경로 조정을 위한 경로 맵 및 기타 개체

다양한 라우팅 프로토콜을 통해 경로 배포 및 어그리게이션과 같은 미세 조정 활동을 할 수 있습니다. 일부 조정 기능의 경우 경로 맵 또는 기타 개체를 사용하여 조정 정책의 대상이 되어야 하는 경로를 식별합니다. 경로 맵에는 일치하는 경로에 대한 옵션을 설정하는 추가 기능이 있으므로, 다음 홉 라우터가 맞춤형 동작을 적용하는 데 사용할 수 있는 경로를 변경할 수 있습니다.

이러한 개체를 생성해야 하는지 여부는 사용자가 구현하는 라우팅 프로토콜의 동작을 미세 조정하는 데 필요한 사항에 따라 달라집니다. 먼저 요구 사항을 평가하여 구성하려는 조정 명령에 필요한 개체 유형을 결정합니다.

경로 맵 구성

다양한 용도로 경로 맵을 사용할 수 있으며, 일부 라우팅 프로토콜은 다른 프로토콜보다 더 많은 용도를 지원합니다. 가장 일반적인 용도는 경로 재분배를 다른 라우팅 프로토콜로 미세 조정하는 것입니다.

경로 맵 허용 및 거부 절

경로 맵은 하나 이상의 permit 또는 deny 절로 구성됩니다. 이러한 절의 순서는 중요하며 경로는 맵 하향식, 첫 번째 일치 항목에 대해 평가됩니다. 경로가 절과 일치하지 않으면 경로 맵과 일치하지 않는 것으로 간주됩니다.

각 허용 절은 0개 이상의 match 및 set 명령문을 포함할 수 있습니다. match 명령문은 절과 일치하는 경로를 결정하는 반면, set 명령문은 경로 메트릭과 같은 경로의 일부 특성을 수정합니다. set 명령문은 필요하지 않습니다. 경로를 변경하지 않고 재배포(또는 다른 서비스)를 위해 경로를 일치시킬 수 있습니다.

각 거부 절은 0개 이상의 match 명령문을 포함할 수 있습니다. 그러나 “거부” 경로는 단순히 경로 맵과 일치하지 않아 set 작업을 적용할 수 없으므로 set 절을 포함하는 것은 의미가 없습니다.

경로 맵 Match 및 Set 명령문

각 경로 맵 절은 두 가지 값을 갖습니다.

일치 값은 이 절을 적용할 경로를 선택합니다.
set 값은 경로의 일부 특성을 수정합니다.

예를 들면, 재배포되는 각 경로에 대해 라우터는 먼저 경로 맵에 있는 절의 일치 기준을 평가합니다. 경로가 기준과 일치하면 허용 또는 거부 절에 따라 경로가 재배포되거나 거부됩니다. 허용 절에 대한 일치 항목의 경우 set 명령의 값으로 경로 특성 중 일부를 수정할 수 있습니다. 경로가 기준에 일치하지 않으면 이 절은 경로에 적용되지 않고 시스템에서 경로 맵의 다음 절에 대해 경로를 평가합니다. 절이 경로와 일치하거나 경로 맵의 끝에 도달할 때까지 경로 맵 스캔이 계속됩니다. 일치 항목이 없으면 경로는 경로 맵과 일치하지 않는 것으로 간주됩니다(거부 작업과 동일함).

단일 절의 match 및 set 명령문:

여러 개의 match 명령문은 AND 처리됩니다. 즉, 경로가 절과 일치하려면 각 명령문을 충족해야 합니다.
단일 match 명령문 내의 여러 값은 OR 처리됩니다. 즉, 경로가 해당 match 명령문 내의 어떤 값이든 일치하는 경우 이는 전체적으로 명령문과 일치하는 것으로 간주됩니다.
match 명령문이 없으면 모든 경로가 절과 일치합니다.
경로 맵 허용 절에 set 명령문이 없으면 경로의 현재 특성을 수정하지 않고 경로에 기능(예: 재배포)이 적용됩니다.
거부 절의 모든 set 명령문은 무시됩니다. “거부” 경로는 단순히 경로 맵과 일치하지 않아 set 작업을 적용할 수 없으므로 set 절을 포함하는 것은 의미가 없습니다.
match 또는 set 명령문이 없는 빈 절은 이전 절에서 일치하지 않은 경로와 일치합니다. 예를 들면 다음과 같습니다.
- 빈 허용 절은 수정 없이 남은 경로의 재배포를 허용합니다.
- 빈 거부 절은 나머지 경로의 재배포를 허용하지 않습니다. 경로 맵을 완전히 스캔했지만 정확한 일치 항목을 찾지 못한 경우의 기본 작업입니다.

경로 맵 구성

match 및 set 명령문을 평가하는 방법에 대한 자세한 설명은 경로 맵 Match 및 Set 명령문를 주의깊게 읽어 보십시오.

시작하기 전에

액세스 목록, AS 경로 액세스 목록, 커뮤니티 목록, 정책 목록 및 접두사 목록 등 일치 기준을 정의하기 위해 경로 맵에서 다양한 기타 개체를 사용할 수 있습니다. 경로 맵을 생성하려면 먼저 이러한 개체를 생성해야 합니다.

ACL 일치의 경우 IPv4 주소에는 표준 또는 확장 ACL을 사용할 수 있지만 IPv6에는 확장 ACL만 사용할 수 있습니다. match 절은 IPv4 또는 IPv6만 기반으로 하므로 ACL에 match 명령문에 대한 올바른 주소 체계가 있는지 확인합니다.

또한 BGP의 match 및 set 기준은 기타 라우팅 프로토콜과 비교할 때 다릅니다. 경로 맵을 사용할 라우팅 프로세스에 대해 올바른 match/set 기준을 선택해야 합니다.

