ACL 및 ACE는 액세스 목록에 구성된 IP 주소에 대한 패킷 입력을 허용하거나 거부합니다.ACL에 대한 규칙은 ACE(Access Control Entries)에서 제공합니다. 이 문서에서는 ESW2-350G 스위치에 IPv6 기반 ACL 및 ACE를 생성하는 방법에 대해 설명합니다.
· ESW2-350G
· ESW2-350G-DC
•1.3.0.62
1단계. Configuration Utility를 사용하여 Access Control(액세스 제어) > IPv6 기반 ACL을 선택합니다.IPv6 기반 ACL 페이지가 열립니다.이 페이지에는 현재 정의된 ACL 목록이 표시됩니다.
2단계. 추가를 클릭하여 새 액세스 목록을 추가합니다.
3단계. ACL 이름 필드에 액세스 목록의 이름을 입력합니다.
4단계. IPv6 기반 ACL을 실행 중인 컨피그레이션 파일에 기록하게 하는 Apply(적용)를 클릭합니다.
5단계. (선택 사항) IPv6 기반 ACE 테이블을 클릭하여 IPv6 기반 ACE 테이블 페이지를 엽니다.
ACL에 ACE(Access Control Entry)를 추가하려면 다음 단계를 수행합니다.
1단계. Configuration Utility를 사용하여 Access Control(액세스 제어) > IPv6 기반 ACE를 선택합니다.IPv6 기반 ACE 페이지가 열립니다.
2단계. ACL Name equals to(ACL 이름 같음) 드롭다운 목록에서 ACL을 선택하고 Add(추가)를 클릭합니다.Add IPv6-based ACE(IPv6 기반 ACE 추가) 창이 열립니다.
3단계. 우선순위 필드에 ACE의 우선순위를 입력합니다.가장 높은 우선순위는 1인 먼저 처리됩니다. 범위는 1~2147483647입니다.
4단계. Action(작업) 필드에서 패킷이 일치할 때 발생하는 원하는 작업에 해당하는 라디오 버튼을 클릭합니다.
· 허용 — ACE 기준과 일치하는 패킷을 허용합니다.
· 거부 — ACE 기준을 충족하는 패킷을 삭제합니다.
· 종료 — ACE 기준을 충족하는 패킷을 삭제하고 패킷이 수신된 포트에서 포트를 비활성화합니다.이러한 포트는 포트 설정 페이지에서 다시 활성화할 수 있습니다.
참고:시간 범위로 구성하려면 ESW2-350G 스위치의 시간 범위 구성 문서를 따르십시오.
5단계. (선택 사항) Enable 확인란을 클릭하여 ACE에 대한 시간 범위를 활성화합니다.
6단계. (선택 사항) ACE에 적용할 시간 범위 드롭다운 목록에서 시간 범위를 선택합니다.
7단계. (선택 사항) 편집을 클릭하여 시간 범위를 편집합니다.확인 대화 상자 닫기 창이 열립니다.
8단계. (선택 사항) [시간 범위] 페이지로 진행하려면 [확인]을 누릅니다.
9단계. 라우터를 통과하는 패킷을 필터링하기 위해 모든 라우티드 네트워크 프로토콜에 대해 구성된 ACE에 대해 원하는 프로토콜에 해당하는 라디오 버튼을 클릭합니다.
· Any — IPv6 기반 ACE 프로토콜 중 하나를 선택합니다.
· 목록에서 선택 — 드롭다운 목록에서 프로토콜(TCP, UDP, ICMP)을 선택합니다.
· 일치시킬 프로토콜 ID — 프로토콜과 ID를 일치시키는 데 사용됩니다.TCP와 같은 서로 다른 프로토콜의 기본값은 6, UDP는 17, ICMP의 기본값은 58이거나 사용자가 그 안에 있는 값을 정의할 수 있습니다.
10단계. 모든 소스 주소가 허용될 경우 Any(모두)를 클릭하고, 접두사 길이의 소스 IP 주소 값을 Source IP Address(소스 IP 주소) 필드에 입력해야 하는 경우 User Define(사용자 정의)을 클릭합니다.
11단계. 모든 목적지 주소가 허용 가능한 경우 Any(모두)를 클릭하고 접두사 길이의 목적지 IP 주소 값을 Destination IP Address(대상 IP 주소) 필드에 입력해야 하는 경우 User Defined(사용자 정의)를 클릭합니다.
12단계. 소스 포트는 5단계에서 프로토콜 TCP 및 UDP를 선택하는 경우에만 활성화됩니다. 모든 소스 포트가 허용되거나 지정된 범위 0 - 65535의 단일 값 또는 소스 포트의 범위를 입력해야 하는 경우에만 Any를 클릭합니다.
13단계. 대상 포트는 5단계에서 프로토콜 TCP 및 UDP를 선택하는 경우에만 활성화됩니다. 모든 소스 포트가 허용되거나 지정된 범위 0 - 65535의 단일 값 또는 대상 포트의 범위를 입력해야 하는 경우에만 Any를 클릭합니다.
14단계. TCP 플래그는 5단계에서 프로토콜 TCP를 선택하는 경우에만 활성화됩니다. Set as 1 또는 on, Unset as 0 또는 off 또는 Don't care as x로 다른 옵션의 플래그를 클릭합니다.
