I den här artikeln beskrivs hur du implementerar IPv4-åtkomstlistor (ACL) på switchar i Dell Networking N-serien
Det högsta antalet åtkomstlistor som kan konfigureras på switchar i DELL N-serien är 100, och det högsta antalet regler som kan konfigureras per åtkomstlista är 1023
Följ dessa steg för att konfigurera en åtkomstlista:
1. Skapa en åtkomstgrupp och ange ACL-regler i den ordning de ska utföras med hjälp av sekvensnummer. Reglerna utförs från det lägsta till det högsta sekvensnumret
2. Tillämpa åtkomstgruppen på gränssnittet som ska filtrera inkommande eller utgående trafik
Exempel:
I det här exemplet kan vi se hur åtkomstlistor fungerar. Inkommande trafik i port gi1/0/10 som är underställd en åtkomstlista som blockerar UDP-trafiken från nätverket 10.10.10.0 255.255.255.0 som är avsedd för undernätet 10.10.20.0 255.255.255.0 blockerar icmp-paket från undernätet 192.168.1.0 255.255.255.0 som är avsedda för alla nätverk och nekar TCP-trafik som är avsedd för Telnet-protokollet från ett visst värdundernät 172.16.1.10 som är avsedd för alla nätverk och loggar regelträffarna via konsolen.
1. Skapa åtkomstgrupp
Kommando |
Syfte |
Dell# configure |
Gå till det globala konfigurationsläget |
Dell(config)# ip access-list ACL-TEST |
Skapa åtkomstgruppen genom att ge den ett namn. Här skapas åtkomstgruppen ACL-test. Namn på åtkomstlistor kan innehålla bokstäver, siffror, punkter, bindestreck eller understreck, men bör börja med en bokstav och vara högst 31 tecken långa |
Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log |
Ange den första regeln och se till att den har lägst sekvensnummer, här anges sekvensnummer 10. Den här regeln nekar UDP-trafik från källundernätet 10.10.10.0 (enligt syntaxen anges jokertecknet 0.0.0.25) som är avsedd för 10.10.10.20. Om regeln matchas loggas åtgärden i konsolen |
Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log |
Den andra regeln ges sekvensnummer 20 och nekar icmp-trafik från undernätet 192.168.1.0 som är avsedd för alla nätverk och loggas om regelträff inträffar |
Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log |
Den tredje regeln ges sekvensnummer 30 och anger att TCP-trafik som är relaterad till Telnet-protokollet till alla nätverk från källnätverket 172.16.1.0 nekas och loggas om regelträff inträffar |
2. Tillämpa åtkomstgruppen på gränssnittet
Kommando |
Syfte |
Dell# configure |
Gå till det globala konfigurationsläget |
Dell(config)# interface gigabitethernet 1/0/10 |
Öppna det gränssnittsspecifika konfigurationsläget |
Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10 |
Tillämpa åtkomstgruppen på gränssnittet, så att all inkommande eller utgående trafik lyder under reglerna i åtkomstgruppen. Om det finns fler än en åtkomstgrupp anger du sekvensnummer så att åtkomstgrupperna tillämpas i ordning från lägst till högst sekvensnummer. Om inget sekvensnummer anges tilldelas åtkomstgrupperna sekvensnummer automatiskt, den första åtkomstgruppen som anges får det lägsta värdet |
Verifieringskommandon för åtkomstlistor anges nedan:
Dell#show ip access-lists
Current number of ACLs: 1 Maximum number of ACLs: 100
ACL Name Rules Interface(s) Direction Count
---------------------------------- -------- ------------------------- ----------------- ------
ACL-TEST 3 Gi1/0/10 Inbound 12
Dell#show ip access-lists ACL-TEST
IP ACL Name: ACL-TEST
Dell#show running-config | begin access
IP-åtkomstlista ACL-TEST
10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
Om du vill implementera MAC ACL följer du länken: https://kb.dell.com/infocenter/index?page=content&id=HOW12466