文書番号: 000120449
Slik konfigurerer du IP-tilgangskontrollister på Dell Networking-svitsjer i N-serien
概要: slik konfigurerer du en ip-tilgangsliste i dell n-serien
文書の内容
手順
Denne artikkelen forklarer hvordan du implementerer IPv4-tilgangskontrollister på Dell Networking-svitsjer i N-serien
Innholdsfortegnelse
Oversikt
- En tilgangskontrolliste er et sett med regler som brukes for å tillate eller blokkere trafikk, avhengig av sikkerheten. Tilgangskontrollister finnes i følgende typer: IPv4, IPv6 og MAC.
- Denne artikkelen bruker IPv4-tilgangskontrolliste som eksempel. Reglene for tilgangskontrollister grupperes for å danne tilgangsgrupper og legges til i grensesnittene. Reglene for tilgangskontrollgrupper kan brukes for inngående og utgående trafikk.
- Sekvensnumre kan tilordnes hver regel i tilgangskontrollisten under konfigurasjonen, og blir utført fra det laveste til det høyeste sekvensnummeret.
- Hvis du har flere konfigurerte tilgangsgrupper på et grensesnitt, må du tilordne sekvensnumrene slik at tilgangsgruppene utføres i rekkefølge fra det laveste til det høyeste nummeret.
Hvis det opprettes tilgangskontrollister med feil regler, vil dette føre til at administrasjonstrafikken blokkeres. Brukeren mister tilgangen til svitsjen. Du må alltid ha en alternativ tilgangsmetode for svitsjen med direkte fysisk tilgang ved hjelp av den serielle konsollporten.
Tilgangskontrollister kan brukes på dataporter (fysisk grensesnitt, portkanal og VLAN-grensesnitt), men kan ikke brukes på en utenforliggende port.
Det maksimale antallet tilgangskontrollister som kan konfigureres på DELL-svitsjer i N-serien, er 100. Det maksimale antallet regler som kan konfigureres per tilgangskontrolliste, er 1023
Konfigurere tilgangskontrollister
Konfigurasjon av tilgangskontrollister omfatter følgende trinn:
1. Opprette tilgangsgrupper som spesifiserer reglene for tilgangskontrollister i rekkefølgen de skal utføres i, ved hjelp av sekvensnumre. Reglene utføres fra det laveste til det høyeste sekvensnummeret
2. Tilordne tilgangsgruppen til grensesnittet som skal filtrere inngående og utgående trafikk
Eksempel:
Et eksempel vil gi en bedre demonstrasjon av funksjonene til tilgangskontrollister. La oss ta utgangspunkt i at innkommende trafikk ved port gi1/0/10 underlagt tilgangskontrollisten som blokkerer UDP-trafikk fra nettverk 10.10.10.0 255.255.255.0 til delnettverk 10.10.20.0 255.255.255.0, blokkerer ICMP-pakker fra delnettverk 192.168.1.0 255.255.255.0 til alle nettverk, nekter spesifikk TCP-trafikk for telnet-protokoll fra et bestemt 172.16.1.10-vertsdelnettverk til alle nettverk, og loggfører regeltreffene over konsollen.
