In diesem Artikel wird erläutert, wie IPv4-Zugriffssteuerungslisten (Access Control Lists, ACL) auf Switches der Dell Networking N-Serie implementiert werden
Die maximale Anzahl von ACLs, die für alle Switches der DELL N-Serie konfiguriert werden können, beträgt 100, und die maximale Anzahl von Regeln, die pro ACL konfiguriert werden können, beträgt 1023.
Die ACL-Konfiguration besteht aus den folgenden Schritten:
1. Erstellen von Zugriffsgruppen durch Festlegen von ACL-Regeln in der Reihenfolge, in der sie mithilfe der Sequenznummer ausgeführt werden sollen. Regeln werden von der niedrigsten bis zur höchsten Sequenznummer ausgeführt.
2. Weisen Sie die Zugriffsgruppe der Schnittstelle zu, die eingehenden oder ausgehenden Datenverkehr filtern soll.
Beispiel:
Ein Beispiel soll die Funktion von ACLs besser veranschaulichen. Angenommen, der eingehende Datenverkehr am Port gi1/0/10 unterliegt einer ACL, die den UDP-Datenverkehr vom Netzwerk 10.10.10.0 255.255.255.0 zum Subnetz 10.10.20.0 255.255.255.0 und die ICMP-Pakete vom Subnetz 192.168.1.0 255.255.255.0 zu einem beliebigen Netzwerk blockiert, den für das Telnet-Protokoll spezifischen TCP-Verkehr von dem bestimmten Host-Subnetz 172.16.1.10, der für ein beliebiges Netzwerk bestimmt ist, verweigert und die Regel-Treffer über die Konsole protokolliert.
1. Erstellen einer Zugriffsgruppe
Befehl |
Zweck |
Dell# configure |
Rufen Sie den globalen Konfigurationsmodus auf. |
Dell(config)# ip access-list ACL-TEST |
Erstellen Sie eine Zugriffsgruppe, indem Sie Ihr einen Namen geben. Hier wird die Zugriffsgruppe ACL-TEST erstellt. ACL-Namen können Buchstaben, Zahlen, Punkte, Bindestriche oder Unterstriche enthalten, dürfen jedoch nur mit Buchstaben beginnen und dürfen nicht länger als 31 Zeichen sein. |
Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log |
Geben Sie die erste Regel ein und vergewissern Sie sich, dass sie die niedrigste Sequenznummer hat. Hier wird die Sequenznummer 10 angegeben. Diese Regel verweigert UDP-Verkehr vom Quell-Subnetz 10.10.10.0 (gemäß der Syntax wird die Platzhaltermaske 0.0.0.25 eingegeben), der für 10.10.10.20 bestimmt ist. Wenn die Regel erfüllt ist, wird die Aktion in der Konsole protokolliert. |
Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log |
Die zweite Regel wird mit der Sequenznummer 20 eingegeben. Sie verweigert den ICMP-Verkehr aus dem Subnetz 192.168.1.0, der für ein beliebiges Netzwerk bestimmt ist, und protokolliert, wenn die Regel erfüllt wurde. |
Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log |
Geben Sie die dritte Regel mit der Sequenznummer 30 ein, die angibt, dass jeglicher TCP-Verkehr im Zusammenhang mit dem Telnet-Protokoll, der für ein Netzwerk aus 172.16.1.0 bestimmt ist, verweigert und protokolliert werden soll, wenn die Regel erfüllt wurde. |
2. Anwenden der Zugriffsgruppe auf die Schnittstelle
Befehl |
Zweck |
Dell# configure |
Rufen Sie den globalen Konfigurationsmodus auf. |
Dell(config)# interface gigabitethernet 1/0/10 |
Wechseln Sie zum benutzeroberflächenspezifischen Konfigurationsmodus. |
Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10 |
Wenden Sie die Zugriffsgruppe auf die Schnittstelle an, sodass der gesamte eingehende Datenverkehr (Ingress) den Regeln in der Zugriffsgruppe unterworfen ist. Wenn mehr als eine Zugriffsgruppe vorhanden ist, weisen Sie eine Sequenznummer zu, sodass die Zugriffsgruppen in der Reihenfolge der niedrigsten bis zur höchsten Sequenznummer angewendet werden können. Wenn keine Sequenznummer angegeben wird, werden den Zugriffsgruppen automatisch Sequenznummern zugewiesen, die erste Zugriffsgruppe hat den niedrigsten Wert. |
Unten aufgeführte ACL-Überprüfungsbefehle:
Dell#show ip access-lists
Aktuelle Anzahl von ACLs: 1 Maximale Anzahl von ACLs: 100
ACL Name Rules Interface(s) Direction Count
---------------------------------- -------- ------------------------- ----------------- ------
ACL-TEST 3 Gi1/0/10 Inbound 12
Dell#show ip access-lists ACL-TEST
IP ACL Name: ACL-TEST
Dell#show running-config | begin access
ip access-list ACL-TEST
10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
Um MAC ACL zu implementieren, folgen Sie bitte dem Link: https://kb.dell.com/infocenter/index?page=content&id=HOW12466