Questo articolo spiega come implementare le IPv4 ACL sugli switch Dell Networking serie N.
Il numero massimo di ACL che è possibile configurare sugli switch DELL serie N è 100, mentre il numero massimo di regole configurabili per ACL è 1023.
La configurazione delle ACL è costituita dai seguenti passaggi:
1. Creare un gruppo di accesso specificando le regole ACL nell'ordine in cui devono essere applicate assegnando loro un numero di sequenza. Le regole vengono applicate dal numero più basso al più alto.
2. Assegnare il gruppo di accesso all'interfaccia che si suppone debba filtrare il traffico in ingresso o in uscita.
Esempio:
Ecco un esempio per dimostrare meglio la funzione delle ACL. Si supponga che il traffico in entrata alla porta gi1/0/10 sia soggetto a una ACL che blocca il traffico udp proveniente dalla rete 10.10.10.0 255.255.255.0 e destinato alla subnet 10.10.20.0 255.255.255.0, blocca i pacchetti icmp provenienti dalla subnet 192.168.1.0 255.255.255.0 e destinati a qualsiasi rete, impedisce il traffico tcp specifico del protocollo telnet proveniente da una subnet 172.16.1.10 di un host particolare e destinato a qualsiasi rete e registra i riscontri delle regole sulla console.
1. Creare un gruppo di accesso.
Comando |
Scopo |
Dell# configure |
Accedere alla modalità di configurazione globale. |
Dell(config)# ip access-list ACL-TEST |
Creare un gruppo di accesso assegnandogli un nome. In questo esempio viene creato il gruppo di accesso ACL-TEST. I nomi delle ACL possono contenere lettere, numeri, punti, trattini o caratteri di sottolineatura, ma devono iniziare con una lettera e devono essere di lunghezza inferiore o uguale a 31 caratteri. |
Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log |
Inserire la prima regola. Assicurarsi che il numero di sequenza sia il più basso (in questo esempio il numero di sequenza assegnato è 10). Questa regola impedisce il traffico udp proveniente alla subnet 10.10.10.0 (in base alla sintassi, viene immessa la mask jolly 0.0.0.25) e destinato alla subnet 10.10.10.20. Se la regola corrisponde all'azione viene registrata sulla console. |
Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log |
La seconda regola viene inserita con il numero di sequenza 20. Impedisce il traffico icpm proveniente dalla subnet 192.168.1.0 e destinato a qualsiasi rete e registra la regola in caso di riscontro. |
Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log |
Inserire la terza regola con il numero di sequenza 30. Specifica di impedire il traffico tcp correlato al protocollo telnet originato dalla rete 172.16.1.0 e destinato a qualsiasi rete e registra la regola se si verifica una corrispondenza. |
2. Applicare il gruppo di accesso all'interfaccia.
Comando |
Scopo |
Dell# configure |
Accedere alla modalità di configurazione globale. |
Dell(config)# interface gigabitethernet 1/0/10 |
Accedere alla modalità di configurazione specifica dell'interfaccia. |
Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10 |
Applicare il gruppo di accesso all'interfaccia, in modo che tutto il traffico in ingresso sia soggetto alle regole contenute nel gruppo di accesso. Se sono presenti più gruppi di accesso, assegnare un numero di sequenza in modo da applicare i gruppi di accesso nell'ordine di sequenza dal numero più basso al più alto. Se non viene specificato alcun numero di sequenza, ai gruppi di accesso viene assegnato automaticamente un numero di sequenza (al primo gruppo di accesso viene assegnato il numero più basso). |
Di seguito sono riportati i comandi per la verifica delle ACL:
Dell#show ip access-lists
Current number of ACLs: 1 Maximum number of ACLs: 100
ACL Name Rules Interface(s) Direction Count
---------------------------------- -------- ------------------------- ----------------- ------
ACL-TEST 3 Gi1/0/10 Inbound 12
Dell#show ip access-lists ACL-TEST
IP ACL Name: ACL-TEST
Dell#show running-config | begin access
ip access-list ACL-TEST
10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
Per implementare una Mac ACL, seguire questo link: https://KB.dell.com/infocenter/index?page=content&ID=HOW12466