Dell Networking SONiC 基本访问列表的示例配置

摘要: 本文通过一个示例介绍如何配置基本访问控制列表 (ACL) 以阻止流向 Dell Networking SONiC 中特定子网的流量。

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

 

前提条件

我们使用标准接口命名来演示概念。请参阅文章 Dell Networking S 系列:基本接口配置 - SONiC 4.0 ,了解有关接口命名的更多信息 


 


索引


目标
拓扑学
命令语法
配置
验证

 

目标


在本文中,我们将演示访问列表的基本应用。假设我们有两个服务器场,即绿色和红色。
我们必须拒绝从 10.0.0.0/24 子网进入以太网 1/1 接口的流量访问 RED (50.0.0.0/24)。应允许所有其他流量。

 

拓扑学

拓扑学


 

命令语法


IPv4 访问列表的配置语法 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description]


当数据包与 L3 IPv4 访问列表中的语句匹配时,将执行以下作之一:

  • Permit— 数据包在数据平面中转发。数据包被计数。
  • 拒绝 — 数据包被丢弃到数据平面中。数据包被计数。
  • 中转 — 数据包在数据平面中转发。数据包不计算在内。
  • 丢弃 — 数据包被丢弃在数据平面中。数据包不计算在内。



在接口下应用访问列表
 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out}

 

提醒:

配置访问列表时需要记住的一些关键点。为了简洁起见,我们将使用 ACL 术语作为访问列表的缩写形式。

  • 备注是对访问列表进行描述。它对流量没有影响。
  • 访问列表不会过滤发往交换机的流量,如环回 IP 地址、接口 IP 地址、Vlan IP 地址。
  • 全局 ACL(未分配给特定接口的 ACL)过滤交换机接口上桥接或路由的所有流量。全局 ACL 支持 MAC、IPv4 和 IPv6 规则。
  • 在以太网或端口通道接口上应用的 ACL 会处理 L2 和 L3 数据包,以根据 ACL 中的允许或拒绝标准确定转发还是丢弃数据包。
  • 应用于 VLAN 的 ACL 会过滤在同一 VLAN 内桥接或路由进出 VLAN 的所有流量。将 VLAN ACL 应用于桥接和路由流量。VLAN ACL 支持 MAC、IPv4 和 IPv6 ACL。
  • ACL 按从第一个条目到最后一个编号条目的顺序进行处理。找到匹配项时,不会执行进一步的 ACL 处理。
  • 默认情况下,所有 L2 MAC、IPv4 和 IPv6 ACL 的末尾都包含拒绝任何规则。拒绝任何规则会丢弃与前面的流量不匹配的所有流量,允许或拒绝 ACL 中的条目。
  • 在 ACL 末尾添加允许 任何 any 规则,以允许未被其他条件拒绝的所有数据包。


    使用以下命令验证访问列表配置。
     

    Show details of all access list in switch

DELLSONiC# show ip access-lists 


    Show details of specific access list in switch

DELLSONiC# show ip access-lists <access-list-name>


    Show details of access list and applied interface

DELLSONiC# show ip access-group

     

    配置


    我们来配置访问列表。备注是对访问列表进行描述。它对流量没有影响。
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list DENY-RED
DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED"
DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED"
DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else"
DELLSONiC(config-ipv4-acl)# end
DELLSONiC#



    现在,让我们在接口 Eth 1/1 下应用访问列表。
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in 
DELLSONiC(config-if-Eth1/1)# end
DELLSONiC#

     


    验证

     
    使用以下命令验证访问列表配置。
     

    DELLSONiC# show ip access-lists 
ip access-list DENY-RED
  remark "DENY IP of RED"
    seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
      remark "DENY RED"
    seq 10 permit ip any any (0 packets) [0 bytes]
      remark "Permit Everything else"
DELLSONiC# 

We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.

    DELLSONiC# show ip access-group 
Ingress IP access-list DENY-RED on Eth1/1
DELLSONiC#

    受影响的产品

    Enterprise SONiC Distribution, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
    文章属性
    文章编号: 000222478
    文章类型: How To
    上次修改时间: 17 7月 2025
    版本:  3
    从其他戴尔用户那里查找问题的答案
    支持服务
    检查您的设备是否在支持服务涵盖的范围内。