文書番号: 000120449
Cómo configurar una dirección IP ACL en los conmutadores Dell Networking serie N
概要: En este artículo, se explica cómo implementar listas de control de acceso (ACL) IPv4 en conmutadores Dell Networking serie N
文書の内容
手順
Tabla de contenido
Descripción general
- Las ACL son un conjunto de reglas que se aplican para permitir o bloquear un tráfico determinado por motivos de seguridad. Las ACL son de los siguientes tipos: ACL de IPv4, ACL de IPv6 y ACL de MAC.
- En este artículo, se usa como ejemplo ACL IPv4. Las reglas de ACL se agrupan para formar el grupo de acceso y se aplican a las interfaces. Las reglas de ACL se pueden aplicar al tráfico de entrada o salida.
- Se pueden asignar números de secuencia a cada regla en la ACL en el momento de la configuración y se ejecutan desde el número de secuencia más bajo al más alto.
- Si hay varios grupos de acceso configurados en una interfaz, asigne un número de secuencia para que los grupos de acceso se ejecuten en orden desde el más bajo al más alto.
La creación de ACL con reglas incorrectas dará como resultado el bloqueo del tráfico de administración. El usuario perderá acceso al conmutador. Siempre tenga un método de acceso alternativo al conmutador que incluya acceso físico directo mediante el puerto de la consola serie.
Las ACL se pueden aplicar a los puertos de datos (interfaz física, interfaz de VLAN y canal de puerto) y no se pueden aplicar al puerto fuera de banda (OOB).
La cantidad máxima de ACL que se puede configurar en cualquier conmutador de la serie N de DELL es 100 y la cantidad máxima de reglas que se puede configurar por ACL es 1023
Configurar listas de control de acceso
La configuración de ACL consta de los siguientes pasos:
1. Cree un grupo de acceso que especifique el orden en que se ejecutarán las reglas de ACL usando el número de secuencia. Las reglas se ejecutan de la secuencia más baja a la más alta número
2. Asigne el grupo de acceso a la interfaz que se supone que filtra el tráfico de entrada o salida
Ejemplo:
Se considera un ejemplo para demostrar mejor la función de las ACL. Consideremos que el tráfico entrante en el puerto gi1/0/10 está sujeto a acl que bloquea el tráfico udp de la red 10.10.10.0 255.255.255.0 destinado a la subred 10.10.20.0 255.255.255.0, bloquea los paquetes icmp de la subred 192.168.1.0 255.255.255.0 destinados a cualquier red, rechace el tráfico tcp específico del protocolo Telnet desde una subred 172.16.1.10 de host específica destinada a cualquier red y registre que la regla llegue a través de la consola.
1. Creación de un grupo de acceso
| Comando |
Propósito: |
| Dell# configure |
Ingrese al modo de configuración global |
| Dell(config)# ip access-list ACL-TEST |
Cree un grupo de acceso asignándole un nombre. Aquí se crea el grupo de acceso ACL-TEST. Los nombres de ACL pueden contener letras, números, puntos, guiones o guiones bajos, pero deben comenzar únicamente con una letra y la longitud debe ser inferior o igual a 31 caracteres |
| Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log |
Ingrese la primera regla y asegúrese de que tenga el número de secuencia más bajo; aquí se le asignó el número de secuencia 10. Esta regla niega el tráfico udp de la subred de 10.10.10.0 de origen (según la sintaxis, se ingresa la máscara de carácter comodín 0.0.0.25) destinado a 10.10.10.20. Si la regla coincide con la acción se registra en la consola |
| Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log |
La segunda regla se ingresa con el número de secuencia 20, niega el tráfico icmp de la subred 192.168.1.0 destinado a cualquier red y registra si se produce un acierto de regla |
| Dell (config-IP-ACL) n.º 30 denegar TCP 172.16.1.0 0.0.0.255 cualquier registro EQ Telnet |
Ingrese la tercera regla con el número de secuencia 30 que especifica que se niega cualquier tráfico tcp relacionado con el protocolo telnet destinado a cualquier red originada desde la red 172.16.1.0 y registra si se produce un acierto de regla |
