액세스 목록을 사용하여 Cisco IOS XE Devices WebUI로 향하는 트래픽 필터링

다운로드 옵션

  • PDF     (278.6 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (80.8 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (66.9 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2023년 10월 17일
문서 ID:221107

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 Cisco IOS XE 디바이스에서 웹 서비스로 향하는 트래픽을 필터링하도록 ACL(Access List)을 구성하는 방법에 대해 설명합니다. 

    사전 요구 사항

    요구 사항

    이 문서에 대한 특정 요건이 없습니다.

    사용되는 구성 요소

    이 문서는 Cisco IOS® XE 소프트웨어를 실행하는 엔터프라이즈 디바이스를 위해 작성되었습니다.  

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    배경

    IOS XE 디바이스를 관리하기 위해 또는 웹 인증/게스트 사용자 액세스를 위해 webUI 액세스를 갖도록 HTTP 웹 서비스를 활성화해야 하는 경우, 필요한 IP 주소만 WebUI에 액세스할 수 있고 게스트 사용자가 네트워크에 계속 온보딩할 수 있도록 트래픽 필터링 기능을 구현할 수 있습니다.

    구성

    HTTP 서비스 액세스 클래스 컨피그레이션

    액세스를 정의하는 가장 간단한 방법은 HTTP 웹 서버의 IP 액세스 클래스 지원을 통해 수행할 수 있습니다.  이 컨피그레이션 예에서는 ipv4 서브넷 192.168.10.0/24이 허용되고, ipv6 서브넷 fd00::/64가 허용되며, 다른 모든 것은 거부됩니다.  access-list의 끝에 any에 대한 암시적 거부가 있지만 원하는 경우 any에 대한 명시적 거부를 추가할 수도 있습니다. C9800 Wireless Lan Controller의 경우 WMI(Wireless Management Interface) 및 OOB(Out-of-Band) 관리/서비스 포트에 대한 HTTP/HTTPS 액세스를 고려해야 합니다.

    IPv4 예

    1단계. 표준 ACL을 구성하고 HTTP/HTTPS를 통해 Cisco IOS XE Device에 액세스할 수 있는 신뢰할 수 있는 디바이스/서브넷을 포함합니다

    ip access-list standard restrict_ipv4_webui 
    permit 192.168.10.0 0.0.0.255

    참고: 이 ACL에는 IOS XE 디바이스에 대한 웹 관리자 액세스 권한을 보유하기 위해 신뢰할 수 있는 서브넷만 포함되어야 합니다. 즉, 모든 게스트 서브넷은 이 ACL에 포함되지 않아야 합니다. 게스트 서브넷을 포함하지 않으면 웹 인증, 게스트 액세스 또는 웹 리디렉션이 중단되지 않습니다.

    2단계. HTTP 웹 서비스 액세스 클래스에 표준 ACL을 할당합니다.

    ip http access-class ipv4 restrict_ipv4_webui

    IPv6 예

    1단계. IPv6 ACL 구성HTTP/HTTPS를 통해 Cisco IOS XE Device에 액세스할 수 있는 신뢰할 수 있는 디바이스/서브넷을 포함합니다

    ipv6 access-list restrict_ipv6_webui 
    permit fd00::/64 any

    2단계. HTTP 웹 서비스 기능에 표준 ACL을 할당합니다.

    ip http access-class ipv6 restrict_ipv6_webui

    다음을 확인합니다.

    IPv4 ACL 항목 확인

    show ip access-list restrict_ipv4_webui
    Standard IP access list restrict_ipv4_webui
    10 permit 192.168.10.0 0.0.0.255

    IPv6 ACL 항목 확인

    show ipv6 access restrict_ipv4_webui
    IPv6 access list restrict_ipv6_webui
    permit ipv6 FD00::/64 any sequence 10

    Q: access-list를 적용한 후 응답이 없는 대신 403 응답을 받습니다.  왜 그럴까요?

    A: 이는 정상적인 동작입니다.  access-list는 http/https 프로세스에 액세스할 수 있는 사용자를 제한하도록 설계되었습니다.  403 응답은 이 리소스에 액세스할 수 없음을 나타내며 이 시나리오에서는 access-list가 인터페이스 레벨 access-list가 아닌 HTTP/HTTPS 프로세스에 적용되기 때문에 적절한 응답입니다.  access-list가 HTTP/HTTPS 프로세스 대신 인터페이스에 적용된 경우 어떤 응답도 적합하지 않습니다 

    개정 이력

    개정 게시 날짜 의견
    1.0
    17-Oct-2023
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 세사르 로페스 자마리파
      Cisco 보안 기술 리더
    • 맷 블랜샤드
      Cisco 수석 엔지니어
    • 수다 카제리
      Cisco 수석 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품