메인 콘텐츠로 이동
로그아웃

환영합니다.

내 계정
  • 빠르고 간편하게 주문
  • 주문 보기 및 배송 상태 추적
  • 제품 목록을 생성 및 액세스
  • 회사 관리를 사용하여 Dell EMC 사이트, 제품 및 제품 수준 연락처를 관리하십시오.
로그인 계정 만들기 프리미어 로그인 Partner Program 로그인
문의처

Dell.com 카트

문서 번호: 000120449

Konfigurowanie listy ACL IP w przełącznikach sieciowych serii N firmy DELL

요약: konfigurowanie listy dostępu IP na przełącznikach sieciowych serii n firmy dell

이 문서는 자동으로 번역되었을 수 있습니다. 번역 품질에 대한 의견이 있는 경우 페이지 하단의 양식을 사용해 알려 주시기 바랍니다.

문서 콘텐츠

지침


W tym artykule opisano wdrażanie list kontroli dostępu ACL protokołu IPv4 w przełącznikach sieciowych serii N firmy Dell
 

 

Spis treści

  1. Omówienie

  2. Konfigurowanie list kontroli dostępu

  3. Weryfikowanie konfiguracji list kontroli dostępu


 

Omówienie

 

  • Lista ACL to zestaw reguł stosowanych w celu dopuszczania lub blokowania określonego ruchu ze względów bezpieczeństwa. Listy ACL dzielą się na następujące typy: ACL IPv4, ACL IPv6 i ACL MAC.
  • W tym artykule jako przykładu użyto listy ACL IPv4. Reguły list ACL są pogrupowane w grupy dostępu i są stosowane do interfejsów. Reguły list ACL mogą być stosowane do ruchu przychodzącego i wychodzącego.
  • Do każdej reguły na liście ACL w czasie konfiguracji może zostać przypisany kolejny numer, a reguły są wykonywane od najniższego do najwyższego numeru.
  • Jeśli w interfejsie skonfigurowano wiele grup dostępu, należy przypisać kolejny numer tak, aby grupy dostępu były wykonywane w kolejności od najniższej do najwyższej. 


 

HOW12391_pl__1icon Utworzenie list ACL z nieprawidłowymi regułami prowadzi do blokady zarządzania ruchem.  Użytkownik utraci dostęp do przełącznika. Zawsze należy przygotować alternatywną metodę dostępu do przełącznika, z fizyczną metodą podłączenia przy użyciu portu szeregowego konsoli.

 

HOW12391_pl__2icon Lista ACL może być stosowana do portów danych (interfejsu fizycznego, kanału portu i interfejsu VLAN) i nie może być stosowana do portu pozapasmowego (OOB).


Maksymalna liczba list kontroli dostępu, jakie można skonfigurować na dowolnych przełącznikach serii N firmy DELL wynosi 100, a maksymalna liczba reguł, które można skonfigurować na liście ACL, to 1023.

 

Konfigurowanie list kontroli dostępu


Konfiguracja list ACL składa się z następujących kroków:


1.  Utwórz grupę dostępu określającą reguły listy ACL do wykonania przy użyciu kolejnego numeru. Reguły są wykonywane od najniższego do najwyższego kolejnego numeru
2.  Przypisz grupę dostępu do interfejsu, który ma filtrować ruch przychodzący lub wychodzący

 

Przykład:

Oto przykład, który może lepiej zademonstrować działanie list ACL. Załóżmy, że ruch przychodzący na porcie gi1/0/10 podlega liście ACL, która blokuje ruch UDP z sieci 10.10.10.0 255.255.255.0 przeznaczony do podsieci 10.10.20.0 255.255.255.0, blokuje pakiety ICMP z podsieci 192.168.1.0 255.255.255.0 do dowolnej sieci, odrzuca ruch TCP specyficzny dla protokołu Telnet z określonej podsieci hosta 172.16.1.10 przeznaczony dla dowolnej sieci i rejestruje przypadku spełnienia reguł przy użyciu konsoli.


1.  Utwórz grupę dostępu

 

Polecenie

Zastosowanie

Dell# configure

Przejdź do trybu globalnej konfiguracji

Dell(config)# ip access-list ACL-TEST

Utwórz grupę dostępu, nadając jej nazwę. W tym przykładzie tworzona jest grupa dostępu ACL-TEST.