프로시저

단계 1	Device(디바이스) > Advanced Configuration(고급 컨피그레이션)에서 View Configuration(컨피그레이션 보기)을 클릭합니다.
단계 2	목차에서 Smart CLI(스마트 CLI) > Objects(개체)를 선택합니다.
단계 3	다음 중 하나를 수행합니다. 개체를 생성하려면 + 버튼을 클릭합니다. 개체를 수정하려면 개체의 수정 아이콘()을 클릭하십시오. 참조되지 않는 개체를 삭제하려면 해당 개체의 휴지통 아이콘()을 클릭합니다.
단계 4	Route Map(경로 맵)을 CLI Template(CLI 템플릿)으로 선택합니다.
단계 5	스마트 CLI 개체의 Name(이름)을 입력합니다. 이 이름은 route-map 명령에서 CLI 템플릿의 첫 번째 라인에 경로 맵 이름으로도 입력됩니다.
단계 6	첫 번째 절을 생성합니다. `redistribution` 변수를 클릭하고 다음 중 하나를 선택합니다. permit —일치. 이 규칙과 일치하는 연결이 구성 중인 기능에 대해 선택됩니다. deny —일치하지 않음. 이 규칙과 일치하는 연결이 기능에서 제외됩니다. "denied" 트래픽이 삭제되는 것은 아니며 서비스만 해당 트래픽에 적용되지 않습니다. 예를 들어 이 경로 맵을 사용하여 재배포할 경로를 정의하는 경우 "거부됨" 주소 공간만 재배포되지 않습니다. sequence-number 변수를 클릭하고 절 번호를 1~ 65535 범위에서 입력합니다. 이 번호는 경로 맵 내의 다른 번호가 지정된 절과 관련이 있습니다. 일반적인 방법은 개수를 열 개씩, 즉 10, 20, 30으로 건너뛰어 나중에 새 절을 삽입할 공간을 확보하는 것입니다.
단계 7	Show Disabled(비활성화됨 표시)를 클릭하고 절에 대한 match 명령문을 구성합니다. 이를 활성화하려면 configure `clause` 명령 옆의 + 를 클릭합니다. `clause` 를 클릭하고 BGP 경로 맵에 대해 bgp-match-clause 를 선택하거나 기타 모든 라우팅 프로토콜에 대해 match-clause 를 선택합니다. (BGP 경로 맵) 이 절에서 대상으로 하는 특정 경로를 식별하도록 다음 match 명령문 조합을 구성합니다. 구성하지 않은 명령을 비활성화하려면 - 아이콘을 클릭해야 합니다. match as-path 에 전달하는 고성능 고속 어플라이언스입니다. 변수를 클릭하고 일치시킬 자율 시스템 번호를 정의하는 AS 경로 개체를 선택합니다. match community . 변수를 클릭하고 일치시킬 커뮤니티를 정의하는 커뮤니티 목록 개체를 선택합니다. match policy-list . 변수를 클릭하고 절의 일치 기준을 정의하는 정책 목록 개체를 선택합니다. match tag . 변수를 클릭하고 일치시킬 경로 태그 값을 0~4294967295 범위에서 입력합니다. (모든 기타 라우팅 프로토콜) 이 절에서 대상으로 하는 특정 경로를 식별하도록 다음 match 명령문 조합을 구성합니다. 구성하지 않은 명령을 비활성화하려면 - 아이콘을 클릭해야 합니다. 이러한 명령 중 일부를 활성화하려면 +를 클릭해야 할 수 있습니다. match interface . 변수를 클릭하고 일치시킬 경로의 모든 인터페이스를 선택합니다. configure match ipv4/ipv6 ip address `list-type` IP 버전에 맞는 명령을 활성화합니다. 그 다음 `list-type` 변수를 클릭하고 access-list 또는 prefix-list 를 기반으로 하는 경로의 IP 주소와 일치시킬지를 선택합니다. 그러면 변수를 클릭하고 일치시킬 IP 주소를 정의하는 접두사 목록 또는 액세스 목록을 선택할 수 있는 match ipv4/ipv6 address 명령이 추가됩니다. configure match ipv4/ipv6 ip next-hop `list-type` `list-type` 변수를 클릭하고 access-list 또는 prefix-list 를 기반으로 하는 경로의 다음 홉 라우터 IP 주소와 일치시킬지를 선택합니다. 그러면 변수를 클릭하고 일치시킬 IP 주소를 정의하는 접두사 목록 또는 액세스 목록을 선택할 수 있는 match ipv4/ipv6 next-hop 명령이 추가됩니다. configure match ipv4/ipv6 ip route-source `list-type` `list-type` 변수를 클릭하고 access-list 또는 prefix-list 를 기반으로 하는 경로의 경로 소스 IP 주소와 일치시킬지를 선택합니다. 그러면 변수를 클릭하고 일치시킬 IP 주소를 정의하는 접두사 목록 또는 액세스 목록을 선택할 수 있는 match ipv4/ipv6 route-source 명령이 추가됩니다. match metric . 변수를 클릭하고 일치시킬 라우팅 메트릭을 1 ~ 4294967295 범위에서 입력합니다. match route-type . (OSPF, EIGRP) 변수를 클릭하고 경로 유형을 선택합니다. external-1 , external-2 를 입력합니다. OSPF 또는 EIGRP 외부 유형-1 또는 유형-2 경로. internal . OSPF 영역 간 및 영역 내 경로 또는 EIGRP 내부 경로. local . 로컬에서 생성된 BGP 경로. nssa-external-1 , nssa-external-2 를 입력합니다. 외부 NSSA(Not So stubby Area) 유형-1 또는 유형-2 경로.
