文書番号: 000120449
Come configurare le IP ACL sugli switch DELL Networking serie N
概要: come configurare una IP ACL sugli switch dell serie n
文書の内容
手順
Questo articolo spiega come implementare le IPv4 ACL sugli switch Dell Networking serie N.
Sommario
Panoramica
- Una ACL è un set di regole applicate per consentire o bloccare un determinato traffico per motivi di sicurezza. Le ACL possono essere di tipo IPv4 ACL, IPv6 ACL e MAC ACL.
- Questo articolo tratta le IPv4 ACL. Le regole ACL vengono raggruppate per formare un gruppo di accesso e quindi applicate alle interfacce. Le regole ACL possono essere applicate al traffico in ingresso o in uscita.
- In fase di configurazione è possibile assegnare un numero di sequenza a ogni regola della ACL e l'applicazione procederà quindi dal numero di sequenza più basso al più alto.
- Se si dispone di più gruppi di accesso configurati per un'interfaccia, assegnare il numero di sequenza in modo che i gruppi di accesso vengano eseguiti in ordine dal più basso al più alto.
La creazione di ACL con regole non corrette produce come conseguenza il blocco del traffico di gestione e l'utente perderà l'accesso allo switch. Utilizzare sempre un metodo di accesso alternativo allo switch con accesso fisico diretto tramite la porta della console seriale.
La ACL può essere applicata alle porte dati (interfaccia fisica, interfaccia port-channel e VLAN) ma non alla porta fuori banda (OOB).
Il numero massimo di ACL che è possibile configurare sugli switch DELL serie N è 100, mentre il numero massimo di regole configurabili per ACL è 1023.
Configurazione delle ACL
La configurazione delle ACL è costituita dai seguenti passaggi:
1. Creare un gruppo di accesso specificando le regole ACL nell'ordine in cui devono essere applicate assegnando loro un numero di sequenza. Le regole vengono applicate dal numero più basso al più alto.
2. Assegnare il gruppo di accesso all'interfaccia che si suppone debba filtrare il traffico in ingresso o in uscita.
Esempio:
Ecco un esempio per dimostrare meglio la funzione delle ACL. Si supponga che il traffico in entrata alla porta gi1/0/10 sia soggetto a una ACL che blocca il traffico udp proveniente dalla rete 10.10.10.0 255.255.255.0 e destinato alla subnet 10.10.20.0 255.255.255.0, blocca i pacchetti icmp provenienti dalla subnet 192.168.1.0 255.255.255.0 e destinati a qualsiasi rete, impedisce il traffico tcp specifico del protocollo telnet proveniente da una subnet 172.16.1.10 di un host particolare e destinato a qualsiasi rete e registra i riscontri delle regole sulla console.
1. Creare un gruppo di accesso.
| Comando |
Scopo |
| Dell# configure |
Accedere alla modalità di configurazione globale. |
| Dell(config)# ip access-list ACL-TEST |
Creare un gruppo di accesso assegnandogli un nome. In questo esempio viene creato il gruppo di accesso ACL-TEST. I nomi delle ACL possono contenere lettere, numeri, punti, trattini o caratteri di sottolineatura, ma devono iniziare con una lettera e devono essere di lunghezza inferiore o uguale a 31 caratteri. |
| Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log |
Inserire la prima regola. Assicurarsi che il numero di sequenza sia il più basso (in questo esempio il numero di sequenza assegnato è 10). Questa regola impedisce il traffico udp proveniente alla subnet 10.10.10.0 (in base alla sintassi, viene immessa la mask jolly 0.0.0.25) e destinato alla subnet 10.10.10.20. Se la regola corrisponde all'azione viene registrata sulla console. |
| Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log |
La seconda regola viene inserita con il numero di sequenza 20. Impedisce il traffico icpm proveniente dalla subnet 192.168.1.0 e destinato a qualsiasi rete e registra la regola in caso di riscontro. |
| Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log |
Inserire la terza regola con il numero di sequenza 30. Specifica di impedire il traffico tcp correlato al protocollo telnet originato dalla rete 172.16.1.0 e destinato a qualsiasi rete e registra la regola se si verifica una corrispondenza. |
Se non viene inserito alcun numero di sequenza, Dell Networking OS (DNOS) assegna automaticamente il numero di sequenza in base all'ordine di inserimento della regola. Alla prima regola inserita viene assegnato il numero di sequenza più basso.
2. Applicare il gruppo di accesso all'interfaccia.
| Comando |
Scopo |
| Dell# configure |
Accedere alla modalità di configurazione globale. |
| Dell(config)# interface gigabitethernet 1/0/10 |
Accedere alla modalità di configurazione specifica dell'interfaccia. |
| Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10 |
Applicare il gruppo di accesso all'interfaccia, in modo che tutto il traffico in ingresso sia soggetto alle regole contenute nel gruppo di accesso. Se sono presenti più gruppi di accesso, assegnare un numero di sequenza in modo da applicare i gruppi di accesso nell'ordine di sequenza dal numero più basso al più alto. Se non viene specificato alcun numero di sequenza, ai gruppi di accesso viene assegnato automaticamente un numero di sequenza (al primo gruppo di accesso viene assegnato il numero più basso). |
Verifica della configurazione delle ACL
Di seguito sono riportati i comandi per la verifica delle ACL:
Dell#show ip access-lists
Current number of ACLs: 1 Maximum number of ACLs: 100
ACL Name Rules Interface(s) Direction Count
---------------------------------- -------- ------------------------- ----------------- ------
ACL-TEST 3 Gi1/0/10 Inbound 12
Dell#show ip access-lists ACL-TEST
IP ACL Name: ACL-TEST
Inbound Interface(s):
Gi1/0/10
Rule Number: 10
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 17(udp)
Source IP Address.............................. 10.10.10.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... 10.10.20.0
Destination IP Mask............................ 0.0.0.255
Log............................................ TRUE
ACL Hit Count.................................. 0
Rule Number: 20
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 1(icmp)
Source IP Address.............................. 192.168.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Log............................................ TRUE
ACL Hit Count.................................. 0
Rule Number: 30
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 6(tcp)
Source IP Address.............................. 172.16.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Destination Layer 4 Operator................... Equal To
Destination L4 Port Keyword.................... 23(telnet)
Log............................................ TRUE
ACL Hit Count.................................. 0
Dell#show running-config | begin access
ip access-list ACL-TEST
10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log20 deny icmp 192.168.1.0 0.0.0.255 any log
30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log
Per implementare una Mac ACL, seguire questo link: https://KB.dell.com/infocenter/index?page=content&ID=HOW12466
文書のプロパティ
影響を受ける製品
PowerSwitch N1500 Series, PowerSwitch N2000 Series, PowerSwitch N2100 Series, PowerSwitch N3000 Series, Dell EMC PowerSwitch N3100 Series, PowerSwitch N4000 Series
最後に公開された日付
10 4月 2021
バージョン
6
文書の種類
How To