ESW2-350G 스위치의 IPv4 기반 ACL 및 ACE 구성

목표

ACL(Access Control List)은 정렬된 필터 및 작업 목록입니다.각 분류 규칙을 작업과 함께 ACE(Access Control Element)라고 합니다. 각 ACE에는 다양한 트래픽 그룹 및 관련 작업이 있습니다.ACL에는 하나 이상의 ACE가 포함될 수 있습니다. 이 ACE는 레이어 3의 수신 패킷과 비교되거나 일치됩니다. 허용 또는 거부 작업은 필터와 일치됩니다.IP 프로토콜, TCP 또는 UDP 트래픽의 소스 및 목적지 포트, TCP 프레임의 플래그 값, ICMP 및 IGMP 유형 및 코드, 소스 및 목적지 IP 주소(와일드카드 포함) 또는 DSCP/IP 우선순위 값과 일치하도록 정의할 수 있습니다.

이 문서에서는 ESW2-350G 스위치에 IPv4 기반 ACL 및 ACE를 생성하는 방법에 대해 설명합니다.

참고:포트는 ACL로 보호되거나 고급 QoS 정책으로 구성할 수 있지만 둘 다 구성할 수는 없습니다.포트당 하나의 ACL만 있을 수 있습니다. 단, IPv4 기반 ACL과 IPv6 기반 ACL을 단일 포트와 연결할 수 있습니다.하나 이상의 ACL을 포트에 연결하려면 하나 이상의 클래스 맵이 있는 정책을 사용해야 합니다.

적용 가능한 디바이스

· ESW2-350G
· ESW2-350G-DC

소프트웨어 버전

•1.3.0.62

IPv4 기반 ACL 컨피그레이션

1단계. 웹 구성 유틸리티에 로그인하고 Access Control(액세스 제어) > IPv4-Based ACL을 선택합니다.IPv4 기반 ACL 페이지가 열립니다.

 

2단계. 추가를 클릭하여 새 액세스 목록을 추가합니다.

 

3단계. ACL 이름 필드에 액세스 목록의 이름을 입력합니다.

4단계. IPv4 기반 ACL을 실행 중인 컨피그레이션 파일에 기록하게 하는 Apply(적용)를 클릭합니다.

5단계. (선택 사항) IPv4 기반 ACE 테이블에 액세스하려면 IPv4 기반 ACE 테이블을 클릭합니다.

IPv4 기반 ACE 컨피그레이션

ACL에 ACE를 추가하려면 다음 단계를 수행해야 합니다.

1단계. 웹 구성 유틸리티를 사용하여 Access Control(액세스 제어) > IPv4 기반 ACE를 선택합니다.IPv4 기반 ACE 페이지가 열립니다. 

2단계. 드롭다운 목록에서 ACL을 선택하고 Add를 클릭합니다.Add IPv4-based ACE 창이 나타납니다.

3단계. 우선순위 필드에 ACE의 우선순위를 입력합니다.가장 높은 우선순위 값이 먼저 처리됩니다.가장 높은 우선순위는 1입니다. 1부터 2147483647 사이의 범위입니다.

4단계. 다음 옵션에서 원하는 작업 라디오 버튼을 클릭합니다. 

· 허용 — ACE 기준과 일치하는 패킷을 허용합니다.

· 거부 — ACE 기준을 충족하는 패킷을 삭제합니다.

· 종료 — ACE 기준을 충족하는 패킷을 삭제하고 패킷이 수신된 포트에서 포트를 비활성화합니다.이러한 포트는 포트 설정 페이지에서 다시 활성화할 수 있습니다.

5단계. (선택 사항) Enable 확인란을 선택하여 Time Range 필드에서 ACE에 대한 시간 범위를 활성화합니다.

참고:ACE에 적용하려면 시간 범위를 생성해야 합니다.시간 범위를 구성하려면 ESW2-350G 스위치의 시간 범위 구성 문서를 참조하십시오.

6단계. 5단계에서 활성화를 선택한 경우 ACE에 적용할 시간 범위 드롭다운 목록에서 시간 범위를 선택합니다.

7단계. 편집을 눌러 시간 범위를 편집하려면 [시간 범위] 페이지로 이동합니다. 확인 대화 상자 닫기 창이 나타납니다.

참고: 시간 범위를 구성하려면 ESW2-350G 스위치의 시간 범위 구성 문서를 참조하십시오.