단계 8	(선택 사항, 허용 절 전용) 허용되는 경로, 즉 일치하는 경로의 경우 경로 특성을 수정하도록 set 명령문을 구성할 수 있습니다. 경로는 수정할 필요가 없습니다. 예를 들어, 변경하지 않고 재배포할 수 있습니다. ... > Duplicate(중복)(configure match-clause 또는 허용 절 내의 configure bgp-match-clause 명령 왼쪽)를 클릭합니다. 새 configure `clause` 명령은 허용 절의 끝에 추가됩니다. `clause` 를 클릭하고 일치 절에 대해 선택한 항목에 따라 bgp-set-clause 또는 set-clause 를 선택합니다. (BGP 경로 맵) 일치하는 경로의 특성을 수정하려면 다음 set 명령문 조합을 구성합니다. 구성하지 않은 명령을 비활성화하려면 - 아이콘을 클릭해야 합니다. configure set as-path `options` . `options` 를 클릭하고 properties 를 선택하면 구성해야 하는 다음 명령이 추가됩니다. 중복된 AS 번호를 포함하여 경로에 항목을 추가하면 경로가 길어지고 경로가 최적의 경로로 선택될 가능성이 적어집니다. set as-path prepend `as-path` . `as-path` 를 클릭하고 경로의 AS_PATH 특성 시작 부분이 되도록 추가할 최대 10개의 자동 시스템 번호를 입력합니다. 변경 사항은 아웃바운드 BGP 경로 맵에 적용됩니다. set as-path prepend last-as `value` . `value` 를 클릭하고 시스템이 알림 네이버의 자율 시스템 번호를 AS_PATH 변수의 시작 앞에 추가해야 하는 횟수를 입력합니다. 변경 사항은 인바운드 BGP 경로 맵에 적용됩니다. set as-path tag . 경로의 태그를 자율 시스템 경로로 변환합니다. 경로를 BGP로 재배포할 때만 적용됩니다. set community `community-number` `properties` . `community-number` 를 클릭하고 경로의 커뮤니티를 1~4694967295 범위에서 입력합니다. 필요에 따라 `properties` 를 클릭하고 다음 중 하나를 추가할 수 있습니다. internet —이 커뮤니티 경로가 모든 피어(내부 및 외부)에게 알려집니다. no-advertise —이 커뮤니티 경로가 모든 피어(내부 또는 외부)에게 알려지지 않습니다. no-export —이 커뮤니티 경로가 같은 자율 시스템 안에 있는 피어 또는 연합 내의 다른 하위 자율 시스템에만 알려집니다. 이 경로는 외부 피어에 알려지지 않습니다. set local-preference . 변수를 클릭하고 자율 시스템 경로의 기본 설정 값을 0~4294967295 범위에서 입력합니다. 전역 BGP 옵션에서 이를 변경하지 않는 한 BGP 경로의 기본 설정은 100입니다. 기본 설정 번호가 가장 높은 경로가 우선시됩니다. set weight . 변수를 클릭하고 경로의 가중치를 0~65535 범위에서 입력합니다. 라우터가 동일한 목적지에 대하여 하나 이상의 경로를 학습한 경우 가중치가 가장 높은 경로가 우선합니다. set origin `options` . BGP 경로의 원본은 주 IP 라우팅 테이블에 있는 경로의 경로 정보를 기반으로 합니다. `options` 를 클릭하여 이를 변경하고 BGP 원본 코드를 설정하는 방법을 선택할 수 있습니다. igp . 원본을 원격 IGP(Internal Gateway Gateway) 시스템으로 설정합니다. incomplete . 원본을 알 수 없는 헤리티지로 설정합니다. configure next-hop ipv4/ipv6 `options` . 이는 별도의 명령입니다. 해당 IP 버전에 대한 `options` 를 클릭하고 다음 중 하나를 선택합니다. 다음 홉 게이트웨이 설정은 일반적으로 정책 기반 라우팅을 구현할 때 수행하는 작업입니다. specific-ip . 이 경로에 대한 다음 홉 게이트웨이의 IP 주소를 명시적으로 설정하려면 이 옵션을 선택합니다. set ip/ipv6 next-hop ip-address 명령이 추가됩니다. 변수를 클릭하고 다음 홉 게이트웨이의 IP 주소를 입력합니다. 공백으로 구분하여 여러 IP 주소를 추가할 수 있습니다. 첫 번째 게이트웨이의 주소에 연결할 수 없는 경우 그 다음 주소가 시도됩니다. user-peer-address . 다음 홉 게이트웨이를 BGP 피어의 IP 주소로 설정하려면 이 옵션을 선택합니다. BGP 피어의 아웃바운드 경로 맵에 있는 이 옵션을 사용하면 알려진 일치 경로의 다음 홉이 로컬 라우터의 피어링 주소로 설정되어 다음 홉 계산이 비활성화됩니다. 이 명령에 대한 추가 컨피그레이션이 필요합니다. set ipv4/ipv6 address `prefix-list` 이는 별도의 명령입니다. 선택한 접두사 목록의 내용에 따라 경로의 IP 주소를 변경합니다. set automatic-tag . 시스템이 경로에 대한 태그 값을 자동으로 계산하도록 합니다. (모든 기타 라우팅 프로토콜) 일치하는 경로의 특성을 수정하려면 다음 set 명령문 조합을 구성합니다. 구성하지 않은 명령을 비활성화하려면 - 아이콘을 클릭해야 합니다. set metric . 변수를 클릭하고 메트릭 값을 0~4294967295 범위에서 입력합니다. 이 값은 EIGRP에서 사용되지 않습니다. set metric-type . 변수를 클릭하고 메트릭의 유형을 선택합니다. type-1 , type-2 를 입력합니다. OSPF의 외부 경로 유형입니다. 유형-2가 기본값입니다. internal . 경로의 다음 홉의 IGP(Internal Gateway Protocol) 메트릭과 일치하도록 eBGP(외부 BGP) 네이버에 알려진 접두사에 MED(Multi Exit Discriminator) 값을 설정합니다. 이는 생성된 내부 BGP(iBGP) 및 eBGP 파생 경로에 적용됩니다.
단계 9	허용/거부 절을 추가하여 경로 맵을 완료합니다. 절을 추가하려면 ... > Duplicate(중복)(permit 또는 deny 라인 왼쪽)를 클릭합니다. Duplicate(중복) 명령을 클릭하는 절 바로 뒤에 새 `redistribution sequence-number` 절이 추가됩니다. 경로 맵 절은 개체에 표시되는 순서가 아니라 시퀀스 번호의 순서대로 평가되지만 순차적인 순서로 새 절을 삽입하는 경우에는 개체를 수정하는 것이 더 쉽습니다. 개체 내에서 절을 이동할 수 없습니다. 절을 복제하면 미리 구성된 특성이 없는 새로운 빈 절이 삽입됩니다. "중복"을 생성한 후에는 위의 설명대로 진행하여 필요에 따라 구성합니다.
단계 10	OK(확인)를 클릭하여 개체를 저장합니다. 이제 경로 맵이 필요한 기능에 대해 라우팅 프로세스 컨피그레이션 또는 FlexConfig 개체에서 개체를 사용할 수 있습니다.

