In dit artikel wordt uitgelegd hoe u IPv4 Access Control Lists (ACL's) op Dell Networking N-serie switches implementeert
Het maximum aantal ACL's dat kan worden geconfigureerd voor alle switches van de DELL N-serie is 100 en het maximum aantal 'if'-regels dat per ACL kan worden geconfigureerd is 1023
ACL-configuratie bestaat uit de volgende stappen:
1. Maak een toegangsgroep met gespecificeerde ACL-regels in de volgorde die moet worden uitgevoerd met behulp van het volgnummer. Regels worden uitgevoerd van het laagste naar het hoogste volgnummer
2. Wijs de toegangsgroep toe aan de interface die verondersteld wordt het inkomend en uitgaand verkeer te filteren
Voorbeeld:
Een voorbeeld wordt weergegeven om de functie van ACL's beter te demonstreren. Laten we kijken naar inkomend verkeer op poort gi1/0/10 onderworpen aan ACL die UDP-verkeer blokkeert van netwerk 10.10.10.0 255.255.255.0 dat bestemd is voor het 10.10.20.0 255.255.255.0-subnet, ICMP-pakketten blokkeert van subnet 192.168.1.0 255.255.255.0 bestemd voor elk netwerk, TCP-verkeer weigert dat specifiek is voor het Telnet-protocol van een bepaalde host 172.16.1.10-subnet dat bestemd is voor elk netwerk en registreer de regeltreffers via de console.
1. Toegangsgroep maken
Command |
Doel |
Dell# configure |
Ga naar de globale configuratiemodus |
Dell(config)# ip access-list ACL-TEST |
Maak een toegangsgroep door deze een naam te geven. Hier wordt de toegangsgroep ACL-TEST gemaakt. ACL-namen kunnen letters, cijfers, stippen, koppeltekens of onderstrepingstekens bevatten, maar moeten beginnen met een letter en mogen maximaal 31 tekens lang zijn |
Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log |
Voer de eerste regel in. Controleer of deze het laagste volgnummer heeft. Hier wordt het volgnummer 10 gegeven. Deze regel weigert UDP-verkeer van de 10.10.10.0-subnetbron (volgens de syntaxis wordt het jokermasker 0.0.0.25 ingevoerd) bestemd voor 10.10.10.20. Als de regel overeenkomt met de actie, wordt dit geregistreerd op de console |
Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log |
De tweede regel wordt ingevoerd met volgnummer 20, die ICMP-verkeer weigert van het 192.168.1.0-subnet dat bestemd is voor elk netwerk en registreer als een regeltreffer plaatsvindt |
Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log |
Voer de derde regel in met volgnummer 30 waarmee wordt aangegeven dat alle TCP-verkeer met betrekking tot het Telnet-protocol dat bestemd is voor elk netwerk dat is verbonden met het 172.16.1.0-netwerk en registreer als er een regeltreffer optreedt |
2. De toegangsgroep toepassen op de interface
Opdracht |
Doel |
Dell# configure |
Ga naar de globale configuratiemodus |
Dell(config)# interface gigabitethernet 1/0/10 |
Ga naar de interface-specifieke configuratiemodus |
Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10 |
Pas de toegangsgroep toe op de interface, zodat al het inkomend en uitgaand verkeer wordt onderworpen aan de regels in de toegangsgroep. Als er meer dan één toegangsgroep is, wijs dan volgnummers toe, zodat de toegangsgroepen kunnen worden toegepast in de volgorde van de laagste naar de hoogste volgnummers. Als er geen volgnummer wordt opgegeven, worden volgnummers automatisch toegewezen aan de toegangsgroepen, waarbij de eerst gespecificeerde toegangsgroep de laagste waarde krijgt |
ACL-verficatieopdrachten zijn hieronder weergegeven:
Dell#show ip access-lists
Current number of ACLs: 1 Maximum number of ACLs: 100
ACL Name Rules Interface(s) Direction Count
---------------------------------- -------- ------------------------- ----------------- ------
ACL-TEST 3 Gi1/0/10 Inbound 12
Dell#show ip access-lists ACL-TEST
IP ACL Name: ACL-TEST
Dell#show running-config | begin access
ip access-list ACL-TEST
10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
Als u MAC ACL wilt implementeren, volgt u de koppeling: https://kb.dell.com/infocenter/index?page=content&id=HOW12466