1. Opprette tilgangsgruppe
| Kommando |
Formål |
| Dell# configure |
Gå inn i global konfigurasjonsmodus |
| Dell(config)# ip access-list ACL-TEST |
Opprett tilgangsgruppen ved å gi den et navn. Her opprettes tilgangsgruppen ACL-TEST. Navn på tilgangskontrollister kan inneholde bokstaver, tall, punktum, tankestrek eller understrek, men må starte med en bokstav og kan inneholde maksimalt 31 tegn |
| Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log |
Angi den første regelen, og kontroller at den har det laveste sekvensnummeret. Her er sekvensnummer 10 angitt. Denne regelen nekter UDP-trafikk fra kildedelnettverket 10.10.10.0 (jokertegnmasken 0.0.0.25 er angitt i samsvar med syntaksen) til 10.10.10.20. Hvis regelen samsvarer, blir handlingen loggført på konsollen |
| Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log |
Den andre regelen angis med sekvensnummer 20, nekter ICPM-trafikk fra delnettverket 192.168.1.0 til alle nettverk og loggfører eventuelle regeltreff |
| Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log |
Angi en tredje regel med sekvensnummer 30 som spesifiserer å nekte all TCP-trafikk relatert til en telnet-protokoll som skal sendes til et nettverk fra 172.16.1.0-nettverket, og loggføre eventuelle regeltreff |
Hvis det ikke er angitt et sekvensnummer, vil Dell Networking-operativsystemet (DNOS) automatisk tilordne sekvensnummer basert på rekkefølgen til regelen som er angitt. Første regel som angis, blir tilordnet det laveste sekvensnummeret
2. Bruk tilgangsgruppen i grensesnittet
| Kommando |
Formål |
| Dell# configure |
Gå inn i global konfigurasjonsmodus |
| Dell(config)# interface gigabitethernet 1/0/10 |
Gå inn i den spesifikke konfigurasjonsmodusen for grensesnittet |
| Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10 |
Bruk tilgangsgruppen i grensesnittet, slik at all inngående og utgående trafikk blir underlagt reglene i tilgangsgruppen. Hvis det er mer enn én tilgangsgruppe, tilordner du sekvensnumrene slik at tilgangsgruppene kan brukes i rekkefølgen lavest til høyest sekvensnummer. Hvis det ikke er angitt et sekvensnummer, blir tilgangsgruppene automatisk tilordnet med sekvensnummer. Den første spesifiserte tilgangsgruppen får den laveste verdien |
Kontrollere konfigurasjonen av tilgangskontrollister
Kommandoer for kontroll av tilgangskontrollister er oppgitt nedenfor:
Dell#show ip access-lists
Gjeldende antall tilgangskontrollister: 1. Maksimalt antall tilgangskontrollister: 100
Navn på tilgangskontrollister Regelgrensesnitt Antall retninger
---------------------------------- -------- ------------------------- ----------------- ------
ACL-TEST 3 Gi1/0/10 Inngående 12
Dell#show ip access-lists ACL-TEST
Navn på IP-tilgangskontrolliste: ACL-TEST
Inngående grensesnitt:
Gi1/0/10
Regelnummer: 10
Handling......................................... nekt
Samsvar alle...................................... FALSE
Protokoll....................................... 17 (UDP)
Kilde-IP-adresse.............................. 10.10.10.0
Kilde-IP-maske................................. 0.0.0.255
Mål-IP-adresse......................... 10.10.20.0
Mål-IP-maske............................ 0.0.0.255
Logg............................................ TRUE
Antall treff i tilgangskontrollister.................................. 0
Regelnummer: 20
Handling......................................... nekt
Samsvar alle...................................... FALSE
Protokoll....................................... 1 (ICMP)
Kilde-IP-adresse.............................. 192.168.1.0
Kilde-IP-maske................................. 0.0.0.255
Mål-IP-adresse......................... alle
Logg............................................ TRUE
Antall treff i tilgangskontrollister.................................. 0
Regelnummer: 30
Handling......................................... nekt
Samsvar alle...................................... FALSE
Protokoll....................................... 6 (TCP)
Kilde-IP-adresse.............................. 172.16.1.0
Kilde-IP-maske................................. 0.0.0.255
Mål-IP-adresse......................... alle
Operatør av mållag 4................... Tilsvarer
L4-portnøkkelord for mål.................... 23 (telnet)
Logg............................................ TRUE
Antall treff i tilgangskontrollister.................................. 0
Dell#show running-config | begin access
ip access-list ACL-TEST
10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log20 deny icmp 192.168.1.0 0.0.0.255 any log
30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log
Hvis du skal implementere MAC-tilgangskontrollister, kan du se følgende kobling: https://kb.dell.com/infocenter/index?page=content&id=HOW12466
文書のプロパティ
影響を受ける製品
PowerSwitch N1500 Series, PowerSwitch N2000 Series, PowerSwitch N2100 Series, PowerSwitch N3000 Series, Dell EMC PowerSwitch N3100 Series, PowerSwitch N4000 Series
最後に公開された日付
10 4月 2021
バージョン
6
文書の種類
How To