액세스 목록 구성

ACL(Access Control List)이라고도 알려진 액세스 목록 개체는 서비스를 적용할 트래픽을 선택합니다. 경로 맵과 같은 특별한 기능을 구성할 때 이러한 개체를 사용합니다. ACL에 의해 허용으로 식별된 트래픽은 서비스가 제공되는 반면 "차단된" 트래픽은 서비스에서 제외됩니다. 서비스에서 제외된 트래픽은 반드시 삭제된다는 의미는 아닙니다.

다음 유형의 ACL을 구성할 수 있습니다.

확장 - 소스 및 대상 주소와 포트를 기반으로한 트래픽을 식별합니다. IPv4 및 IPv6 주소를 지원합니다.
표준 - 대상 주소만을 기반으로 트래픽을 식별합니다. IPv4만 지원합니다.

ACL은 하나 이상의 ACE(액세스 제어 항목) 또는 규칙으로 구성됩니다. ACE의 순서는 중요합니다. ACL을 평가하여 패킷이 "permit" ACE와 일치하는지 확인할 때 패킷은 각 ACE 항목에 대해 해당 항목이 나열된 순서에 따라 테스트됩니다. 일치가 발견되면 ACE가 더 이상 점검되지 않습니다. 예를 들어 10.100.10.1과 일치시키면서 나머지 10.100.10.0/24를 제외하려는 경우 10.100.10.1에 대한 허용 항목이 10.100.10.0/24에 대한 거부 항목 앞에 와야 합니다. 일반적으로 더 구체적인 규칙이 ACL의 상단에 배치됩니다.

허용 항목과 일치하지 않는 패킷은 일치에서 거부되거나 제외된 것으로 간주됩니다.

다음 주제는 ACL 개체를 구성하는 방법을 설명합니다.

확장 액세스 목록 구성

소스, 대상 주소, 프로토콜, 포트를 기반으로 트래픽을 일치시키려고 하거나 트래픽이 IPv6인 경우 확장 ACL 개체를 사용합니다.

시작하기 전에

개체에서 생성하는 ACE에 필요한 네트워크 또는 포트 개체를 생성합니다.

프로시저

단계 1	Device(디바이스) > Advanced Configuration(고급 컨피그레이션)에서 View Configuration(컨피그레이션 보기)을 클릭합니다.
단계 2	목차에서 Smart CLI(스마트 CLI) > Objects(개체)를 선택합니다.
단계 3	다음 중 하나를 수행합니다. 개체를 생성하려면 + 버튼을 클릭합니다. 개체를 수정하려면 개체의 수정 아이콘()을 클릭하십시오. 참조되지 않는 개체를 삭제하려면 해당 개체의 휴지통 아이콘()을 클릭합니다.
단계 4	Standard Access List(표준 액세스 목록)을 CLI Template(CLI 템플릿)으로 선택합니다.
단계 5	스마트 CLI 개체의 Name(이름)을 입력합니다. 이 이름은 access list 명령에서 CLI 템플릿의 첫 번째 라인에 ACL 이름으로도 입력됩니다.
단계 6	ACL의 최상위 규칙이어야 하는 ACE를 생성합니다. 구축 시에 시스템이 명령을 일련의 ACE로 분할할 수 있더라도(특히 둘 이상의 네트워크 개체를 포함하는 경우) 단일 configure access list entry 명령 내에 포함된 각 명령 목록은 기본적으로 하나의 ACE입니다. 액세스 목록 항목 구성 명령에서 `action` 을 클릭하고 다음 중 하나를 선택합니다. permit —일치. 이 ACE와 일치하는 연결이 구성 중인 기능에 대해 선택됩니다. deny —일치하지 않음. 이 ACE와 일치하는 연결이 기능에서 제외됩니다. "denied" 트래픽이 삭제되는 것은 아니며 서비스만 해당 트래픽에 적용되지 않습니다. 예를 들어 경로 맵에서 이 ACL을 사용하여 재배포할 경로를 정의하는 경우 "거부됨" 주소 공간은 단순히 재배포되지 않습니다. permit/deny network 명령에서 변수를 클릭하여 연결의 소스 IP 주소 및 대상 IP 주소를 정의하는 네트워크 개체를 선택합니다. 여러 개체를 선택할 수 있습니다. "임의" 주소를 지정하려면 any-ipv4 및 any-ipv6 개체를 선택합니다. configure permit/deny port 명령에서 `options` 을 클릭하고 다음 중 하나를 선택합니다. 그러면 템플릿에 연결된 permit/deny 명령이 추가됩니다. any —포트가 중요하지 않은 경우. 즉, 모든 유형의 IP 트래픽과 일치합니다. any-source —소스 TCP/UDP 포트가 중요하지 않지만 대상 포트를 지정하려는 경우. permit/deny port 명령에서 `destination-port` 변수를 클릭하고 포트 개체를 선택합니다. any-destination —대상 TCP/UDP 포트가 중요하지 않지만 소스 포트를 지정하려는 경우. permit/deny port 명령에서 `source-port` 변수를 클릭하고 포트 개체를 선택합니다. source-destination —소스 및 대상 TCP/UDP 포트가 모두 중요한 경우. permit/deny port 명령에서 `source-port` 및 `destination-port` 변수를 클릭하고 포트 개체를 선택합니다. configure logging 명령에서 disabled 를 선택합니다. 로깅은 액세스 제어에 사용되는 ACL에 적용되며 이러한 개체는 액세스 제어에 사용할 수 없습니다. 따라서 어떤 옵션을 선택하든 로깅 옵션이 무시됩니다.
단계 7	ACE를 추가하여 ACL을 완료합니다. ACE를 추가하려면 ... > Duplicate(중복)(configure access list entry 라인 왼쪽)를 클릭합니다. Duplicate(중복) 명령을 클릭하는 ACE 바로 뒤에 새 ACE 그룹이 추가됩니다. 따라서 개체에 여러 ACE가 있는 경우 "중복"할 ACE를 현명하게 선택합니다. 개체 내에서 ACE를 이동할 수 없으므로 실수를 한 경우 올바른 위치에서 수동으로 ACE를 다시 생성해야 합니다. ACE를 복제하면 미리 구성된 특성이 없는 새로운 빈 ACE가 삽입됩니다. "중복"을 생성한 후에는 위의 설명대로 진행하여 필요에 따라 구성합니다.
단계 8	OK(확인)를 클릭하여 개체를 저장합니다. 이제 확장 ACL이 필요한 기능에 대해 경로 맵 개체 또는 FlexConfig 개체에서 개체를 사용할 수 있습니다.

표준 액세스 목록 구성

대상 IPv4 주소를 기준으로만 트래픽을 일치시키고 구성 중인 기능이 표준 ACL을 지원하면 표준 ACL 개체를 사용합니다. 그 외에는 확장 ACL을 사용합니다.

시작하기 전에

개체에서 생성하는 ACE에 필요한 네트워크 개체를 생성합니다.

