メイン コンテンツに進む
ログアウト

Dellへようこそ

マイアカウント
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。
ログイン アカウントの新規作成 プレミアログイン パートナー プログラム サインイン
お問い合わせ

Dell.comカート

文書番号: 000120449

DELL Networking Nシリーズ スイッチのIP ACLの設定方法

概要: Dell nシリーズでipアクセス リストを設定する方法

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容

手順


この文書では、Dell Networking Nシリーズ スイッチにIPv4アクセス制御リスト(ACL)を実装する方法について説明します
 

 

目次

  1. 概要

  2. アクセス制御リストの設定

  3. アクセス制御リストの設定の確認


 

概要

 

  • ACLは、セキュリティ上の理由から特定のトラフィックを許可またはブロックするために適用される一連のルールです。ACLには、IPv4 ACL、IPv6 ACL、MAC ACLの3つのタイプがあります。
  • この文書では、IPv4 ACLの例を示します。ACLルールは、グループ化されてアクセス グループを形成し、インターフェイスに適用されます。ACLルールは、受信または送信のトラフィックに適用できます。
  • 設定時には、ACL内のすべてのルールにシーケンス番号を割り当てることができ、最小の番号から最大の番号まで順番に実行されます。
  • 1つのインターフェイスに複数のアクセス グループを設定している場合は、シーケンス番号を割り当てて、最小の番号のアクセス グループから最大の番号のグループまで順番に実行されるようにします。 


 

HOW12391_ja__1icon 誤ったルールを使用してACLを作成した場合、管理トラフィックの妨げになる可能性があります。  ユーザーはスイッチへのアクセス権を失うことになります。シリアル コンソール ポートを使用して直接物理アクセスを行うスイッチには、必ず代替アクセス方法を設定します。

 

HOW12391_ja__2icon ACLはデータ用ポート(物理インターフェイス、ポートチャネル、VLANインターフェイス)に適用でき、帯域外(OOB)ポートには適用できません。


任意のDELL Nシリーズ スイッチ上で設定可能なACLの最大数は100であり、ACLごとに設定できるルール(可能な場合)の最大数は1023です

 

アクセス制御リストの設定


ACLを設定するには、次の手順を実行します。


1.  シーケンス番号に従って、実行される順にACLルールを指定するアクセス グループを作成します。ルールは、最小の番号から最大の番号まで順番に実行されます
2.  受信または送信のトラフィックのフィルタリングが想定されるインターフェイスにアクセス グループを割り当てます

 

例:

ACLの機能をわかりやすく示していると思われる例を挙げます。ポートgi1/0/10の受信トラフィックが、10.10.20.0 255.255.255.0サブネットに送信されるネットワーク10.10.10.0 255.255.255.0からのudpトラフィックをブロックし、ネットワークに送信されるサブネット192.168.1.0 255.255.255.0からのicmpパケットをブロックするACLに依存しているとします。このACLは、任意のネットワークを宛先とする特定のホストの172.16.1.10サブネットからのtelnetプロトコルに固有のtcpトラフィックを拒否し、コンソール経由でルールのヒットをログに記録します。


1.  アクセス グループの作成

 

コマンド

目的

Dell# configure

グローバル設定モードに入ります

Dell(config)# ip access-list ACL-TEST

名前を付けることによってアクセス グループを作成します。ここで、アクセス グループACL-TESTが作成されました。

ACL名には、文字、数字、ドット、ダッシュ、アンダースコアを使用できますが、文字のみで始める必要があり、31文字以内にする必要があります

Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log

最初のルールを入力して、最小のシーケンス番号であることを確認します。ここでは、シーケンス番号10が割り当てられています。このルールは、10.10.10.20を宛先とするソース10.10.10.0サブネットからのudpトラフィックを拒否します(構文に従って、ワイルドカード マスク0.0.0.25が入力されます)。ルールが一致する場合、アクションがコンソールのログに記録されます

Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log

2番目のルールには、シーケンス番号20が設定されており、192.168.1.0サブネットから任意のネットワーク宛てのicmpトラフィックを拒否し、ルール ヒットが発生した場合にはログに記録します

Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log

シーケンス番号30が割り当てられた3番目のルールを入力します。このルールは、172.16.1.0ネットワークから任意のネットワーク ソース宛てのtelnetプロトコルに関連するすべてのtcpトラフィックを拒否するように指定します

   
 

HOW12391_ja__2icon シーケンス番号を入力しない場合、Dell Networking OS(DNOS)は、入力されたルールの順序に基づいて、自動的にシーケンス番号を割り当てます。最初に入力されたルールには、最小シーケンス番号が割り当てられます


2.  インターフェイスにアクセスグループを適用します
 

コマンド

目的

Dell# configure

グローバル設定モードに入ります

Dell(config)# interface gigabitethernet 1/0/10

インターフェイス固有の設定モードを入力します

Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10

アクセスグループをインターフェイスに適用して、すべての受信/送信トラフィックがアクセスグループ内のルールに依存するようにします。複数のアクセスグループがある場合は、シーケンス番号を割り当てて、アクセスグループを最小のシーケンス番号から最大の番号まで順番に適用できるようにします。シーケンス番号を指定しない場合、アクセスグループには自動的にシーケンス番号が割り当てられます。つまり、最初に指定されたアクセスグループには最小の番号が割り当てられます


 

アクセス制御リストの設定の確認


ACL検証コマンドを以下に示します。

Dell#show ip access-lists

 

Current number of ACLs: 1  Maximum number of ACLs: 100

 

ACL Name                        Rules Interface(s)              Direction Count

---------------------------------- -------- ------------------------- ----------------- ------                                                                                                                                                     

ACL-TEST                           3       Gi1/0/10                  Inbound   12
 

Dell#show ip access-lists ACL-TEST

 

IP ACL Name: ACL-TEST


Inbound Interface(s):
Gi1/0/10


Rule Number: 10
Action......................................... deny
Match All...................................... 偽
Protocol....................................... 17(udp)
Source IP Address.............................. 10.10.10.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... 10.10.20.0
Destination IP Mask............................ 0.0.0.255
Log............................................ 真の
ACL Hit Count.................................. 0

Rule Number: 20
Action......................................... deny
Match All......................................偽
Protocol....................................... 1(icmp)
Source IP Address..............................192.168.1.0
Source IP Mask.................................0.0.0.255
Destination IP Address......................... any
Log............................................真の
ACL Hit Count..................................0

Rule Number: 30
Action......................................... deny
Match All......................................偽
Protocol....................................... 6(tcp)
Source IP Address..............................172.16.1.0
Source IP Mask.................................0.0.0.255
Destination IP Address......................... any
Destination Layer 4 Operator................... Equal To
Destination L4 Port Keyword.................... 23(telnet)
Log............................................真の
ACL Hit Count..................................0

 

 

Dell#show running-config | begin access

 

ip access-list ACL-TEST

10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
20 deny icmp 192.168.1.0 0.0.0.255 any log
30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log



MAC ACLを実装するには、次のリンクを参照してください。https://kb.dell.com/infocenter/index?page=content&id=HOW12466

文書のプロパティ

影響を受ける製品

PowerSwitch N1500 Series, PowerSwitch N2000 Series, PowerSwitch N2100 Series, PowerSwitch N3000 Series, Dell EMC PowerSwitch N3100 Series, PowerSwitch N4000 Series

最後に公開された日付

10 4月 2021

バージョン

6

文書の種類

How To

トップに戻る