Tento článek vysvětluje, jak v přepínačích Dell Networking řady N implementovat seznamy řízení přístupů (ACL) protokolu IPv4.
Maximální počet seznamů řízení přístupů, který lze nakonfigurovat v kterýchkoliv přepínačích DELL řady N, je 100 a maximální počet pravidel, která lze nakonfigurovat na každý seznam řízení přístupů, je 1 023.
Konfigurace seznamu řízení přístupů zahrnuje následující kroky:
1. Vytvořte skupinu přístupu tak, že specifikujete pravidla seznamu řízení přístupů v pořadí, v němž mají být pomocí pořadového čísla prováděny. Pravidla se provádějí od nejnižšího po nejvyšší pořadové číslo.
2. Přiřaďte skupinu přístupu k rozhraní, které filtruje vstupní či výstupní provoz.
Například:
Abyste lépe porozuměli funkci seznamů řízení přístupů, uvádíme příklad. Představme si, že příchozí provoz na portu gi1/0/10 podléhající seznamu ACL, který blokuje provoz udp ze sítě 10.10.10.0 255.255.255.0 cílený na podsíť 10.10.20.0 255.255.255.0, zablokuje pakety ickmp z podsítě 192.168.1.0 255.255.255.0 určené pro jakoukoliv síť, odepře provoz tcp, který je specifický pro protokol Telnet z určité hostitelské podsítě 172.16.1.10 určené pro jakoukoliv síť, a zaprotokoluje do konzole shody s pravidlem.
1. Vytvořte skupinu přístupu.
Příkaz |
Účel |
Dell# configure |
Vstup do režimu globální konfigurace |
Dell(config)# ip access-list ACL-TEST |
Vytvoří skupinu přístupu tím, že ji pojmenujete. Zde se vytvoří skupina přístupu ACL-TEST. Názvy seznamů řízení přístupů mohou obsahovat písmena, čísla, tečku, pomlčku nebo podtržítko, měly by však začínat pouze písmenem a obsahovat maximálně 31 znaků. |
Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log |
Zadejte první pravidlo a ujistěte se, že má nejnižší pořadové číslo. Zde je uvedeno pořadové číslo 10. Toto pravidlo odpírá provoz udp ze zdrojové podsítě 10.10.10.0 (podle syntaxe je zadána maska zástupného znaku 0.0.0.25) určený do 10.10.10.20. Pokud pravidlo odpovídá, úkon je zaprotokolován do konzole. |
Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log |
Druhé pravidlo se zadává s pořadovým číslem 20, blokuje provoz icmp z podsítě 192.168.1.0 určený do libovolné sítě, a pokud dojde ke shodě s pravidlem, úkon se zaprotokoluje. |
Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log |
Zadejte třetí pravidlo s pořadovým číslem 30, které blokuje provoz tcp souvisejícího s protokolem Telnet určený do jakékoliv sítě, který pochází ze sítě 172.16.1.0, a v případě shody s pravidlem úkon zaprotokoluje. |
2. Použijte skupiny přístupu na rozhraní.
Příkaz |
Účel |
Dell# configure |
Vstup do režimu globální konfigurace |
Dell(config)# interface gigabitethernet 1/0/10 |
Vstup do režimu konfigurace specifického rozhraní. |
Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10 |
Skupinu přístupu použijte v rozhraní tak, aby veškerý vstupní nebo příchozí provoz byl vystaven pravidlům ve skupině přístupu. Pokud máte k dispozici více než jednu skupinu přístupu, přiřaďte pořadové číslo tak, aby bylo možné skupiny přístupu použít v pořadí od nejnižšího po nejvyšší pořadové číslo. Pokud nezadáte žádné pořadové číslo, dojde k jejich automatickému přiřazení ke skupinám přístupu, přičemž první zadaná skupina přístupu dostane nejnižší číslo. |
Níže jsou uvedené příkazy ověření seznamu řízení přístupů:
Dell#show ip access-lists
Current number of ACLs: 1 Maximum number of ACLs: 100
ACL Name Rules Interface(s) Direction Count
---------------------------------- -------- ------------------------- ----------------- ------
ACL-TEST 3 Gi1/0/10 Inbound 12
Dell#show ip access-lists ACL-TEST
IP ACL Name: ACL-TEST
Dell#show running-config | begin access
ip access-list ACL-TEST
10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
Chcete-li implementovat seznam řízení přístupů adresy MAC, klikněte na odkaz https://kb.dell.com/infocenter/index?page=content&id=HOW12466.