Denne artikkelen forklarer hvordan du implementerer IPv4-tilgangskontrollister på Dell Networking-svitsjer i N-serien
Det maksimale antallet tilgangskontrollister som kan konfigureres på DELL-svitsjer i N-serien, er 100. Det maksimale antallet regler som kan konfigureres per tilgangskontrolliste, er 1023
Konfigurasjon av tilgangskontrollister omfatter følgende trinn:
1. Opprette tilgangsgrupper som spesifiserer reglene for tilgangskontrollister i rekkefølgen de skal utføres i, ved hjelp av sekvensnumre. Reglene utføres fra det laveste til det høyeste sekvensnummeret
2. Tilordne tilgangsgruppen til grensesnittet som skal filtrere inngående og utgående trafikk
Eksempel:
Et eksempel vil gi en bedre demonstrasjon av funksjonene til tilgangskontrollister. La oss ta utgangspunkt i at innkommende trafikk ved port gi1/0/10 underlagt tilgangskontrollisten som blokkerer UDP-trafikk fra nettverk 10.10.10.0 255.255.255.0 til delnettverk 10.10.20.0 255.255.255.0, blokkerer ICMP-pakker fra delnettverk 192.168.1.0 255.255.255.0 til alle nettverk, nekter spesifikk TCP-trafikk for telnet-protokoll fra et bestemt 172.16.1.10-vertsdelnettverk til alle nettverk, og loggfører regeltreffene over konsollen.
1. Opprette tilgangsgruppe
Kommando |
Formål |
Dell# configure |
Gå inn i global konfigurasjonsmodus |
Dell(config)# ip access-list ACL-TEST |
Opprett tilgangsgruppen ved å gi den et navn. Her opprettes tilgangsgruppen ACL-TEST. Navn på tilgangskontrollister kan inneholde bokstaver, tall, punktum, tankestrek eller understrek, men må starte med en bokstav og kan inneholde maksimalt 31 tegn |
Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log |
Angi den første regelen, og kontroller at den har det laveste sekvensnummeret. Her er sekvensnummer 10 angitt. Denne regelen nekter UDP-trafikk fra kildedelnettverket 10.10.10.0 (jokertegnmasken 0.0.0.25 er angitt i samsvar med syntaksen) til 10.10.10.20. Hvis regelen samsvarer, blir handlingen loggført på konsollen |
Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log |
Den andre regelen angis med sekvensnummer 20, nekter ICPM-trafikk fra delnettverket 192.168.1.0 til alle nettverk og loggfører eventuelle regeltreff |
Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log |
Angi en tredje regel med sekvensnummer 30 som spesifiserer å nekte all TCP-trafikk relatert til en telnet-protokoll som skal sendes til et nettverk fra 172.16.1.0-nettverket, og loggføre eventuelle regeltreff |
2. Bruk tilgangsgruppen i grensesnittet
Kommando |
Formål |
Dell# configure |
Gå inn i global konfigurasjonsmodus |
Dell(config)# interface gigabitethernet 1/0/10 |
Gå inn i den spesifikke konfigurasjonsmodusen for grensesnittet |
Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10 |
Bruk tilgangsgruppen i grensesnittet, slik at all inngående og utgående trafikk blir underlagt reglene i tilgangsgruppen. Hvis det er mer enn én tilgangsgruppe, tilordner du sekvensnumrene slik at tilgangsgruppene kan brukes i rekkefølgen lavest til høyest sekvensnummer. Hvis det ikke er angitt et sekvensnummer, blir tilgangsgruppene automatisk tilordnet med sekvensnummer. Den første spesifiserte tilgangsgruppen får den laveste verdien |
Kommandoer for kontroll av tilgangskontrollister er oppgitt nedenfor:
Dell#show ip access-lists
Gjeldende antall tilgangskontrollister: 1. Maksimalt antall tilgangskontrollister: 100
Navn på tilgangskontrollister Regelgrensesnitt Antall retninger
---------------------------------- -------- ------------------------- ----------------- ------
ACL-TEST 3 Gi1/0/10 Inngående 12
Dell#show ip access-lists ACL-TEST
Navn på IP-tilgangskontrolliste: ACL-TEST
Dell#show running-config | begin access
ip access-list ACL-TEST
10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
Hvis du skal implementere MAC-tilgangskontrollister, kan du se følgende kobling: https://kb.dell.com/infocenter/index?page=content&id=HOW12466