메인 콘텐츠로 이동
로그아웃

환영합니다.

내 계정
  • 빠르고 간편하게 주문
  • 주문 보기 및 배송 상태 추적
  • 제품 목록을 생성 및 액세스
  • 회사 관리를 사용하여 Dell EMC 사이트, 제품 및 제품 수준 연락처를 관리하십시오.
로그인 계정 만들기 프리미어 로그인 Partner Program 로그인
문의처

Dell.com 카트

문서 번호: 000120449

Konfigurera IP-ACL på switchar i DELL Networking N-serien

요약: konfigurera ip-åtkomstlistor i dell n-serien

이 문서는 자동으로 번역되었을 수 있습니다. 번역 품질에 대한 의견이 있는 경우 페이지 하단의 양식을 사용해 알려 주시기 바랍니다.

문서 콘텐츠

지침


I den här artikeln beskrivs hur du implementerar IPv4-åtkomstlistor (ACL) på switchar i Dell Networking N-serien
 

 

Innehållsförteckning

  1. Översikt

  2. Konfigurera åtkomstlistor

  3. Kontrollera konfigurationen av åtkomstlistor


 

Översikt

 

  • ACL är en uppsättning regler som tillämpas för att tillåta eller blockera viss trafik av säkerhetsskäl. Åtkomstlistor kan vara av följande typer: IPv4 ACL, IPv6 ACL och MAC ACL.
  • I den här artikeln används IPv4 ACL som exempel. ACL-regler grupperas i åtkomstgrupper och tillämpas på gränssnitten. ACL-regler kan tillämpas på inkommande eller utgående trafik.
  • Sekvensnummer kan tilldelas varje regel i åtkomstlistan vid konfigurationen, de utförs sedan från det lägsta till det högsta sekvensnumret.
  • Om du har konfigurerat flera åtkomstgrupper i ett gränssnitt anger du sekvensnummer för att åtkomstgrupperna ska utföras i ordning från lägsta till högsta. 


 

HOW12391_sv__1icon Om man skapar åtkomstlistor med felaktiga regler leder det till att hanteringstrafiken blockeras.  Användaren förlorar då åtkomsten till switchen. Du bör alltid ha en alternativ åtkomstmetod till switchen med direkt fysisk åtkomst med hjälp av seriekonsolporten.

 

HOW12391_sv__2icon Åtkomstlistor kan tillämpas på dataportar (fysiska gränssnitt, portkanaler och VLAN-gränssnitt) och kan inte tillämpas på out-of-band-portar (OOB).


Det högsta antalet åtkomstlistor som kan konfigureras på switchar i DELL N-serien är 100, och det högsta antalet regler som kan konfigureras per åtkomstlista är 1023

 

Konfigurera åtkomstlistor


Följ dessa steg för att konfigurera en åtkomstlista:


1.  Skapa en åtkomstgrupp och ange ACL-regler i den ordning de ska utföras med hjälp av sekvensnummer. Reglerna utförs från det lägsta till det högsta sekvensnumret
2.  Tillämpa åtkomstgruppen på gränssnittet som ska filtrera inkommande eller utgående trafik

 

Exempel:

I det här exemplet kan vi se hur åtkomstlistor fungerar. Inkommande trafik i port gi1/0/10 som är underställd en åtkomstlista som blockerar UDP-trafiken från nätverket 10.10.10.0 255.255.255.0 som är avsedd för undernätet 10.10.20.0 255.255.255.0 blockerar icmp-paket från undernätet 192.168.1.0 255.255.255.0 som är avsedda för alla nätverk och nekar TCP-trafik som är avsedd för Telnet-protokollet från ett visst värdundernät 172.16.1.10 som är avsedd för alla nätverk och loggar regelträffarna via konsolen.


1.  Skapa åtkomstgrupp

 

Kommando

Syfte

Dell# configure

Gå till det globala konfigurationsläget

Dell(config)# ip access-list ACL-TEST

Skapa åtkomstgruppen genom att ge den ett namn. Här skapas åtkomstgruppen ACL-test.