Si no se ingresa ningún número de secuencia, el sistema operativo de Dell Networking (DNOS) asigna automáticamente el número de secuencia, según el orden de la regla ingresada. La primera regla ingresada se asigna con el número de secuencia más bajo
2. Aplicar el grupo de acceso a la interfaz
| Comando |
Propósito: |
| Dell# configure |
Ingrese al modo de configuración global |
| Dell(config)# interface gigabitethernet 1/0/10 |
Ingrese el modo de configuración específico de la interfaz |
| Dell (config-if-Gi1/0/10) # IP Access-Group ACL-TEST in 10 |
Aplique el grupo de acceso a la interfaz, de modo que todo el tráfico entrante esté sujeto a las reglas del grupo de acceso. Si hay más de un grupo de acceso, asigne un número de secuencia para que los grupos de acceso se puedan aplicar en el orden del número de secuencia más bajo al más alto. Si no se especifica ningún número de secuencia, los grupos de acceso se asignan automáticamente con un número de secuencia, el primer grupo de acceso especificado toma el valor más bajo |
Comprobación de la configuración de la lista de control de acceso
Los comandos de verificación de ACL se enumeran a continuación:
Dell#show ip access-lists
Cantidad actual de ACL: 1 Cantidad máxima de ACL: 100
ACL Name Rules Interface(s) Direction Count
---------------------------------- -------- ------------------------- ----------------- ------
ACL-TEST 3 Gi1/0/10 entrante 12
Dell#show ip access-lists ACL-TEST
Nombre de ACL de IP: PRUEBA DE ACL
Interfaces entrantes:
Gi1/0/10 Número de
regla: 10
Acción...................................................... denegar
hacer coincidir todo......................................
Protocolo FALSO....................................... 17(udp)
Dirección IP de origen.............................. Máscara IP de origen 10.10.10.0.................................
0.0.0.255 Dirección IP de
destino...................................... 10.10.20.0 Máscara de IP de
destino............................ 0.0.0.255
Log............................................ Conteo de
aciertos de ACL VERDADERO.................................. 0
Número de regla: 20
Acción......................................... denegar
hacer coincidir todo......................................
Protocolo FALSO....................................... 1 (icmp)
Dirección IP de origen.............................. 192.168.1.0 Máscara IP de
origen................................. 0.0.0.255 Dirección IP de
destino...................................... cualquier
registro............................................ Conteo de
aciertos de ACL VERDADERO.................................. 0
Número de regla: 30
Acción......................................... denegar
hacer coincidir todo......................................
Protocolo FALSO....................................... 6(tcp)
Dirección IP de origen.............................. 172.16.1.0 Máscara IP de
origen................................. 0.0.0.255 Dirección IP de
destino...................................... cualquier operador de capa 4 de
destino................................ Igual a la palabra clave del puerto L4 de
destino.................... 23 (telnet)
Log............................................ Conteo de
aciertos de ACL VERDADERO.................................. 0
Dell#show running-config | begin access
ip access-list ACL-TEST
10 denegar udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 registro20 denegar icmp 20 192.168.1.0 0.0.0.255 cualquier registro
30 denegar tcp 172.16.1.0 0.0.0.255 cualquier registro de telnet eq
Para implementar la ACL de MAC, siga el enlace: https://kb.dell.com/infocenter/index?page=content&id=HOW12466
文書のプロパティ
影響を受ける製品
PowerSwitch N1500 Series, PowerSwitch N2000 Series, PowerSwitch N2100 Series, PowerSwitch N3000 Series, Dell EMC PowerSwitch N3100 Series, PowerSwitch N4000 Series
最後に公開された日付
10 4月 2021
バージョン
6
文書の種類
How To