Konfigurowanie listy ACL IP w przełącznikach sieciowych serii N firmy DELL
概要: konfigurowanie listy dostępu IP na przełącznikach sieciowych serii n firmy dell
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
手順
W tym artykule opisano wdrażanie list kontroli dostępu ACL protokołu IPv4 w przełącznikach sieciowych serii N firmy Dell
Spis treści
Omówienie
- Lista ACL to zestaw reguł stosowanych w celu dopuszczania lub blokowania określonego ruchu ze względów bezpieczeństwa. Listy ACL dzielą się na następujące typy: ACL IPv4, ACL IPv6 i ACL MAC.
- W tym artykule jako przykładu użyto listy ACL IPv4. Reguły list ACL są pogrupowane w grupy dostępu i są stosowane do interfejsów. Reguły list ACL mogą być stosowane do ruchu przychodzącego i wychodzącego.
- Do każdej reguły na liście ACL w czasie konfiguracji może zostać przypisany kolejny numer, a reguły są wykonywane od najniższego do najwyższego numeru.
- Jeśli w interfejsie skonfigurowano wiele grup dostępu, należy przypisać kolejny numer tak, aby grupy dostępu były wykonywane w kolejności od najniższej do najwyższej.
Utworzenie list ACL z nieprawidłowymi regułami prowadzi do blokady zarządzania ruchem. Użytkownik utraci dostęp do przełącznika. Zawsze należy przygotować alternatywną metodę dostępu do przełącznika, z fizyczną metodą podłączenia przy użyciu portu szeregowego konsoli.
Lista ACL może być stosowana do portów danych (interfejsu fizycznego, kanału portu i interfejsu VLAN) i nie może być stosowana do portu pozapasmowego (OOB).
Maksymalna liczba list kontroli dostępu, jakie można skonfigurować na dowolnych przełącznikach serii N firmy DELL wynosi 100, a maksymalna liczba reguł, które można skonfigurować na liście ACL, to 1023.
Konfigurowanie list kontroli dostępu
Konfiguracja list ACL składa się z następujących kroków:
1. Utwórz grupę dostępu określającą reguły listy ACL do wykonania przy użyciu kolejnego numeru. Reguły są wykonywane od najniższego do najwyższego kolejnego numeru
2. Przypisz grupę dostępu do interfejsu, który ma filtrować ruch przychodzący lub wychodzący
Przykład:
Oto przykład, który może lepiej zademonstrować działanie list ACL. Załóżmy, że ruch przychodzący na porcie gi1/0/10 podlega liście ACL, która blokuje ruch UDP z sieci 10.10.10.0 255.255.255.0 przeznaczony do podsieci 10.10.20.0 255.255.255.0, blokuje pakiety ICMP z podsieci 192.168.1.0 255.255.255.0 do dowolnej sieci, odrzuca ruch TCP specyficzny dla protokołu Telnet z określonej podsieci hosta 172.16.1.10 przeznaczony dla dowolnej sieci i rejestruje przypadku spełnienia reguł przy użyciu konsoli.
1. Utwórz grupę dostępu
| Polecenie |
Zastosowanie |
| Dell# configure |
Przejdź do trybu globalnej konfiguracji |
| Dell(config)# ip access-list ACL-TEST |
Utwórz grupę dostępu, nadając jej nazwę. W tym przykładzie tworzona jest grupa dostępu ACL-TEST. Nazwy list ACL mogą zawierać litery, cyfry, kropki, myślniki lub znaki podkreślenia, ale powinny rozpoczynać się od litery i nie mogą zawierać więcej niż 31 znaków. |
| Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log |
Wpisz pierwszą regułę, aby upewnić się, że ma najniższy numer kolejny, w tym przykładzie nadano liście numer 10. Ta reguła odrzuca ruch UDP ze źródłowej podsieci 10.10.10.0 (zgodnie ze składnią, wprowadzono maskę wieloznaczną 0.0.0.25) kierowany na adres 10.10.10.20. Jeśli reguła jest zgodna z działaniem, zostanie ona zarejestrowana w konsoli. |
| Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log |
Druga reguła jest wprowadzona z numerem 20. Odrzuca ruch ICMP z podsieci 192.168.1.0 do dowolnej sieci i rejestruje przypadki spełnienia reguły. |
| Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log |
Wprowadź trzecią regułę z numerem 30, określającą odrzucanie jakiegokolwiek ruchu TCP związanego z protokołem Telnet przeznaczonego do dowolnej sieci pochodzącej z sieci 172.16.1.0 rejestrowanie wszelkich przypadków spełnienia reguły. |
Jeśli numer kolejny nie zostanie przypisany, system Dell Networking OS (DNOS) automatycznie przypisuje numer kolejny, na podstawie kolejności wprowadzania reguł. Pierwsza wprowadzona reguła otrzymuje najniższy numer kolejny.
2. Zastosuj grupę dostępu do interfejsu
| Polecenie |
Zastosowanie |
| Dell# configure |
Przejdź do trybu globalnej konfiguracji |
| Dell(config)# interface gigabitethernet 1/0/10 |
Przejdź do trybu konfiguracji dla konkretnego interfejsu |
| Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10 |
Zastosuj grupę dostępu do interfejsu, tak aby cały ruch wychodzący lub przychodzący podlegał regułom w grupie dostępu. Jeśli istnieje więcej niż jedna grupa dostępu, przypisz jej numer kolejny, tak aby grupy dostępu mogły być stosowane w kolejności od najniższego do najwyższego numeru. Jeśli nie zostanie określony numer kolejny, grupy dostępu otrzymują numery automatycznie — pierwsza określona grupa otrzymuje najniższy numer |
Weryfikowanie konfiguracji list kontroli dostępu
Poniżej podano polecenia weryfikacji listy ACL:
Dell#show ip access-lists
Current number of ACLs: 1 Maximum number of ACLs: 100
ACL Name Rules Interface(s) Direction Count
---------------------------------- -------- ------------------------- ----------------- ------
ACL-TEST 3 Gi1/0/10 Inbound 12
Dell#show ip access-lists ACL-TEST
IP ACL Name: ACL-TEST
Interfejsy wejściowe:
Gi1/0/10
Rule Number: 10
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 17(udp)
Source IP Address.............................. 10.10.10.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... 10.10.20.0
Destination IP Mask............................ 0.0.0.255
Log............................................ TRUE
ACL Hit Count.................................. 0
Rule Number: 20
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 1(icmp)
Source IP Address.............................. 192.168.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Log............................................ TRUE
ACL Hit Count.................................. 0
Rule Number: 30
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 6(tcp)
Source IP Address.............................. 172.16.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Destination Layer 4 Operator................... Equal To
Destination L4 Port Keyword.................... 23(telnet)
Log............................................ TRUE
ACL Hit Count.................................. 0
Dell#show running-config | begin access
ip access-list ACL-TEST
10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log20 deny icmp 192.168.1.0 0.0.0.255 any log
30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log
Aby zaimplementować listę ACL MAC, kliknij poniższe łącze: https://kb.dell.com/infocenter/index?page=content&id=HOW12466
対象製品
PowerSwitch N1500 Series, PowerSwitch N2000 Series, PowerSwitch N2100 Series, PowerSwitch N3000 Series, Dell EMC PowerSwitch N3100 Series, PowerSwitch N4000 Series文書のプロパティ
文書番号: 000120449
文書の種類: How To
最終更新: 10 4月 2021
バージョン: 6
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。