Nazwy list ACL mogą zawierać litery, cyfry, kropki, myślniki lub znaki podkreślenia, ale powinny rozpoczynać się od litery i nie mogą zawierać więcej niż 31 znaków.

Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log

Wpisz pierwszą regułę, aby upewnić się, że ma najniższy numer kolejny, w tym przykładzie nadano liście numer 10. Ta reguła odrzuca ruch UDP ze źródłowej podsieci 10.10.10.0 (zgodnie ze składnią, wprowadzono maskę wieloznaczną 0.0.0.25) kierowany na adres 10.10.10.20. Jeśli reguła jest zgodna z działaniem, zostanie ona zarejestrowana w konsoli.

Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log

Druga reguła jest wprowadzona z numerem 20. Odrzuca ruch ICMP z podsieci 192.168.1.0 do dowolnej sieci i rejestruje przypadki spełnienia reguły.

Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log

Wprowadź trzecią regułę z numerem 30, określającą odrzucanie jakiegokolwiek ruchu TCP związanego z protokołem Telnet przeznaczonego do dowolnej sieci pochodzącej z sieci 172.16.1.0 rejestrowanie wszelkich przypadków spełnienia reguły.

   
 

HOW12391_pl__2icon Jeśli numer kolejny nie zostanie przypisany, system Dell Networking OS (DNOS) automatycznie przypisuje numer kolejny, na podstawie kolejności wprowadzania reguł. Pierwsza wprowadzona reguła otrzymuje najniższy numer kolejny.


2.  Zastosuj grupę dostępu do interfejsu
 

Polecenie

Zastosowanie

Dell# configure

Przejdź do trybu globalnej konfiguracji

Dell(config)# interface gigabitethernet 1/0/10

Przejdź do trybu konfiguracji dla konkretnego interfejsu

Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10

Zastosuj grupę dostępu do interfejsu, tak aby cały ruch wychodzący lub przychodzący podlegał regułom w grupie dostępu. Jeśli istnieje więcej niż jedna grupa dostępu, przypisz jej numer kolejny, tak aby grupy dostępu mogły być stosowane w kolejności od najniższego do najwyższego numeru. Jeśli nie zostanie określony numer kolejny, grupy dostępu otrzymują numery automatycznie — pierwsza określona grupa otrzymuje najniższy numer


 

Weryfikowanie konfiguracji list kontroli dostępu


Poniżej podano polecenia weryfikacji listy ACL:

Dell#show ip access-lists

 

Current number of ACLs: 1  Maximum number of ACLs: 100

 

ACL Name                        Rules Interface(s)              Direction Count

---------------------------------- -------- ------------------------- ----------------- ------                                                                                                                                                     

ACL-TEST                           3       Gi1/0/10                  Inbound   12
 

Dell#show ip access-lists ACL-TEST

 

IP ACL Name: ACL-TEST


Interfejsy wejściowe:
Gi1/0/10


Rule Number: 10
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 17(udp)
Source IP Address.............................. 10.10.10.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... 10.10.20.0
Destination IP Mask............................ 0.0.0.255
Log............................................ TRUE
ACL Hit Count.................................. 0

Rule Number: 20
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 1(icmp)
Source IP Address.............................. 192.168.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Log............................................ TRUE
ACL Hit Count.................................. 0

Rule Number: 30
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 6(tcp)
Source IP Address.............................. 172.16.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Destination Layer 4 Operator................... Equal To
Destination L4 Port Keyword.................... 23(telnet)
Log............................................ TRUE
ACL Hit Count.................................. 0

 

 

Dell#show running-config | begin access

 

ip access-list ACL-TEST

10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
20 deny icmp 192.168.1.0 0.0.0.255 any log
30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log



Aby zaimplementować listę ACL MAC, kliknij poniższe łącze: https://kb.dell.com/infocenter/index?page=content&id=HOW12466

문서 속성

영향을 받는 제품

PowerSwitch N1500 Series, PowerSwitch N2000 Series, PowerSwitch N2100 Series, PowerSwitch N3000 Series, Dell EMC PowerSwitch N3100 Series, PowerSwitch N4000 Series

마지막 게시 날짜

10 4월 2021

버전

6

문서 유형

How To

맨 위로 이동