基本存取清單的 Dell Networking SONiC 組態範例

摘要: 本文透過範例說明如何設定基本存取控制清單 (ACL),以封鎖流向 Dell Networking SONiC 中特定子網路的流量。

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

說明

 

先決條件

我們使用標準介面命名來演示概念。請參閱文章 Dell Networking S 系列:基本介面組態 - SONiC 4.0 ,以取得有關介面命名的詳細資訊 


 


索引


目標
拓樸
命令語法
組態


 

目的


我們將在本文中演示訪問清單的基本應用。假設我們有兩個伺服器場,即綠色和紅色。
我們必須允許從 10.0.0.0/24 子網進入 Eth 1/1 介面的流量拒絕訪問 RED (50.0.0.0/24)。應允許所有其他流量。

 

拓樸

拓樸


 

命令語法


IPv4 存取清單的組態語法 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list {access-list-name}
DELLSONiC(conf-ipv4-acl)# seq {1-65535} {permit | deny | discard |transit | remark description } {ip | ip-protocol} {any | host source-ip-address [/source-ip-prefix-len]} {any | host dest-ip-address [/dest-ip-prefix-len]} [remark description]


當資料包與 L3 IPv4 存取清單中的語句匹配時,將執行以下操作之一:

  • 允許 — 數據包在數據平面中轉發。對數據包進行計數。
  • 拒絕 — 資料包在數據平面中被丟棄。對數據包進行計數。
  • 傳輸 — 數據包在數據平面中轉發。不計算數據包。
  • 丟棄 — 數據包在數據平面中丟棄。不計算數據包。



套用介面下的存取清單
 

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface {interface}
DELLSONiC(config-if-XXXX# ip access-group {access-lsit} {in/out}

 

注意:

配置訪問清單時要記住的一些要點。為簡潔起見,我們會使用 ACL 術語作為 Access 清單的縮寫形式。

  • 備註是將說明放入存取清單。它對流量沒有影響。
  • 存取清單不會篩選發往交換器的流量,例如迴路 IP 位址、介面 IP 位址、Vlan IP 位址等
  • 全域 ACL(未分配給一個或多個特定介面的 ACL)可過濾交換機介面上橋接或路由的所有資訊流。全域 ACL 支援 MAC、IPv4 和 IPv6 規則。
  • 應用於乙太網或埠通道介面的 ACL 處理 L2 和 L3 數據包,以根據 ACL 中的允許或拒絕標準確定是轉發還是丟棄數據包。
  • 應用於 VLAN 的 ACL 會過濾在同一 VLAN 中橋接的所有流量,或者路由進出 VLAN 的所有流量。將 VLAN ACL 應用於橋接和路由流量。VLAN ACL 支援 MAC、IPv4 和 IPv6 ACL。
  • ACL 按從第一個條目到最後一個編號條目的順序進行處理。找到匹配項時,不會執行進一步的 ACL 處理。
  • 根據預設,所有 L2 MAC、IPv4 和 IPv6 ACL 的結尾都會包含拒絕任何規則。拒絕任何規則會丟棄與 ACL 中前面的允許或拒絕條目不匹配的所有流量。
  • 在 ACL 的末尾添加允許 任何規則 ,以允許其他條件未拒絕的所有數據包。


    使用下列命令驗證存取清單組態。
     

    Show details of all access list in switch

DELLSONiC# show ip access-lists 


    Show details of specific access list in switch

DELLSONiC# show ip access-lists <access-list-name>


    Show details of access list and applied interface

DELLSONiC# show ip access-group

     

    組態


    讓我們來設定存取清單備註是將說明放入存取清單。它對流量沒有影響。
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ip access-list DENY-RED
DELLSONiC(config-ipv4-acl)# remark "DENY IP of RED"
DELLSONiC(config-ipv4-acl)# seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 remark "DENY RED"
DELLSONiC(config-ipv4-acl)# seq 10 permit ip any any remark "Permit Everything else"
DELLSONiC(config-ipv4-acl)# end
DELLSONiC#



    現在讓我們在介面 Eth 1/1 下套用存取清單
     

    admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip access-group DENY-RED in 
DELLSONiC(config-if-Eth1/1)# end
DELLSONiC#

     


    確認

     
    使用以下命令驗證存取清單組態。
     

    DELLSONiC# show ip access-lists 
ip access-list DENY-RED
  remark "DENY IP of RED"
    seq 1 deny ip 10.0.0.0/24 50.0.0.0/24 (332 packets) [33864 bytes]
      remark "DENY RED"
    seq 10 permit ip any any (0 packets) [0 bytes]
      remark "Permit Everything else"
DELLSONiC# 

We can see the packets/bytes is counted when a condition is matched when deny is configured. If we had configured discard, the counters will not increment.

    DELLSONiC# show ip access-group 
Ingress IP access-list DENY-RED on Eth1/1
DELLSONiC#

    受影響的產品

    Enterprise SONiC Distribution, PowerSwitch N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
    文章屬性
    文章編號: 000222478
    文章類型: How To
    上次修改時間: 17 7月 2025
    版本:  3
    向其他 Dell 使用者尋求您問題的答案
    支援服務
    檢查您的裝置是否在支援服務的涵蓋範圍內。