如何在 DELL Networking N 系列交换机中配置 IP ACL

本文介绍如何在 Dell Networking N 系列交换机上实施 IPv4 访问控制列表 (ACL)
 

目录

1. 概述

2. 配置访问控制列表

3. 验证访问控制列表配置

概述

• ACL 是出于安全原因应用以允许或阻止特定流量的规则集。ACL 的类型如下：IPv4 ACL、IPv6 ACL 和 MAC ACL。
• 本文例示了 IPv4 ACL。ACL 规则分组为窗体访问组，并应用于接口。ACL 规则可应用于入口或出口流量。
• 序列号可在配置时分配给 ACL 中的每个规则，并由序列号从小到大的顺序执行。
• 如果您在一个接口上配置了多个访问组，则分配序列号，以便按从小到大的顺序执行访问组。 

 

由于使用不正确的规则创建 ACL，将导致管理流量受阻。  用户将失去对交换机的访问权限。始终有交换机的备用访问方法，此方法需使用串行控制台端口进行直接物理访问。

 

ACL 可应用于数据端口（物理接口、端口通道和 VLAN 接口），并且不能应用于带外 (OOB) 端口。

可以在任何 DELL N 系列交换机上配置的最大 ACL 数为 100，可以为每个 ACL 配置的最大规则数为 1023

 

配置访问控制列表

ACL 配置包括以下步骤：


1.  创建访问组，按使用序列号执行的顺序指定 ACL 规则。按序列号从小到大的顺序执行规则
2.  将访问组分配到要筛选入口或出口流量的接口

 

示例：

考虑一个示例，以更好地展示 ACL 的功能。让我们看看受 ACL 管理的端口 gi1/0/10 的传入流量，此 ACL 阻止来自网络 10.10.10.0 255.255.255.0 的被指定给 10.10.20.0 255.255.255.0 子网的 udp 流量，阻止来自子网 192.168.1.0 255.255.255.0 的被指定给任何网络的 icmp 数据包，拒绝来自特殊主机 172.16.1.10 子网的特定于远程登录协议且被指定给任何网络的 tcp 流量，并将规则匹配记录在控制台上。


1.  创建访问组

 

如果未输入序列号，Dell Networking 操作系统 (DNOS) 会根据输入的规则顺序自动分配序列号。第一个输入的规则被分配最小序列号

2.  将访问组应用到接口
 

验证访问控制列表配置

下面列出了 ACL 验证命令：

Dell#show ip access-lists

Current number of ACLs: 1  Maximum number of ACLs: 100

ACL Name                        Rules Interface(s)              Direction Count

---------------------------------- -------- ------------------------- ----------------- ------                                                                                                                                                     

ACL-TEST                           3       Gi1/0/10                  Inbound   12
 

Dell#show ip access-lists ACL-TEST

IP ACL Name: ACL-TEST

Dell#show running-config | begin access

ip access-list ACL-TEST

要实施 MAC ACL，请参考以下链接：https://kb.dell.com/infocenter/index?page=content&id=HOW12466