8단계. (선택 사항) [시간 범위] 페이지로 진행하려면 [확인]을 누릅니다.

9단계. ACE에서 사용되는 프로토콜은 패킷이 라우터를 통과할 때 패킷을 필터링하기 위해 모든 라우티드 네트워크 프로토콜에 대해 구성됩니다. 다음 옵션에서 원하는 프로토콜 라디오 버튼을 클릭합니다.

   · Any — IPv4 기반 ACE 프로토콜 중 하나를 선택합니다. 

· 목록에서 선택 — 드롭다운 목록에서 프로토콜을 선택합니다.

· 일치시킬 프로토콜 ID — 프로토콜과 ID를 일치시키는 데 사용됩니다.TCP(6), UDP(17), ICMP(58 등)의 경우 또는 사용자가 TCP의 값을 정의할 수 있는 것과 같은 여러 프로토콜의 기본값.

 

10단계. Source IP Address(소스 IP 주소) 필드에서 사용 가능한 옵션 중 하나를 소스 IP 주소로 클릭합니다.

· Any — 이 옵션은 특정 네트워크 세그먼트에서 사용 가능한 IP 주소에 액세스 규칙을 적용합니다.

· 사용자 정의 — 이 옵션을 사용하여 특정 IP 주소를 입력할 수 있습니다.

- 소스 IP 주소 값 — 이 필드에 소스 IP 주소를 입력합니다.

- 소스 IP 와일드카드 마스크 — 이 필드에 소스 IP 주소의 와일드카드 마스크를 입력합니다.와일드카드 마스크를 사용하면 이 액세스 목록이 적용되는 소스 IP 주소의 호스트를 지정할 수 있습니다.

11단계. Destination IP Address(대상 IP 주소) 필드에서 사용 가능한 옵션 중 하나를 대상 IP 주소로 클릭합니다.

· Any — 이 옵션은 특정 네트워크 세그먼트에서 사용 가능한 IP 주소에 액세스 규칙을 적용합니다.

· User Defined(사용자 정의) — 이 옵션을 사용하면 액세스 규칙을 적용할 특정 IP 주소를 입력할 수 있습니다.

- 대상 IP 주소 값 — 이 필드에 대상 IP 주소를 입력합니다.

- 대상 IP 와일드카드 마스크 — 이 필드에 대상 IP 주소의 와일드카드 마스크를 입력합니다.와일드카드 마스크를 사용하면 이 액세스 목록이 적용되는 대상 IP 주소의 호스트를 지정할 수 있습니다.

12단계. 소스 포트 필드는 5단계에서 TCP 또는 UDP를 선택한 경우에만 활성화됩니다. 사용 가능한 옵션 중 하나의 라디오 버튼을 클릭하여 소스 포트를 선택합니다.

· 모두 — 이 옵션은 모든 소스 포트를 허용합니다.

· 단일 — 이 옵션을 사용하면 단일 소스 포트 값을 입력할 수 있습니다.

· 범위 — 이 옵션을 사용하면 사용 가능한 소스 포트의 범위를 입력할 수 있습니다.

13단계. Destination Port 필드는 5단계에서 TCP 또는 UDP를 선택한 경우에만 활성화됩니다. 사용 가능한 옵션 중 하나의 라디오 버튼을 클릭하여 대상 포트를 선택합니다.

· 모두 — 이 옵션은 모든 대상 포트를 허용합니다.

· 단일 — 이 옵션을 사용하면 단일 목적지 포트 값을 입력할 수 있습니다.

· 범위 — 이 옵션을 사용하면 사용 가능한 대상 포트의 범위를 입력할 수 있습니다.

 

14단계. TCP 플래그 필드는 5단계에서 TCP를 선택하는 경우에만 활성화됩니다. 각 플래그에 대한 라디오 버튼 중 하나를 클릭하여 TCP 플래그 값을 필터링하는 방법을 결정합니다.Set as 1 or on, Unset as 0 or off 또는 Don't care as x.(0으로 설정 또는 설정 해제 또는 해제)

· URG — 이 플래그는 수신 데이터를 긴급하게 식별하는 데 사용됩니다.

· ACK — 이 플래그는 패킷의 성공적인 수신을 확인하는 데 사용됩니다.

· Psh — 이 플래그는 데이터가 우선 순위(해당 사항)를 받고 전송 또는 수신 종료 시 처리되도록 하는 데 사용됩니다.

· Rst — 이 플래그는 현재 연결에 사용되지 않는 세그먼트가 도착하면 사용됩니다.

