本文介绍如何在 Dell Networking N 系列交换机上实施 IPv4 访问控制列表 (ACL)
可以在任何 DELL N 系列交换机上配置的最大 ACL 数为 100,可以为每个 ACL 配置的最大规则数为 1023
ACL 配置包括以下步骤:
1. 创建访问组,按使用序列号执行的顺序指定 ACL 规则。按序列号从小到大的顺序执行规则
2. 将访问组分配到要筛选入口或出口流量的接口
示例:
考虑一个示例,以更好地展示 ACL 的功能。让我们看看受 ACL 管理的端口 gi1/0/10 的传入流量,此 ACL 阻止来自网络 10.10.10.0 255.255.255.0 的被指定给 10.10.20.0 255.255.255.0 子网的 udp 流量,阻止来自子网 192.168.1.0 255.255.255.0 的被指定给任何网络的 icmp 数据包,拒绝来自特殊主机 172.16.1.10 子网的特定于远程登录协议且被指定给任何网络的 tcp 流量,并将规则匹配记录在控制台上。
1. 创建访问组
命令 |
用途 |
Dell# configure |
进入全局配置模式 |
Dell(config)# ip access-list ACL-TEST |
通过为其提供名称来创建访问组。此处的访问组 ACL-TEST 已创建。 ACL 名称可以包含字母、数字、点、连字符或下划线,但仅应以字母开头,并且长度应小于或等于 31 个字符 |
Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log |
输入第一个规则,确保其具有最小序列号,此处提供的序列号为 10。此规则会拒绝来自源 10.10.10.0 子网的被指定给 10.10.10.20 的 udp 流量(根据语法,输入了通配符掩码 0.0.0.25)。如果规则匹配,将在控制台上记录操作 |
Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log |
通过序列号 20 输入第二条规则,拒绝来自 192.168.1.0 子网的指定给任何网络的 icmp 流量,并在规则匹配时进行记录 |
Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log |
使用序列号 30 输入第三个规则,拒绝任何与远程登录协议相关的来自 172.16.1.0 网络且指定给任何网络的任何 tcp 流量,并在任何规则匹配时进行记录 |
2. 将访问组应用到接口
命令 |
用途 |
Dell# configure |
进入全局配置模式 |
Dell(config)# interface gigabitethernet 1/0/10 |
输入接口特定的配置模式 |
Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10 |
将访问组应用到接口,以便使所有入站或传入流量均受访问组中的规则管理。如果有多个访问组,则分配序列号,以便可以按序列号从小到大的顺序应用访问组。如果未指定序列号,则将使用序列号自动分配访问组,第一个指定的访问组将获得最小值 |
下面列出了 ACL 验证命令:
Dell#show ip access-lists
Current number of ACLs: 1 Maximum number of ACLs: 100
ACL Name Rules Interface(s) Direction Count
---------------------------------- -------- ------------------------- ----------------- ------
ACL-TEST 3 Gi1/0/10 Inbound 12
Dell#show ip access-lists ACL-TEST
IP ACL Name: ACL-TEST
Dell#show running-config | begin access
ip access-list ACL-TEST
10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
要实施 MAC ACL,请参考以下链接:https://kb.dell.com/infocenter/index?page=content&id=HOW12466