· URG — 이 플래그는 수신 데이터를 긴급으로 식별하는 데 사용됩니다.
· ACK — 이 플래그는 패킷의 성공적인 수신을 확인하는 데 사용됩니다.
· Psh — 이 플래그는 데이터가 우선 순위(해당 사항)를 받고 전송 또는 수신 종료 시 처리되도록 하는 데 사용됩니다.
· Rst — 이 플래그는 현재 연결에 사용되지 않는 세그먼트가 도착하면 사용됩니다.
· Syn — 이 플래그는 TCP 통신에 사용됩니다.
· Fin — 이 플래그는 통신 또는 데이터 전송이 완료될 때 사용됩니다.
15단계. Type of Service(서비스 유형) 필드에서 트래픽 혼잡 제어를 위해 원하는 서비스 유형에 해당하는 라디오 버튼을 클릭합니다.
· Any — 모든 유형의 서비스가 트래픽 혼잡에 사용됩니다.
· 일치할 DSCP — DSCP(Differentiated Service Code Point)는 네트워크 트래픽을 분류하고 관리하는 메커니즘입니다.6비트(0-63)는 각 노드에서 패킷 경험의 홉별 동작을 선택하는 데 사용됩니다.
· 일치시킬 IP 우선순위 — IPv6 패킷에 대한 기본 설정 유형을 설정합니다.IP Preference 값이 있는 키워드는 루틴의 경우 0, 우선 순위의 경우 1, 즉각적 플래시의 경우 2, 플래시의 경우 4, 플래시 재지정의 경우 4, 심각도의 경우 5, 인터넷의 경우 6, 네트워크의 경우 7 입니다.
16단계. ICMP는 11단계에서 프로토콜 ICMP를 선택하는 경우에만 활성화됩니다. ICMP는 서비스를 사용할 수 없거나 호스트 또는 라우터에 연결할 수 없을 때 오류 메시지를 보내는 데 사용됩니다.또한 릴레이 쿼리 메시지에 사용됩니다.
· 모두 — 오류 메시지 또는 쿼리 메시지 중 하나일 수 있습니다.
· 목록에서 선택 — 다음과 같이 허용된 제어 메시지의 드롭다운 목록이 있습니다.
- Destination Unreachable — 호스트 또는 해당 게이트웨이에 의해 생성되어 어떤 이유로 목적지에 도달할 수 없음을 클라이언트에 알립니다(네트워크 또는 호스트 도달 불가 오류 등).
- 패킷이 너무 큼 — 데이터그램의 크기가 지정된 MTU보다 큽니다.
- Time Exceeded(시간 초과) - 라이브 필드가 0에 도달하여 삭제된 데이터그램의 소스를 알리기 위해 게이트웨이에 의해 생성됩니다.
- 매개 변수 문제 — 다른 ICMP 메시지에서 특별히 다루지 않는 오류에 대한 응답으로 생성됩니다.
- 에코 요청 - 데이터를 에코 응답으로 다시 수신할 것으로 예상되는 ping입니다.
- 에코 응답 — 에코 요청에 대한 응답으로 생성됩니다.
- MLD 쿼리 — 연결된 링크에서 리스너가 있는 멀티캐스트 주소를 학습하는 데 사용됩니다.130을 10진수로 입력합니다.
- MLD Report — 메시지 발신자가 수신 대기하는 IPv6 멀티캐스트 주소를 생성할 때 생성됩니다.
- MLD V2 보고서 — 버전 2의 MLD 보고서와 같습니다.
- MLD Done — 호스트가 그룹을 떠나면 네트워크의 멀티캐스트 라우터에 멀티캐스트 수신기 완료 메시지를 보냅니다.
- 라우터 요청 - 라우터 검색 메시지입니다.호스트는 광고를 들음으로써 주변 라우터의 주소를 간단히 검색합니다.기본값은 멀티캐스트의 경우 224.0.0.2, 그렇지 않으면 255.255.255.255.
- 라우터 광고 — 라우터는 정기적으로 각 멀티캐스트 인터페이스에서 라우터 광고를 멀티캐스트하여 해당 인터페이스의 IP 주소를 알립니다.
- ND NS — 다른 노드의 링크 레이어 주소를 요청하기 위해 노드가 메시지를 생성하며, 중복 주소 탐지 및 인접 디바이스 연결 불가 탐지 등의 기능도 제공합니다.
- ND NA — NS 메시지에 대한 응답으로 메시지가 전송됩니다.노드가 링크 레이어 주소를 변경할 경우, 새 주소를 광고하기 위해 요청되지 않은 NA를 보낼 수 있습니다
· 일치시킬 ICMP 유형 — 사용자는 ICMP 제어 메시지와 일치시키기 위해 0~255 사이의 범위를 입력해야 합니다.
17단계. ICMP 코드는 11단계에서 프로토콜 ICMP를 선택하는 경우에만 활성화됩니다. 이 코드는 값을 사용하여 제어 메시지에 대한 보다 구체적인 정보를 제공하는 데 사용됩니다.
· Any — 제어 메시지와 일치하는 값이 될 수 있습니다.
· User Defined(사용자 정의) - 제어 메시지와 일치하도록 0~255 사이의 범위에서 값이 정의됩니다.
18단계. IPv6 기반 ACE를 실행 중인 컨피그레이션 파일에 기록하는 Apply를 클릭합니다.