Настройка списка управления доступом (ACL) для IP на коммутаторах Dell Networking серии N
요약: Настройка списка IP-доступа в Dell серии N
이 문서는 다음에 적용됩니다.
이 문서는 다음에 적용되지 않습니다.
이 문서는 특정 제품과 관련이 없습니다.
모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
지침
В этой статье объясняется, как внедрить списки управления доступом (ACL) для IPv4 на коммутаторах Dell Networking серии N.
Содержание
Обзор
- Список управления доступом (ACL) — это набор правил, применяемых для разрешения или блокировки определенного трафика в целях безопасности. Списки ACL бывают следующих типов: ACL для IPv4-адресов, ACL для IPv6-адресов и ACL для MAC-адресов.
- В этой статье представлен пример ACL для IPv4. Правила ACL группируются для формирования группы доступа и применяются к интерфейсам. Правила ACL можно применять к входящему и исходящему трафику.
- Порядковый номер может быть назначен каждому правилу в списке управления доступом во время настройки и выполняется от самого низкого до самого высокого порядкового номера.
- Если в интерфейсе настроено несколько групп доступа, назначьте последовательный номер так, чтобы группы доступа выполнялись по порядку от самой низкой к самой высокой.
Создание списков управления доступом с неправильными правилами приведет к блокировке трафика управления. При этом пользователь потеряет доступ к коммутатору. Всегда используйте альтернативный способ доступа к коммутатору с прямым физическим доступом через последовательный консольный порт.
Список ACL можно применять к портам данных (физический интерфейс, порт-канал и интерфейс VLAN) и невозможно применять к внеполосному порту (OOB).
Максимальное число списков управления доступом, которые можно настроить на любом коммутаторе DELL серии N, равно 100, а максимальное число (если имеются правила, которые можно настроить для каждого ACL) — 1023
Настройка списков управления доступом
Конфигурация ACL состоит из следующих шагов.
1. Создайте группу доступа, указав правила ACL в порядке выполнения с использованием порядкового номера. Правила выполняются от самого низкого к самому высокому порядковому номеру
2. Назначьте группу доступа интерфейсу, который должен фильтровать входящий или исходящий трафик
Пример:
В качестве наглядного примера демонстрируется работа списков управления доступом (ACL). Рассмотрим следующее. Входящий трафик на порте gi1/0/10 зависит от ACL, который блокирует трафик udp из сети 10.10.10.0 255.255.255.0, предназначенный для подсети 10.10.20.0 255.255.255.0, блокирует пакеты icmp из подсети 192.168.1.0 255.255.255.0, предназначенные для любой сети. Необходимо запретить трафик tcp, специфичный для протокола telnet, из определенной подсети хоста 172.16.1.10, который предназначен для любой сети, а также зарегистрировать совпадения правила через консоль.
1. Создайте группу доступа
| Команда |
Назначение |
| Dell# configure |
Укажите режим глобальной конфигурации |
| Dell(config)# ip access-list ACL-TEST |
Создайте группу доступа, указав ее имя. Здесь создается группа доступа ACL-TEST. Имена ACL могут содержать буквы, цифры, точку, тире или нижнее подчеркивание, но должны начинаться только с буквы и иметь длину не более 31 символа |
| Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log |
Введите первое правило, убедитесь, что оно имеет самый низкий порядковый номер, здесь указан порядковый номер 10. Это правило отклоняет трафик udp из исходной подсети 10.10.10.0 (в соответствии с синтаксисом вводится маска с подстановочным знаком 0.0.0.25), предназначенный для 10.10.10.20. Если правило совпадает с действием, оно регистрируется в консоли |
| Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log |
Второе правило вводится с порядковым номером 20, отклоняет трафик icmp из подсети 192.168.1.0, предназначенной для любой сети, и регистрирует его в случае совпадения правила |
| Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log |
Введите третье правило с порядковым номером 30, которое указывает на отклонение любого трафика tcp, связанного с протоколом telnet, который предназначен для любого сетевого источника из сети 172.16.1.0, и производится регистрация в журнале при обнаружении совпадения правил |
Если порядковый номер не введен, Dell Networking OS (DNOS) автоматически назначает порядковый номер в соответствии с порядком, указанным в правиле. Первое введенное правило назначается с наименьшим порядковым номером
2. Примените группу доступа к интерфейсу
| Команда |
Назначение |
| Dell# configure |
Укажите режим глобальной конфигурации |
| Dell(config)# interface gigabitethernet 1/0/10 |
Вход в режим настройки интерфейса. |
| Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10 |
Примените группу доступа к интерфейсу таким образом, чтобы весь входящий трафик соответствовал правилам, имеющимся в группе доступа. Если имеется несколько групп доступа, назначьте порядковый номер, чтобы группы доступа можно было применить в порядке от наименьшего к наибольшему порядковому номеру. Если порядковый номер не указан, группы доступа автоматически назначаются с помощью порядкового номера. Первая из заданных групп доступа принимает наименьшее значение |
Проверка конфигурации списка управления доступом
Ниже перечислены команды проверки ACL:
Dell#show ip access-lists
Current number of ACLs: 1 Maximum number of ACLs: 100
ACL Name Rules Interface(s) Direction Count
---------------------------------- -------- ------------------------- ----------------- ------
ACL-TEST 3 Gi1/0/10 Inbound 12
Dell#show ip access-lists ACL-TEST
IP ACL Name: ACL-TEST
Inbound Interface(s):
Gi1/0/10
Rule Number: 10
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 17 (udp)
Source IP Address.............................. 10.10.10.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... 10.10.20.0
Destination IP Mask............................ 0.0.0.255
Log............................................ TRUE
ACL Hit Count.................................. 0
Rule Number: 20
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 1 (icmp)
Source IP Address.............................. 192.168.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Log............................................ TRUE
ACL Hit Count.................................. 0
Rule Number: 30
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 6(tcp)
Source IP Address.............................. 172.16.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Destination Layer 4 Operator................... Equal To
Destination L4 Port Keyword.................... 23(telnet)
Log............................................ TRUE
ACL Hit Count.................................. 0
Dell#show running-config | begin access
ip access-list ACL-TEST
10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log20 deny icmp 192.168.1.0 0.0.0.255 any log
30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log
Чтобы внедрить ACL для MAC-адресов, перейдите по ссылке: https://kb.dell.com/infocenter/index?page=content&id=HOW12466
해당 제품
PowerSwitch N1500 Series, PowerSwitch N2000 Series, PowerSwitch N2100 Series, PowerSwitch N3000 Series, Dell EMC PowerSwitch N3100 Series, PowerSwitch N4000 Series문서 속성
문서 번호: 000120449
문서 유형: How To
마지막 수정 시간: 10 4월 2021
버전: 6
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.