Dell Networking SONiCの基本アクセス リストの構成例

概要: この記事では、Dell Networking SONiCで特定のサブネットへのトラフィックをブロックするように基本的なアクセス制御リスト(ACL)を構成する方法について、例を挙げて説明します。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

手順

 

必要条件

概念を示すために、標準的なインターフェイスの命名を使用しています。詳細については、記事「Dell Networking Sシリーズ: インターフェイスの命名に関する詳細については、「基本的なインターフェイス設定 - SONiC 4.0」を参照してください。 


 


索引


ゴール
トポロジー
コマンド構文
構成
確かめる

 

目標


この記事では、アクセスリストの基本的なアプリケーションを示します。緑と赤の2つのサーバー ファームがあるとします
10.0.0.0/24サブネットからEth 1/1インターフェイスに着信するトラフィックがRED(50.0.0.0/24)へのアクセスを拒否されるようにする必要があります。他のすべてのトラフィックを許可する必要があります。

 

位相幾何学

位相幾何学


 

コマンド構文


IPv4 アクセス リストの設定構文 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description]


パケットが L3 IPv4 アクセス リスト内のステートメントと一致すると、次のいずれかのアクションが実行されます。

  • Permit:パケットはデータプレーンで転送されます。パケットがカウントされます。
  • Deny:パケットはデータプレーンでドロップされます。パケットがカウントされます。
  • トランジット:パケットはデータプレーンで転送されます。パケットはカウントされません。
  • Discard:パケットはデータプレーンでドロップされます。パケットはカウントされません。



インターフェイスでのアクセス リストの適用
 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out}

 

メモ:

アクセス リストを設定する際に覚えておくべき重要なポイントがいくつかあります。ACLという用語は、簡潔にするためにアクセス リストの短縮形として使用します。

  • この発言は、アクセス リストに説明を入れることです。トラフィックには影響しません。
  • アクセス リストは、ループバックIPアドレス、インターフェイスIPアドレス、VLAN IPアドレスなど、スイッチ宛てのトラフィックをフィルタリングしません。
  • グローバル ACL(特定のインターフェイスに割り当てられていない ACL)は、スイッチ インターフェイスでブリッジまたはルーティングされるすべてのトラフィックをフィルタリングします。グローバル ACL は、MAC、IPv4、および IPv6 ルールをサポートします。
  • イーサネットまたはポートチャネル インターフェイスに適用される ACL は、L2 および L3 パケットを処理し、ACL の許可基準または拒否基準に基づいてパケットを転送するかドロップするかを決定します。
  • VLAN に適用される ACL は、同じ VLAN 内でブリッジされるすべてのトラフィック、または VLAN の内外にルーティングされるすべてのトラフィックをフィルタリングします。ブリッジド トラフィックとルーテッド トラフィックの両方に VLAN ACL を適用します。VLAN ACL は、MAC、IPv4、および IPv6 ACL をサポートします。
  • ACL は、番号が付けられた最初のエントリから最後のエントリの順に処理されます。一致が見つかると、それ以上の ACL 処理は実行されません。
  • デフォルトでは、すべての L2 MAC、IPv4、および IPv6 ACL の末尾に deny any ルールが含まれています。deny any ルールは、ACL の先行する許可または拒否エントリと一致しないすべてのトラフィックをドロップします。
  • permit any any ルール を ACL の末尾に追加して、他の基準で拒否されないすべてのパケットを許可します。


    次のコマンドを使用して、アクセス リストの構成を確認します。
     

    Show details of all access list in switch

DELLSONiC# show ip access-lists 


    Show details of specific access list in switch

DELLSONiC# show ip access-lists <access-list-name>


    Show details of access list and applied interface

DELLSONiC# show ip access-group

     

    Configuration


    アクセス リストを設定しましょう。この発言は、アクセス リストに説明を入れることです。トラフィックには影響しません。
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list DENY-RED
DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED"
DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED"
DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else"
DELLSONiC(config-ipv4-acl)# end
DELLSONiC#



    次に、インターフェイス Eth 1/1 にアクセス リストを適用します。
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in 
DELLSONiC(config-if-Eth1/1)# end
DELLSONiC#

     


    検証

     
    次のコマンドを使用して、アクセス リストの構成を確認します。
     

    DELLSONiC# show ip access-lists 
ip access-list DENY-RED
  remark "DENY IP of RED"
    seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
      remark "DENY RED"
    seq 10 permit ip any any (0 packets) [0 bytes]
      remark "Permit Everything else"
DELLSONiC# 

We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.

    DELLSONiC# show ip access-group 
Ingress IP access-list DENY-RED on Eth1/1
DELLSONiC#

    対象製品

    Enterprise SONiC Distribution, PowerSwitch N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
    文書のプロパティ
    文書番号: 000222478
    文書の種類: How To
    最終更新: 17 7月 2025
    バージョン:  3
    質問に対する他のDellユーザーからの回答を見つける
    サポート サービス
    お使いのデバイスがサポート サービスの対象かどうかを確認してください。