· Syn — 이 플래그는 TCP 통신에 사용됩니다.

· Fin — 이 플래그는 통신 또는 데이터 전송이 완료될 때 사용됩니다.

15단계. 혼잡 제어 트래픽인 Type of service(서비스 유형)를 클릭하여 혼잡 시 호스트가 롤백합니다.

· Any — 트래픽 정체를 위한 모든 유형의 서비스가 될 수 있습니다.

· 일치할 DSCP — DSCP(Differentiated Service Code Point)를 서비스 유형으로 구현하려면 이 옵션을 선택합니다.DSCP는 네트워크 트래픽을 분류하고 관리하는 메커니즘입니다.액세스 규칙에 적용할 DSCP 값을 입력합니다.

· 일치시킬 IP 우선순위 — IPv6 패킷에 대한 기본 설정 유형을 설정합니다.IP 기본 설정 값과 연결된 키워드는 루틴의 경우 0, 우선 순위의 경우 1, 즉각적, 플래시의 경우 2, 플래시 재지정의 경우 4, 심각도의 경우 5, 인터넷의 경우 6, 네트워크의 경우 7입니다. 액세스 규칙에 적용할 값을 입력합니다.

 

16단계. ICMP 필드는 5단계에서 프로토콜 ICMP를 선택하는 경우에만 활성화됩니다. 서비스를 사용할 수 없거나 호스트 또는 라우터에 연결할 수 없는 경우 오류 메시지를 보내는 데 사용됩니다.릴레이 쿼리 메시지도 사용됩니다. 사용 가능한 라디오 단추 중 하나를 클릭하여 ICMP 메시지 유형을 필터링하십시오.

· 모두 — 오류 메시지 또는 쿼리 메시지 중 하나일 수 있습니다.

· 목록에서 선택 — 드롭다운 목록에서 허용되는 제어 메시지를 선택합니다.

                 · 일치시킬 ICMP 유형 — 사용자는 ICMP 제어 메시지와 일치시키기 위해 0~255 사이의 범위를 입력해야 합니다.

17단계. ICMP 코드는 5단계에서 프로토콜 ICMP를 선택하는 경우에만 활성화됩니다. 이 코드는 값을 사용하여 제어 메시지에 대한 보다 구체적인 정보를 제공하는 데 사용됩니다. 사용 가능한 옵션 중 하나를 클릭합니다.

· Any — 제어 메시지와 일치하는 값이 될 수 있습니다.

· 사용자 정의 — 필터링할 ICMP 코드를 입력합니다. 값은 제어 메시지와 일치시키기 위해 0~255 사이의 범위에서 정의됩니다.

18단계. IGMP 필드는 5단계에서 프로토콜 IGMP를 선택하는 경우에만 활성화됩니다. 네트워크 세그먼트의 IP 멀티캐스트 그룹에서 호스트 멤버십을 관리합니다. 사용 가능한 라디오 버튼 중 하나를 클릭하여 IGMP 메시지 유형을 필터링합니다.

· Any — IGMP 작업을 수행할 수 있습니다.

· 목록에서 선택 — 드롭다운 목록에서 프로토콜을 선택합니다.

- DVMRP — 리버스 경로 플러딩 기술을 사용하여 패킷이 도착한 패킷을 제외한 각 인터페이스를 통해 수신된 패킷의 사본을 전송합니다.

- Host-Query — 정보를 위해 연결된 각 네트워크에 정기적으로 일반 호스트 쿼리 메시지를 전송합니다.

- Host-Reply — 쿼리에 응답합니다.

- PIM — 멀티캐스트 서버에서 여러 멀티캐스트 클라이언트로 멀티캐스트 트래픽을 전송하기 위해 로컬 및 원격 멀티캐스트 라우터 간에 사용됩니다.

- 추적 — IGMP 멀티캐스트 그룹 가입 및 탈퇴에 대한 정보를 제공합니다.

· IGMP 유형 일치 — 소스 및 목적지 IP 주소와 마스크가 있는 IGMP 프로토콜과 일치하고 십진수 숫자가 있는 IGMP 유형도 일치시킵니다.

19단계.Apply(적용)를 클릭하면 IPv4 기반 ACE가 실행 중인 컨피그레이션 파일에 기록됩니다.

20단계. (선택 사항) IPv4 기반 ACL 테이블을 클릭하여 IPv4 기반 ACL 페이지로 이동합니다.