ACL(Access Control List)은 보안을 개선하는 데 사용되는 네트워크 트래픽 필터 및 상호 관련된 작업의 목록입니다.사용자가 특정 리소스에 액세스하는 것을 차단하거나 허용합니다.ACL에는 네트워크 디바이스에 대한 액세스가 허용되거나 거부된 호스트가 포함됩니다.
IPv6의 일반적인 ACL 기능은 IPv4의 ACL과 유사합니다. ACL은 어떤 트래픽을 차단할지, 어떤 트래픽을 스위치 인터페이스에서 전달할지를 결정합니다.ACL은 소스 및 대상 주소, 인바운드 및 아웃바운드, 특정 인터페이스에 대한 필터링을 허용합니다.각 ACL에는 끝에 암시적 거부 문이 있습니다.ACL에 대한 규칙은 ACE(Access Control Entries)에서 구성됩니다.
액세스 목록을 사용하여 네트워크에 액세스하기 위한 기본적인 수준의 보안을 제공해야 합니다.네트워크 디바이스에서 액세스 목록을 구성하지 않으면 스위치나 라우터를 통과하는 모든 패킷이 네트워크의 모든 부분으로 허용될 수 있습니다.
이 문서에서는 스위치에서 IPv6 기반 ACL 및 ACE를 구성하는 방법에 대한 지침을 제공합니다.
1단계. 웹 기반 유틸리티에 로그인한 다음 Access Control(액세스 제어) > IPv6 기반 ACL로 이동합니다.
2단계. Add 버튼을 클릭합니다.
3단계. ACL 이름 필드에 새 ACL의 이름을 입력합니다.
참고:이 예에서는 IPv6 ACL이 사용됩니다.
4단계. 적용을 클릭한 다음 닫기를 클릭합니다.
5단계. (선택 사항) Save를 클릭하여 시작 컨피그레이션 파일에 설정을 저장합니다.
이제 스위치에서 IPv6 기반 ACL을 구성해야 합니다.
포트에서 패킷이 수신되면 스위치는 첫 번째 ACL을 통해 프레임을 처리합니다.패킷이 첫 번째 ACL의 ACE 필터와 일치하면 ACE 작업이 수행됩니다.패킷이 ACE 필터와 일치하지 않으면 다음 ACL이 처리됩니다.모든 관련 ACL의 ACE에 일치하는 항목이 없으면 패킷이 기본적으로 삭제됩니다.
이 시나리오에서는 특정 사용자 정의 소스 IPv6 주소에서 모든 목적지 주소로 전송되는 트래픽을 거부하기 위해 ACE가 생성됩니다.
참고:이 기본 작업은 모든 트래픽을 허용하는 낮은 우선 순위 ACE를 생성하여 방지할 수 있습니다.
1단계. 웹 기반 유틸리티에서 Access Control(액세스 제어) > IPv6-Based ACE로 이동합니다.
중요:Sx350, SG350X, Sx550X 스위치가 있는 경우 페이지 오른쪽 상단 모서리의 Display Mode 드롭다운 목록에서 Advanced를 선택하여 Advanced 모드로 변경합니다.
2단계. ACL Name(ACL 이름) 드롭다운 목록에서 ACL을 선택한 다음 Go(이동)를 클릭합니다.
참고:ACL에 대해 이미 구성된 ACE가 테이블에 표시됩니다.
3단계. Add(추가) 버튼을 클릭하여 ACL에 새 규칙을 추가합니다.
참고:ACL Name(ACL 이름) 필드에는 ACL의 이름이 표시됩니다.
4단계. 우선순위 필드에 ACE의 우선순위 값을 입력합니다.우선 순위가 더 높은 ACE가 먼저 처리됩니다.값 1이 가장 높은 우선 순위입니다.범위는 1~2147483647입니다.
참고:이 예에서는 3이 사용됩니다.
5단계. 프레임이 ACE의 필수 기준을 충족할 때 필요한 작업에 해당하는 라디오 버튼을 클릭합니다.
참고:이 예에서는 Permit(허용)이 선택됩니다.
종료 — 스위치는 ACE의 필수 기준을 충족하지 않는 패킷을 삭제하고 패킷이 수신된 포트를 비활성화합니다.비활성화된 포트는 Port Settings 페이지에서 다시 활성화할 수 있습니다.
6단계. (선택 사항) Enable Logging(로깅 활성화) 확인란을 선택하여 ACL 규칙과 일치하는 로깅 ACL 흐름을 활성화합니다.
7단계. (선택 사항) Enable Time Range(시간 범위 활성화) 확인란을 선택하여 시간 범위를 ACE로 구성합니다.시간 범위는 ACE가 적용되는 시간을 제한하는 데 사용됩니다.비활성화된 상태로 두면 ACE는 언제든지 작동합니다.