프로시저

단계 1	Device(디바이스) > Advanced Configuration(고급 컨피그레이션)에서 View Configuration(컨피그레이션 보기)을 클릭합니다.
단계 2	목차에서 Smart CLI(스마트 CLI) > Objects(개체)를 선택합니다.
단계 3	다음 중 하나를 수행합니다. 개체를 생성하려면 + 버튼을 클릭합니다. 개체를 수정하려면 개체의 수정 아이콘()을 클릭하십시오. 참조되지 않는 개체를 삭제하려면 해당 개체의 휴지통 아이콘()을 클릭합니다.
단계 4	Standard Access List(표준 액세스 목록)을 CLI Template(CLI 템플릿)으로 선택합니다.
단계 5	스마트 CLI 개체의 Name(이름)을 입력합니다. 이 이름은 access list 명령에서 CLI 템플릿의 첫 번째 라인에 ACL 이름으로도 입력됩니다.
단계 6	ACL의 최상위 규칙이어야 하는 ACE를 생성합니다. 단일 configure action 명령 내에 포함된 각 명령 목록은 하나의 ACE입니다. configure action 명령에서 `action` 을 클릭하고 다음 중 하나를 선택합니다. permit —일치. 이 ACE와 일치하는 연결이 구성 중인 기능에 대해 선택됩니다. deny —일치하지 않음. 이 ACE와 일치하는 연결이 기능에서 제외됩니다. "denied" 트래픽이 삭제되는 것은 아니며 서비스만 해당 트래픽에 적용되지 않습니다. 예를 들어 경로 맵에서 이 ACL을 사용하여 재배포할 경로를 정의하는 경우 "거부됨" 주소 공간은 단순히 재배포되지 않습니다. permit/deny host 명령에서 변수를 클릭하여 연결의 대상 IP 주소를 정의하는 네트워크 개체를 선택합니다. 개체는 네트워크 또는 호스트 주소를 지정할 수 있습니다. permit/deny host 명령 당 하나의 개체를 선택할 수 있습니다. 명령에서 ... > Duplicate(중복)를 클릭하여 추가 주소를 지정합니다. 그러면 이 주소가 동일한 작업의 고유한 ACE가 됩니다. "임의" 주소를 지정하려면 any-ipv4 개체를 선택합니다.
단계 7	ACE를 추가하여 ACL을 완료합니다. ACE를 추가하려면 ... > Duplicate(중복)(configure action 라인 왼쪽)를 클릭합니다. Duplicate(중복) 명령을 클릭하는 ACE 바로 뒤에 새 ACE 그룹이 추가됩니다. 따라서 개체에 여러 ACE가 있는 경우 "중복"할 ACE를 현명하게 선택합니다. 개체 내에서 ACE를 이동할 수 없으므로 실수를 한 경우 올바른 위치에서 수동으로 ACE를 다시 생성해야 합니다. ACE를 복제하면 미리 구성된 특성이 없는 새로운 빈 ACE가 삽입됩니다. "중복"을 생성한 후에는 위의 설명대로 진행하여 필요에 따라 구성합니다.
단계 8	OK(확인)를 클릭하여 개체를 저장합니다. 이제 표준 ACL이 필요한 기능에 대해 경로 맵 개체 또는 FlexConfig 개체에서 개체를 사용할 수 있습니다.

AS 경로 액세스 목록 구성

AS 경로 액세스 목록을 사용하여 업데이트의 자율 시스템 번호를 기준으로 BGP 네이버 업데이트를 필터링할 수 있습니다. 허용된 AS 번호는 업데이트를 수락하는 반면 거부된 AS 번호는 업데이트를 거부합니다. 즉, 라우팅 테이블에 추가되지 않습니다.

또한 아웃바운드 방향으로 AS 경로 필터링을 적용하고 네이버에 보내는 업데이트를 필터링할 수도 있습니다.

또한 BGP 주소 집계를 위해 경로 맵에서 AS 경로 개체를 사용할 수 있습니다.

프로시저

단계 1	Device(디바이스) > Advanced Configuration(고급 컨피그레이션)에서 View Configuration(컨피그레이션 보기)을 클릭합니다.
단계 2	목차에서 Smart CLI(스마트 CLI) > Objects(개체)를 선택합니다.
단계 3	다음 중 하나를 수행합니다. 개체를 생성하려면 + 버튼을 클릭합니다. 개체를 수정하려면 개체의 수정 아이콘()을 클릭하십시오. 참조되지 않는 개체를 삭제하려면 해당 개체의 휴지통 아이콘()을 클릭합니다.
단계 4	CLI Template(CLI 템플릿)으로 ASPath를 선택합니다.
단계 5	스마트 CLI 개체의 Name(이름)을 입력합니다. 이름은 1~500 범위의 숫자여야 합니다. 이 이름은 as-path 명령에서 CLI 템플릿의 첫 번째 라인에 AS 경로 액세스 목록 이름으로도 입력됩니다.
단계 6	AS 경로 항목을 구성합니다. 각 항목은 `action` 옵션으로 시작하는 단일 라인에 포함됩니다. `action` 을 클릭하고 다음 중 하나를 선택합니다. permit —일치. 이 규칙과 일치하는 연결이 구성 중인 기능에 대해 선택됩니다. deny —일치하지 않음. 이 규칙과 일치하는 연결이 기능에서 제외됩니다. "denied" 트래픽이 삭제되는 것은 아니며 서비스만 해당 트래픽에 적용되지 않습니다. 예를 들어 경로 맵에서 이 개체를 사용하여 재배포할 경로를 정의하는 경우 "denied" 주소 공간은 단순히 재배포되지 않습니다. `regex` 를 클릭하고 이 항목과 일치해야 하는 AS 번호를 정의하는 정규식을 입력합니다. 가장 간단한 형식의 정규식은 완전한 AS 경로 번호일 뿐이며, 단일 자율 시스템에서 경로 업데이트를 허용하거나 거부합니다. AS 번호는 1~4294967295 또는 1.0~65535.65535가 될 수 있습니다. AS 번호는 인터넷에서 각 네트워크를 식별하는 고유한 할당 값입니다. 시스템은 RFC 5396에 정의된 대로 asplain 및 asplain 표기법을 지원합니다. 사용해야 하는 표기법은 BGP 전역 설정에서 bgp asnotation dot 명령을 활성화했는지 여부에 따라 달라집니다.
단계 7	항목을 추가하여 AS 경로 액세스 목록을 완성합니다. 항목을 추가하려면 ... > Duplicate(중복)(`action` 라인 왼쪽)를 클릭합니다. Duplicate(중복) 명령을 클릭하면 항목 바로 뒤에 새 항목이 추가됩니다. 따라서 개체에 항목이 많은 경우 "중복"할 항목을 현명하게 선택합니다. 개체 내에서 항목을 이동할 수 없으므로 실수를 한 경우 올바른 위치에서 수동으로 항목을 다시 생성해야 합니다. 규칙은 하향식으로 평가되며, 첫 번째 일치 항목이 적용됩니다. 항목을 복제하면 미리 구성된 특성이 없는 새로운 빈 항목이 삽입됩니다. "중복"을 생성한 후에는 위의 설명대로 진행하여 필요에 따라 구성합니다.
단계 8	OK(확인)를 클릭하여 개체를 저장합니다. 이제 AS 경로 액세스 목록이 필요한 기능에 대해 BGP 개체, 경로 맵 개체 또는 FlexConfig 개체에서 개체를 사용할 수 있습니다.