Namn på åtkomstlistor kan innehålla bokstäver, siffror, punkter, bindestreck eller understreck, men bör börja med en bokstav och vara högst 31 tecken långa

Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log

Ange den första regeln och se till att den har lägst sekvensnummer, här anges sekvensnummer 10. Den här regeln nekar UDP-trafik från källundernätet 10.10.10.0 (enligt syntaxen anges jokertecknet 0.0.0.25) som är avsedd för 10.10.10.20. Om regeln matchas loggas åtgärden i konsolen

Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log

Den andra regeln ges sekvensnummer 20 och nekar icmp-trafik från undernätet 192.168.1.0 som är avsedd för alla nätverk och loggas om regelträff inträffar

Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log

Den tredje regeln ges sekvensnummer 30 och anger att TCP-trafik som är relaterad till Telnet-protokollet till alla nätverk från källnätverket 172.16.1.0 nekas och loggas om regelträff inträffar

   
 

HOW12391_sv__2icon Om inget sekvensnummer anges tilldelar Dell Networking OS (DNOS) automatiskt ett sekvensnummer baserat på ordningen som regeln anger. Den första regeln som anges får lägst sekvensnummer


2.  Tillämpa åtkomstgruppen på gränssnittet
 

Kommando

Syfte

Dell# configure

Gå till det globala konfigurationsläget

Dell(config)# interface gigabitethernet 1/0/10

Öppna det gränssnittsspecifika konfigurationsläget

Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10

Tillämpa åtkomstgruppen på gränssnittet, så att all inkommande eller utgående trafik lyder under reglerna i åtkomstgruppen. Om det finns fler än en åtkomstgrupp anger du sekvensnummer så att åtkomstgrupperna tillämpas i ordning från lägst till högst sekvensnummer. Om inget sekvensnummer anges tilldelas åtkomstgrupperna sekvensnummer automatiskt, den första åtkomstgruppen som anges får det lägsta värdet


 

Kontrollera konfigurationen av åtkomstlistor


Verifieringskommandon för åtkomstlistor anges nedan:

Dell#show ip access-lists

 

Current number of ACLs: 1  Maximum number of ACLs: 100

 

ACL Name                        Rules Interface(s)              Direction Count

---------------------------------- -------- ------------------------- ----------------- ------                                                                                                                                                     

ACL-TEST                           3       Gi1/0/10                  Inbound   12
 

Dell#show ip access-lists ACL-TEST

 

IP ACL Name: ACL-TEST


Inkommande gränssnitt:
Gi1/0/10


Rule Number: 10
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 17(udp)
Source IP Address.............................. 10.10.10.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... 10.10.20.0
Destination IP Mask............................ 0.0.0.255
Log............................................ TRUE
ACL Hit Count.................................. 0

Rule Number: 20
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 1(icmp)
Source IP Address.............................. 192.168.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Log............................................ TRUE
ACL Hit Count.................................. 0

Rule Number: 30
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 6(tcp)
Source IP Address.............................. 172.16.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Destination Layer 4 Operator................... Equal To
Destination L4 Port Keyword.................... 23(telnet)
Log............................................ TRUE
ACL Hit Count.................................. 0

 

 

Dell#show running-config | begin access

 

IP-åtkomstlista ACL-TEST

10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
20 deny icmp 192.168.1.0 0.0.0.255 any log
30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log



Om du vill implementera MAC ACL följer du länken: https://kb.dell.com/infocenter/index?page=content&id=HOW12466

문서 속성

영향을 받는 제품

PowerSwitch N1500 Series, PowerSwitch N2000 Series, PowerSwitch N2100 Series, PowerSwitch N3000 Series, Dell EMC PowerSwitch N3100 Series, PowerSwitch N4000 Series

마지막 게시 날짜

10 4월 2021

버전

6

문서 유형

How To

맨 위로 이동