8단계. (선택 사항) Time Range Name 드롭다운 목록에서 ACE에 적용할 시간 범위를 선택합니다.
참고:Edit(수정)를 클릭하여 Time Range(시간 범위) 페이지에서 시간 범위를 탐색하고 생성할 수 있습니다.
9단계. Protocol(프로토콜) 영역에서 프로토콜 유형을 선택합니다.ACE는 특정 프로토콜 또는 프로토콜 ID를 기반으로 생성됩니다.
옵션은 다음과 같습니다.
참고:이 예에서는 목록에서 선택이 선택됩니다.
10단계. (선택 사항) 9단계의 목록에서 선택을 선택한 경우 드롭다운 목록에서 프로토콜을 선택합니다.
옵션은 다음과 같습니다.
참고:이 예에서는 TCP가 사용됩니다.
11단계(선택 사항) 9단계에서 Protocol ID(프로토콜 ID)를 선택하여 일치시킨 경우 일치시킬 Protocol ID 필드에 프로토콜 ID를 입력합니다.
참고:이 예에서는 1이 사용됩니다.
12단계. Source IP Address(소스 IP 주소) 영역에서 ACE의 원하는 기준에 해당하는 라디오 버튼을 클릭합니다.
옵션은 다음과 같습니다.
참고:이 예에서는 User Defined(사용자 정의)가 선택됩니다.Any(모두)를 선택한 경우 15단계로 건너뜁니다.
13단계. 소스 IP 주소 값 필드에 소스 IP 주소를 입력합니다.
참고:이 예에서는 fe80::d0ba:7021:37f7:d68d가 사용됩니다.
14단계. 소스 IP 접두사 길이 필드에 소스 IP 접두사 길이를 입력합니다.
참고:이 예에서는 128이 사용됩니다.
15단계. DestinationIP Address 영역에서 ACE의 원하는 기준에 해당하는 라디오 버튼을 클릭합니다.
옵션은 다음과 같습니다.
참고:이 예에서는 Any가 선택됩니다.이 옵션을 선택하면 생성할 ACE가 지정된 IPv6 주소에서 모든 목적지로 들어오는 ACE 트래픽을 허용합니다.
16단계(선택 사항) Source Port(소스 포트) 영역에서 라디오 버튼을 클릭합니다.기본값은 Any입니다.
17단계(선택 사항) Destination Port(대상 포트) 영역에서 라디오 버튼을 클릭합니다.기본값은 Any입니다.
18단계. (선택 사항) TCP Flags(TCP 플래그) 영역에서 패킷을 필터링할 하나 이상의 TCP 플래그를 선택합니다.필터링된 패킷은 전달 또는 삭제됩니다.TCP 플래그로 패킷을 필터링하면 패킷 제어가 증가하여 네트워크 보안이 향상됩니다.
TCP 플래그는 다음과 같습니다.
19단계(선택 사항) Type of Service(서비스 유형) 영역에서 IP 패킷의 서비스 유형을 클릭합니다.
옵션은 다음과 같습니다.
- 0 - 루틴용
- 1 - 우선 순위
- 2 - 즉시
- 3 - 플래시의 경우
- 4 - 플래시 재정의용
- 5 - 중요
- 6 - 인터넷용
- 7 - 네트워크용
참고:이 예에서는 Any가 선택됩니다.
20단계. (선택 사항) ACL의 IP 프로토콜이 ICMP인 경우 필터링에 사용되는 ICMP 메시지 유형을 클릭합니다.이름으로 메시지 유형을 선택하거나 메시지 유형 번호를 입력합니다.
참고:이 예에서는 목록에서 선택이 선택됩니다.
21단계. (선택 사항) 20단계에서 목록에서 선택을 선택한 경우 드롭다운 목록의 가능한 옵션에서 필터링할 제어 메시지를 선택합니다.
22단계(선택 사항) ICMP 메시지에는 메시지 처리 방법을 나타내는 코드 필드가 있을 수 있습니다.이 옵션은 10단계에서 ICMP 프로토콜을 선택하는 경우 활성화됩니다. 이 코드에 대해 필터링 여부를 구성하려면 다음 옵션 중 하나를 클릭합니다.
참고:이 예에서는 Any가 선택됩니다.
23단계. Apply(적용)를 클릭한 다음 Close(닫기)를 클릭합니다.ACE가 생성되어 ACL 이름에 연결됩니다.
24단계. 설정을 시작 구성 파일에 저장하려면 저장을 누릅니다.
이제 스위치에 IPv6 기반 ACE를 구성해야 합니다.