메인 콘텐츠로 이동
  • 빠르고 간편하게 주문
  • 주문 보기 및 배송 상태 추적
  • 제품 목록을 생성 및 액세스

Sådan konfigureres IP-ACL på DELL-netværksswitche i N-serien

요약: sådan konfigureres ip-adgangslisten i dell n-serien

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.

지침


Denne artikel forklarer, hvordan du implementerer IPv4-adgangskontrollister (ACL) på Dell-netværksswitche i N-serien.
 

 

Indholdsfortegnelse

  1. Oversigt

  2. Konfiguration af adgangskontrollister

  3. Kontrol af konfiguration af adgangskontrolliste


 

Oversigt

 

  • ACL er et sæt regler, der anvendes til at tillade eller blokere visse typer trafik af sikkerhedsmæssige årsager. ACL'er er af følgende typer: IPv4 ACL, IPv6 ACL og MAC ACL.
  • Denne artikel bruger IPv4 ACL som eksempel. ACL-regler grupperes for at danne adgangsgrupper og anvendes på grænsefladerne. ACL-regler kan anvendes på indgående eller udgående trafik.
  • Sekvensnummeret kan tildeles alle regler i ACL på tidspunktet for konfigurationen og udføres fra det laveste til det højeste sekvensnummer.
  • Hvis du har flere adgangsgrupper konfigureret på en grænseflade, skal du tildele sekvensnummeret, så adgangsgrupperne udføres i rækkefølge fra den laveste til den højeste. 


 

HOW12391_da__1icon Oprettelse af ACL'er med forkerte regler vil føre til administrationsblokering af trafikken.  Brugeren mister adgang til switchen. Hav altid en alternativ adgangsmetode til switchen med direkte fysisk adgang ved hjælp af den serielle konsolport.

 

HOW12391_da__2icon ACL kan anvendes på dataporte (fysisk grænseflade, portkanal og VLAN-grænseflade) og kan ikke anvendes på en OOB-port (Out-Of-Band).


Det maksimale antal ACL'er, der kan konfigureres på en DELL N-serie-switch, er 100, og det maksimale antal regler, der kan konfigureres pr. ACL, er 1023

 

Konfiguration af adgangskontrollister


ACL-konfiguration består af følgende trin:


1.  Opret adgangsgruppe, der angiver ACL-regler i den rækkefølge, de skal udføres, ved hjælp af sekvensnummer. Reglerne udføres fra laveste til højeste sekvensnummer
2.  Tildel adgangsgruppen til den grænseflade, der skal filtrere indgående eller udgående trafik


 

Eksempel:

Her vises et eksempel for bedre at demonstrere funktionen af ACL'er. Vi antager, at den indgående trafik på port gi1/0/10, som er betinget af en ACL, der blokerer udp-trafik fra netværk 10.10.10.0 255.255.255.0 med destinationen undernet 10.10.20.0 255.255.255.0, blokerer icmp-pakker fra undernet 192.168.1.0 255.255.255.0 med destinationen ethvert netværk, afviser tcp-trafik, der er specifik for telnet-protokollen fra et bestemt værtsundernet 172.16.1.10 med destinationen ethvert netværk, og logger regeloverensstemmelser på konsollen.


1.  Opret adgangsgruppe


 

Kommando

Formål

Dell# configure

Åbn den globale konfigurationstilstand

Dell(config)# ip access-list ACL-TEST

Opret adgangsgruppen ved at give den et navn. Her oprettes adgangsgruppen ACL-TEST.

ACL-navne kan indeholde bogstaver, tal, prikker, bindestreg eller understregning, men må kun begynde med et bogstav, og de skal have en længde på 31 tegn eller færre.

Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log

Indtast den første regel, og sørg for, at den har det laveste sekvensnummer. Her er sekvensnummer 10 angivet. Denne regel afviser udp-trafik fra kildeundernettet 10.10.10.0 (i henhold til syntaksen angives jokertegnsmaske 0.0.0.25) med destinationen 10.10.10.20. Hvis reglen stemmer overens, logges handlingen på konsollen

Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log

Den anden regel indtastes med sekvensnummer 20, afviser icmp-trafik fra undernettet 192.168.1.0 med destination på ethvert netværk og logger, hvis der forekommer en regeloverensstemmelse

Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log

Indtast tredje regel med sekvensnummer 30, der angiver, at al tcp-trafik, der er relateret til telnet-protokol med destinationen ethvert netværk fra kildenetværket 172.16.1.0, skal afvises, og at der logges, hvis der forekommer en regeloverensstemmelse

   
 

HOW12391_da__2icon Hvis der ikke er angivet et sekvensnummer, tildeler DNOS (Dell Networking OS) automatisk sekvensnummer baseret på rækkefølgen af den indtastede regel. Den første regel, der indtastes, tildeles det laveste sekvensnummer


2.  Anvend adgangsgruppe til grænsefladen
 

Kommando

Formål

Dell# configure

Åbn den globale konfigurationstilstand

Dell(config)# interface gigabitethernet 1/0/10

Åbn den grænsefladespecifikke konfigurationstilstand

Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10

Anvend adgangsgruppen på grænsefladen, så al indgående trafik underlægges reglerne i adgangsgruppen. Hvis der er mere end én adgangsgruppe, skal du tildele sekvensnummeret, så adgangsgrupperne kan anvendes i rækkefølgen fra de laveste til de højeste sekvensnumre. Hvis der ikke er angivet et sekvensnummer, tildeles adgangsgrupperne automatisk et sekvensnummer, hvor den først angivne adgangsgruppe får den laveste værdi



 

Kontrol af konfiguration af adgangskontrolliste


ACL-bekræftelseskommandoer anført nedenfor:

Dell#show ip access-lists

 

Current number of ACLs: 1  Maximum number of ACLs: 100

 

ACL Name                        Rules Interface(s)              Direction Count

---------------------------------- -------- ------------------------- ----------------- ------                                                                                                                                                     

ACL-TEST                           3       Gi1/0/10                  Inbound   12
 

Dell#show ip access-lists ACL-TEST

 

IP ACL-navn: ACL-TEST


Inbound Interface(s):
Gi1/0/10


Rule Number: 10
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 17(udp)
Source IP Address.............................. 10.10.10.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... 10.10.20.0
Destination IP Mask............................ 0.0.0.255
Log............................................ TRUE
ACL Hit Count.................................. 0

Rule Number: 20
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 1(icmp)
Source IP Address.............................. 192.168.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Log............................................ TRUE
ACL Hit Count.................................. 0

Rule Number: 30
Action......................................... deny
Match All...................................... FALSE
Protocol....................................... 6(tcp)
Source IP Address.............................. 172.16.1.0
Source IP Mask................................. 0.0.0.255
Destination IP Address......................... any
Destination Layer 4 Operator................... Equal To
Destination L4 Port Keyword.................... 23(telnet)
Log............................................ TRUE
ACL Hit Count.................................. 0

 

 

Dell#show running-config | begin access

 

ip access-list ACL-TEST

10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
20 deny icmp 192.168.1.0 0.0.0.255 any log
30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log



For at implementere Mac ACL skal du følge linket: https://kb.dell.com/infocenter/index?page=content&id=HOW12466

해당 제품

PowerSwitch N1500 Series, PowerSwitch N2000 Series, PowerSwitch N2100 Series, PowerSwitch N3000 Series, Dell EMC PowerSwitch N3100 Series, PowerSwitch N4000 Series
문서 속성
문서 번호: 000120449
문서 유형: How To
마지막 수정 시간: 10 4월 2021
버전:  6
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.