Configuration des ACL d’IP dans les commutateurs DELL Networking série N
요약: configuration de la liste d’accès ip dans les commutateurs dell série n
이 문서는 다음에 적용됩니다.
이 문서는 다음에 적용되지 않습니다.
이 문서는 특정 제품과 관련이 없습니다.
모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
지침
Cet article explique comment mettre en œuvre les listes de contrôle d’accès (ACL) IPv4 sur les commutateurs Dell Networking série N.
Sommaire
Présentation
- L’ACL est un ensemble de règles, appliquées pour autoriser ou bloquer le trafic pour des raisons de sécurité. Les différents types d’ACL sont les suivants : ACL IPv4, ACL IPv6 et ACL MAC.
- Cet article illustre les ACL IPv4. Les règles ACL sont regroupées pour former un groupe d’accès et sont appliquées aux interfaces. Les règles ACL peuvent être appliquées à un trafic entrant ou sortant.
- Un numéro de séquence peut être attribué à chaque règle de l’ACL au moment de la configuration et ces numéros sont exécutés du plus bas au plus élevé.
- Si vous disposez de plusieurs groupes d’accès configurés sur une interface, attribuez un numéro de séquence de façon à ce que les groupes d’accès soient exécutés dans l’ordre, du numéro le plus bas au numéro le plus élevé.
Si vous créez des ACL avec une ou plusieurs règles incorrectes, cela entraîne des blocages de trafic de gestion. L’utilisateur ne pourra pas donc accéder au commutateur. Vous devriez toujours disposer d’une autre méthode d’accès pour le commutateur, avec un accès physique direct à l’aide du port de la console série.
L’ACL peut être appliquée aux ports de données (interface physique, canal de port et interface VLAN) et ne peut pas être appliquée au port hors bande (OOB).
Le nombre maximal d’ACL pouvant être configurées sur les commutateurs DELL série N est de 100 et le nombre maximal de règles qui peuvent être configurées par ACL est de 1023.
Configuration des listes de contrôle d’accès
La configuration des ACL s’effectue comme suit :
1. Créez un groupe d’accès spécifiant les règles ACL dans la commande à exécuter, à l’aide du numéro de séquence. Les règles sont exécutées du numéro de séquence le plus bas vers le plus élevé.
2. Attribuez le groupe d’accès à l’interface censée filtrer le trafic entrant ou sortant.
Exemple :
Il est plus aisé de montrer comment fonctionnent les ACL avec un exemple. Supposons que le trafic entrant sur le port GI1/0/10, soumis à une ACL qui bloque le trafic udp du réseau 10.10.10.0 255.255.255.0 destiné au sous-réseau 10.10.20.0 255.255.255.0, bloque les paquets icmp du sous-réseau 192.168.1.0 255.255.255.0 qui est destiné à n’importe quel réseau. Refusez le trafic tcp spécifique au protocole Telnet à partir du sous-réseau hôte spécifique 172.16.1.10 destiné à n’importe quel réseau, et consignez les correspondances de règles sur la console.
1. Créez un groupe d’accès.
| Commande |
Objectif |
| Dell# configure |
Indiquez le mode de configuration globale. |
| Dell(config)# ip access-list ACL-TEST |
Créez un groupe d’accès en lui attribuant un nom. Ici, nous avons créé le groupe d’accès ACL-TEST. Les noms des ACL peuvent contenir des lettres, des chiffres, des points, des tirets et des traits de soulignement, mais ils doivent commencer par une lettre uniquement et contenir 31 caractères ou moins. |
| Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log |
Saisissez la première règle et assurez-vous qu’elle possède le numéro de séquence le plus bas, ici le numéro de séquence 10 est indiqué. Cette règle refuse le trafic udp du sous-réseau source 10.10.10.0 (selon la syntaxe, le masque de caractères génériques 0.0.0.25 est saisi) destiné à 10.10.10.20. Si la règle correspond, l’action est consignée sur la console. |
| Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log |
La deuxième règle est saisie avec le numéro de séquence 20, refuse le trafic icmp vers le sous-réseau 192.168.1.0 destiné à n’importe quel réseau et consigne l’action si la règle est respectée. |
| Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log |
La troisième règle portant le numéro de séquence 30 spécifie le rejet du trafic tcp lié au protocole Telnet, destiné à n’importe quel réseau provenant du réseau 172.16.1.0, et consigne l’action si la règle correspond. |
Si vous ne saisissez aucun numéro de séquence, Dell Networking OS (DNOS) attribue automatiquement un numéro de séquence, en fonction de l’ordre de la règle saisie. La première règle saisie se voit attribuer le numéro de séquence le plus bas.
2. Appliquez le groupe d’accès à l’interface
| Commande |
Objectif |
| Dell# configure |
Indiquez le mode de configuration globale. |
| Dell(config)# interface gigabitethernet 1/0/10 |
Accéder au mode de configuration spécifique de l’interface |
| Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10 |
Appliquez le groupe d’accès à l’interface, de sorte que tous les trafics entrants ou entrants soient soumis aux règles du groupe d’accès. S’il existe plusieurs groupes d’accès, attribuez un numéro de séquence afin que les groupes d’accès puissent être appliqués dans l’ordre des numéros de séquence, du plus bas au plus élevé. Si vous ne spécifiez aucun numéro de séquence, les groupes d’accès se voient automatiquement attribuer un numéro de séquence, et le groupe d’accès spécifié se voit attribuer la valeur la plus basse. |
Vérification de la configuration de la liste de contrôle d’accès
Commandes de vérification ACL énumérées ci-dessous :
Dell#show ip access-lists
Current number of ACLs: 1 Maximum number of ACLs: 100
ACL Name Rules Interface(s) Direction Count
---------------------------------- -------- ------------------------- ----------------- ------
ACL-TEST 3 Gi1/0/10 Inbound 12
Dell#show ip access-lists ACL-TEST
IP ACL Name: ACL-TEST
Inbound Interface(s):
Gi1/0/10
Rule Number: 10
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 17(udp)
Source IP Address.............................. 10.10.10.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... 10.10.20.0
Destination IP Mask............................ 0.0.0.255
Log............................................ TRUE
ACL Hit Count.................................. 0
Rule Number: 20
Action......................................... deny
Match All...................................... ERREUR
Protocol....................................... 1(icmp)
Source IP Address.............................. 192.168.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Log............................................ VRAI
ACL Hit Count.................................. 0
Rule Number: 30
Action......................................... deny
Match All...................................... ERREUR
Protocol....................................... 6(tcp)
Source IP Address.............................. 172.16.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Destination Layer 4 Operator................... Égal(e) à
Destination L4 Port Keyword.................... 23(telnet)
Log............................................ VRAI
ACL Hit Count.................................. 0
Dell#show running-config | begin access
ip access-list ACL-TEST
10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log20 deny icmp 192.168.1.0 0.0.0.255 any log
30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log
Pour mettre en œuvre l’ACL MAC, veuillez suivre le lien suivant : https://kb.dell.com/infocenter/index?page=content&id=HOW12466
해당 제품
PowerSwitch N1500 Series, PowerSwitch N2000 Series, PowerSwitch N2100 Series, PowerSwitch N3000 Series, Dell EMC PowerSwitch N3100 Series, PowerSwitch N4000 Series문서 속성
문서 번호: 000120449
문서 유형: How To
마지막 수정 시간: 10 4월 2021
버전: 6
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.