커뮤니티 목록 구성

BGP 프로세스에서 커뮤니티 정보를 전송하도록 활성화한 경우 커뮤니티 목록을 경로 맵에서 일치 절로 사용하여 일치하는 경로에 대한 특성을 설정할 수 있습니다. 예를 들어 특정 커뮤니티에 대한 경로 기본 설정을 변경할 수 있습니다.

커뮤니티는 공통 특성을 공유하는 대상 그룹에 대한 알려진 경로에 서비스 공급자가 연결할 선택적 특성 또는 레이블입니다. 특정 커뮤니티 번호는 ISP에서 알릴 수 있습니다. ISP에서 번호와 해당 의미를 가져온 다음 경로 맵을 사용하여 번호를 처리할 방법을 선택해야 합니다.

커뮤니티 목록은 순서가 지정되며, 일치하는 항목은 액세스 및 접두사 목록과 유사한 하향식 첫 번째 일치 항목으로 결정됩니다.

두 가지 유형의 커뮤니티 목록이 있습니다.

표준 — 서비스 공급자로부터 얻은 커뮤니티와 같이 잘 알려진 특정 커뮤니티를 대상으로 하려는 경우 표준 목록을 사용합니다.
확장 — 정규식 일치를 기반으로 커뮤니티 집합을 일치시키려는 경우 확장 목록을 사용합니다.

프로시저

단계 1	Device(디바이스) > Advanced Configuration(고급 컨피그레이션)에서 View Configuration(컨피그레이션 보기)을 클릭합니다.
단계 2	목차에서 Smart CLI(스마트 CLI) > Objects(개체)를 선택합니다.
단계 3	다음 중 하나를 수행합니다. 개체를 생성하려면 + 버튼을 클릭합니다. 개체를 수정하려면 개체의 수정 아이콘()을 클릭하십시오. 참조되지 않는 개체를 삭제하려면 해당 개체의 휴지통 아이콘()을 클릭합니다.
단계 4	CLI Template(CLI 템플릿)으로 Standard Community List(표준 커뮤니티 목록) 또는 Expanded Community List(확장 커뮤니티 목록)를 선택합니다.
단계 5	스마트 CLI 개체의 Name(이름)을 입력합니다. 이 이름은 community-list 명령에서 CLI 템플릿의 첫 번째 라인에 커뮤니티 목록 이름으로도 입력됩니다.
단계 6	(표준 목록) 커뮤니티 목록 항목을 구성합니다. 각 항목은 `action` 옵션으로 시작하는 단일 라인에 포함됩니다. `action` 을 클릭하고 다음 중 하나를 선택합니다. permit —일치. 이 규칙과 일치하는 연결이 구성 중인 기능에 대해 선택됩니다. deny —일치하지 않음. 이 규칙과 일치하는 연결이 기능에서 제외됩니다. "denied" 트래픽이 삭제되는 것은 아니며 서비스만 해당 트래픽에 적용되지 않습니다. 예를 들어 경로 맵에서 이 규칙을 사용하여 재배포할 경로를 정의하는 경우 "거부됨" 주소 공간은 단순히 재배포되지 않습니다. `community-number` 를 클릭하고 최대 10개의 커뮤니티를 공백으로 구분하여 입력합니다. 단일 규칙의 여러 커뮤니티는 AND 처리되므로 모든 커뮤니티가 경로에서 일치하는 경우에만 일치 항목이 존재합니다. BGP 프로세스에 대해 활성화된 번호 지정 방법에 따라 10진수 형식(1-4294967295) 또는 AA:NN 형식(각 값은 1~66535)으로 커뮤니티를 입력합니다. ISP 또는 다른 BGP 네이버에서 이러한 번호를 가져옵니다. (선택 사항). `properties` 를 클릭하고 잘 알려진 다른 커뮤니티를 규칙에 추가합니다. internet —이 커뮤니티 경로가 모든 피어(내부 및 외부)에게 알려집니다. no-advertise —이 커뮤니티 경로가 모든 피어(내부 또는 외부)에게 알려지지 않습니다. no-export —이 커뮤니티 경로가 같은 자율 시스템 안에 있는 피어 또는 연합 내의 다른 하위 자율 시스템에만 알려집니다. 이 경로는 외부 피어에 알려지지 않습니다.
단계 7	(확장 목록) 커뮤니티 목록 항목을 구성합니다. `action` 을 클릭하고 permit 또는 deny 를 선택합니다. 이러한 작업은 위에 설명되어 있습니다. `regex` 를 클릭하고 이 항목과 일치해야 하는 커뮤니티를 정의하는 정규식을 입력합니다. * 또는 + 문자를 사용하여 매칭할 경우 가장 긴 구성소를 가장 먼저 일치시킵니다. 중첩된 구성소는 외부에서 안쪽으로 일치시키며 연결된 구문은 왼쪽부터 일치시킵니다. 정규식이 한 입력 문자열의 서로 다른 두 부분과 매칭할 경우 가장 앞에 오는 것을 먼저 일치시킵니다. 정규식 쓰기에 대한 자세한 내용은 Cisco IOS Terminal Services 컨피그레이션 가이드의 "정규식" 부록을 참조하십시오.
단계 8	항목을 추가하여 커뮤니티 목록을 완성합니다. 항목을 추가하려면 ... > Duplicate(중복)(`action` 라인 왼쪽)를 클릭합니다. Duplicate(중복) 명령을 클릭하면 항목 바로 뒤에 새 항목이 추가됩니다. 따라서 개체에 항목이 많은 경우 "중복"할 항목을 현명하게 선택합니다. 개체 내에서 항목을 이동할 수 없으므로 실수를 한 경우 올바른 위치에서 수동으로 항목을 다시 생성해야 합니다. 항목을 복제하면 미리 구성된 특성이 없는 새로운 빈 항목이 삽입됩니다. "중복"을 생성한 후에는 위의 설명대로 진행하여 필요에 따라 구성합니다.
단계 9	OK(확인)를 클릭하여 개체를 저장합니다. 이제 경로 맵이나 라우팅 프로세스에서 또는 FlexConfig 개체에서 커뮤니티 목록이 필요한 기능에 대해 개체를 사용할 수 있습니다.

