/infocenter/index?page=content&id=HOW12466