정책 목록 구성

하나 이상의 일치 절을 대체하기 위해 경로 맵의 정책 목록을 사용할 수 있습니다. 따라서 재사용하려는 일련의 일치 절이 있는 경우 정책 맵을 사용하면 컨피그레이션이 간소화되므로 각 경로 맵에서 일치 절을 반복할 필요가 없습니다. BGP의 정책 목록을 참조하는 경로 맵을 사용할 수 있습니다.

경로 맵 내에서 정책 목록 외에 다른 일치 절을 포함할 수 있습니다. 정책 목록 일치 절은 수신 특성에 대해서만 일치합니다.

정책 목록은 일치하는 IPv4 주소만 지원합니다. IPv6 주소와 일치시킬 수 없습니다.

정책 맵에 있는 일치 절의 경우:

여러 일치 절은 AND 처리됩니다. 즉, 경로가 정책 목록과 일치하려면 각 절을 충족해야 합니다.
단일 일치 절 내의 여러 값은 OR로 처리됩니다. 즉, 경로가 해당 match 명령문 내의 어떤 값이든 일치하는 경우 이는 전체적으로 명령문과 일치하는 것으로 간주됩니다.

시작하기 전에

액세스 목록, 접두사 목록 또는 AS 경로 액세스 목록에 대해 일치 절을 구성하려는 경우 정책 목록을 생성하기 전에 해당 개체를 생성해야 합니다.

프로시저

단계 1	Device(디바이스) > Advanced Configuration(고급 컨피그레이션)에서 View Configuration(컨피그레이션 보기)을 클릭합니다.
단계 2	목차에서 Smart CLI(스마트 CLI) > Objects(개체)를 선택합니다.
단계 3	다음 중 하나를 수행합니다. 개체를 생성하려면 + 버튼을 클릭합니다. 개체를 수정하려면 개체의 수정 아이콘()을 클릭하십시오. 참조되지 않는 개체를 삭제하려면 해당 개체의 휴지통 아이콘()을 클릭합니다.
단계 4	Policy List(정책 목록)을 CLI Template(CLI 템플릿)으로 선택합니다.
단계 5	스마트 CLI 개체의 Name(이름)을 입력합니다. 이 이름은 policy-list 명령에서 CLI 템플릿의 첫 번째 라인에 정책 목록 이름으로도 입력됩니다.
단계 6	policy-list 명령에서 `action` 을 클릭하여 다음 중 하나를 선택합니다. permit —일치. 이 목록과 일치하는 연결이 구성 중인 기능에 대해 선택됩니다. deny —일치하지 않음. 이 목록과 일치하는 연결이 기능에서 제외됩니다. "denied" 트래픽이 삭제되는 것은 아니며 서비스만 해당 트래픽에 적용되지 않습니다. 예를 들어 경로 맵에서 이 개체를 사용하여 재배포할 경로를 정의하는 경우 "denied" 주소 공간은 단순히 재배포되지 않습니다.
단계 7	템플릿 위의 Show Disabled(비활성화된 항목 표시)를 클릭하여 일치 명령을 표시합니다. 활성화하려는 match 명령문 왼쪽에있는 + 아이콘을 클릭해야 합니다. 다음 match 명령문의 조합을 구성하여 대상으로 하는 경로를 정의합니다. match as-path . 변수를 클릭하고 일치시킬 자율 시스템 번호를 정의하는 AS 경로 개체를 선택합니다. configure match ip address `list-type` . `list-type` 변수를 클릭하고 access-list 또는 prefix-list 를 기반으로 하는 경로의 IP 주소와 일치시킬지를 선택합니다. 그러면 변수를 클릭하고 일치시킬 IP 주소를 정의하는 IPv4 접두사 목록 또는 표준 액세스 목록을 선택할 수 있는 match ip address 명령이 추가됩니다. configure match ip next-hop `list-type` `list-type` 변수를 클릭하고 access-list 또는 prefix-list 를 기반으로 하는 경로의 다음 홉 라우터 IP 주소와 일치시킬지를 선택합니다. 그러면 변수를 클릭하고 일치시킬 IP 주소를 정의하는 IPv4 접두사 목록 또는 표준 액세스 목록을 선택할 수 있는 match ip next-hop 명령이 추가됩니다. configure match ip route-source `list-type` `list-type` 변수를 클릭하고 access-list 또는 prefix-list 를 기반으로 하는 경로의 경로 소스 IP 주소와 일치시킬지를 선택합니다. 그러면 변수를 클릭하고 일치시킬 IP 주소를 정의하는 IPv4 접두사 목록 또는 표준 액세스 목록을 선택할 수 있는 match ip route-source 명령이 추가됩니다. match community `community-list` `options` . `community-list` 변수를 클릭하고 일치시킬 커뮤니티를 정의하는 커뮤니티 목록 개체를 선택합니다. 목록의 모든 커뮤니티가 일치하는 경우에만 경로가 커뮤니티 목록과 일치하도록 하려면 `options` 를 클릭하고 exact-match 를 선택합니다. match interface . 변수를 클릭하고 일치시킬 경로의 모든 인터페이스를 선택합니다. match metric . 변수를 클릭하고 1~4294967295 범위에서 일치시킬 라우팅 MED(Multi-Exit dicator) 메트릭을 입력합니다. match tag . 변수를 클릭하고 일치시킬 경로 태그 값을 0~4294967295 범위에서 입력합니다.
단계 8	OK(확인)를 클릭하여 개체를 저장합니다. 이제 BGP 라우팅에 사용할 경로 맵 개체의 개체를 사용할 수 있습니다.

프리픽스 목록 구성

접두사 목록은 액세스 제어 목록과 유사합니다. 접두사 목록은 허용/거부 규칙의 순서가 지정된 목록입니다. 여기서 permit(허용)은 목록과 일치해야 하는 주소 접두사를, deny(거부)는 목록과 일치하지 않아야 하는 주소 접두사를 나타냅니다. 시스템은 일치 항목을 하향식으로 평가하고 첫 번째 일치 규칙을 기반으로 작업을 할당하며 반드시 가장 잘 일치하는 규칙을 기반으로 하는 것은 아닙니다. 따라서 필요한 일치 항목을 얻으려면 시퀀스 번호를 신중하게 지정해야 합니다.

경로 재분배 또는 삽입 또는 BGP 네이버 필터링을 위해 OSPF 필터링 또는 BGP, OSPF 또는 EIGRP 경로 맵에 접두사 목록을 사용할 수 있습니다.

IPv4 및 IPv6 주소에 대해 별도의 접두사 목록이 있지만 목록의 구조는 동일합니다.

프로시저

단계 1	Device(디바이스) > Advanced Configuration(고급 컨피그레이션)에서 View Configuration(컨피그레이션 보기)을 클릭합니다.
단계 2	목차에서 Smart CLI(스마트 CLI) > Objects(개체)를 선택합니다.
단계 3	다음 중 하나를 수행합니다. 개체를 생성하려면 + 버튼을 클릭합니다. 개체를 수정하려면 개체의 수정 아이콘()을 클릭하십시오. 참조되지 않는 개체를 삭제하려면 해당 개체의 휴지통 아이콘()을 클릭합니다.
단계 4	IPv4 Prefix List(IPv4 접두사 목록) 또는 IPv6 Prefix List(IPv6 접두사 목록)를 CLI Template(CLI 템플릿)으로 선택합니다.
단계 5	스마트 CLI 개체의 Name(이름)을 입력합니다. 이 이름은 prefix-list 명령에서 CLI 템플릿의 첫 번째 라인에 접두사 목록 이름으로도 입력됩니다.
단계 6	seq 명령줄인 접두사 목록 항목을 구성합니다. 각 항목은 seq 옵션으로 시작하는 단일 라인에 포함됩니다. seq 에서 `sequence-number` 를 클릭하고 이 규칙의 번호(1~4294967294)를 입력합니다. 이 번호는 다른 규칙의 시퀀스 번호와 관련이 있으며, 첫 번째로 평가되는 규칙은 1입니다. 일반적인 방법은 5, 10, 15 등으로 카운트를 건너뛰는 것입니다. 그러면 다른 규칙의 시퀀스 번호를 변경할 필요 없이 새 규칙을 삽입할 수 있습니다. `action` 을 클릭하고 다음 중 하나를 선택합니다. permit —일치. 이 규칙과 일치하는 연결이 구성 중인 기능에 대해 선택됩니다. deny —일치하지 않음. 이 규칙과 일치하는 연결이 기능에서 제외됩니다. "denied" 트래픽이 삭제되는 것은 아니며 서비스만 해당 트래픽에 적용되지 않습니다. 예를 들어 경로 맵에서 이 규칙을 사용하여 재배포할 경로를 정의하는 경우 "거부됨" 주소 공간은 단순히 재배포되지 않습니다. `ip-address-mask` 를 클릭하고 네트워크 주소 및 마스크(IPv4의 CIDR 형식) 또는 IPv6의 접두사 길이를 입력합니다. 예를 들어 10.100.10.0/24 (IPv4) 또는 2001:DB8:0:CD30::/60 (IPv6)과 같이 입력합니다. 시스템에서는 ge 또는 le 옵션 중 하나를 포함하지 않는 한 이 주소/마스크에 대해 정확히 일치하는 항목을 사용합니다. 예를 들어 규칙에 ge 9 를 포함하지 않은 경우 10.100.10.10/8은 10.100.10.0/24와 일치하지 않습니다. 마스크 또는 접두사 길이는 다음과 같을 수 있습니다. IPv4 = 0-32 IPv6 = 0-128 (선택 사항). ge 및 le 키워드를 사용하여 IP 주소 및 마스크/접두사 길이보다 구체적인 접두사에 대해 일치시킬 접두사 길이 범위를 지정할 수 있습니다. 이러한 키워드가 없으면 정확한 일치 항목만 규칙과 일치하는 것으로 간주됩니다. ge `min-prefix-length` 는 일치시킬 최소 접두사 길이를 지정합니다. 최소 길이는 마스크/접두사 길이보다 길어야 하며 옵션이 있는 경우 le 옵션에서 정의된 최대 길이와 같거나 짧아야 합니다. le `min-prefix-length` 는 일치시킬 최대 접두사 길이를 지정합니다. 최댓값은 최솟값(있는 경우)과 같거나 커야 하며 최솟값이 지정되지 않은 경우 마스크/접두사 길이보다 길어야 합니다. 위에 언급된 상대적 길이 제한 외에 이러한 옵션의 길이에는 다음과 같은 외부 제한이 있습니다. IPv4 = 1-32 IPv6 = 0-128
단계 7	항목을 추가하여 접두사 목록을 완성합니다. 항목을 추가하려면 ... > Duplicate(중복)(seq 라인 왼쪽)를 클릭합니다. Duplicate(중복) 명령을 클릭하면 항목 바로 뒤에 새 항목이 추가됩니다. 편의상 항목을 시퀀스 순서대로 유지하는 것이 가장 좋습니다. 그러나 구축 시 접두사 목록은 개체에서 혼합된 경우에도 사퀀스 순서로 다시 작성됩니다. 항목을 복제하면 미리 구성된 특성이 없는 새로운 빈 항목이 삽입됩니다. "중복"을 생성한 후에는 위의 설명대로 진행하여 필요에 따라 구성합니다.
단계 8	OK(확인)를 클릭하여 개체를 저장합니다. 이제 경로 맵이나 라우팅 프로세스에서 또는 FlexConfig 개체에서 접두사 목록이 필요한 기능에 대해 개체를 사용할 수 있습니다.

예

다음은 접두사 목록을 사용하여 접두사를 일치시키는 방법에 대한 몇 가지 예입니다. 시퀀스 번호는 간소화를 위해 예제에서 제외되었습니다. 각 규칙의 실제 동작은 해당 주소 공간의 하위 집합과 일치하는 이전 규칙에 의해 순차적으로 수정됩니다.

기본 경로 0.0.0.0/0 거부:

deny 0.0.0.0/0
접두사 10.0.0.0/8 허용:

permit 10.0.0.0/8
접두사가 192/8 인 경로에서 길이가 최대 24 비트 길이의 마스크 허용:

permit 192.168.0.0/8 le 24
접두사가 192/8 인 경로에 길이가 25비트보다 긴 마스크 거부 :

deny 192.168.0.0/8 ge 25
모든 주소 공간에서 8~24비트의 마스크 길이 허용:

permit 0.0.0.0/0 ge 8 le 24
모든 주소 공간에서 길이가 25비트보다 긴 마스크 거부:

deny 0.0.0.0/0 ge 25
접두사가 10/8인 모든 경로 거부:

deny 10.0.0.0/8 le 32
접두사가 192.168.1/24인 경로에 대해 길이가 25비트보다 긴 모든 마스크 거부:

deny 192.168.1.0/24 ge 25
접두사가 0/0인 모든 경로 허용:

permit 0.0.0.0/0 le 32

Cisco Secure Firewall Device Manager 구성 가이드, 버전 7.2

편견 없는 언어

번역에 관하여

Book Title

Cisco Secure Firewall Device Manager 구성 가이드, 버전 7.2

Chapter Title