이 문서에서는 Dell Networking N-시리즈 스위치에서 IPv4 ACL(Access Control List)을 구현하는 방법에 대해 설명합니다.
모든 DELL N-시리즈 스위치에서 구성할 수 있는 ACL의 최대 수는 100이며, ACL당 구성 가능한 규칙의 최대 수는 1023입니다.
ACL 구성은 다음 단계로 구성됩니다.
1. 시퀀스 번호를 사용하여 실행할 순서대로 ACL 규칙을 지정하는 액세스 그룹을 생성합니다. 규칙은 최저에서 최고 시퀀스 번호로 실행됩니다.
2. 수신 또는 송신 트래픽을 필터링하는 인터페이스에 액세스 그룹을 할당합니다.
예:
ACL의 기능을 보다 잘 설명하기 위해 예를 검토합니다. ACL의 영향을 받는 포트 gi1/0/10의 들어오는 트래픽이 네트워크 10.10.10.0 255.255.255.0에서 10.10.20.0 255.255.255.0 서브넷으로 향하는 udp 트래픽을 차단하고, 서브넷 192.168.1.0 255.255.255.0에서 네트워크로 향하는 icmp 패킷을 차단하며, 특정 호스트 172.16.1.10 서브넷에서 네트워크로 향하는 텔넷 프로토콜에 고유한 tcp 트래픽을 거부하고, 콘솔에 규칙 적중을 로그하는 상황을 살펴봅시다.
1. 그룹 액세스 생성
명령 |
목적 |
Dell# configure |
전역 구성 모드로 진입합니다. |
Dell(config)# ip access-list ACL-TEST |
이름을 지정하여 액세스 그룹을 생성합니다. 여기에서 액세스 그룹 ACL-TEST가 생성됩니다. ACL 이름에는 문자, 숫자, 점, 대시 또는 밑줄이 포함될 수 있지만 문자로만 시작해야 하며, 길이는 31자 이하여야 합니다. |
Dell(config-ip-acl)# 10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log |
첫 번째 규칙을 입력합니다. 시퀀스 번호가 가장 낮은지 확인합니다. 여기서는 시퀀스 번호 10이 부여됩니다. 이 규칙은 소스 10.10.10.0 서브넷(구문에 따라 와일드카드 마스크 0.0.0.25 입력)에서 10.10.10.20으로 향하는 udp 트래픽을 거부합니다. 규칙이 일치하면 작업이 콘솔에 로그됩니다. |
Dell(config-ip-acl)# 20 deny icmp 192.168.1.0 0.0.0.255 any log |
두 번째 규칙을 시퀀스 번호 20으로 입력하면 192.168.1.0 서브넷에서 네트워크로 향하는 icmp 트래픽을 거부하고 규칙 적중이 발생하면 로그합니다. |
Dell(config-ip-acl)# 30 deny tcp 172.16.1.0 0.0.0.255 any eq telnet log |
시퀀스 번호 30으로 세 번째 규칙을 입력해 172.16.1.0 네트워크에서 소싱된 네트워크로 향하는 텔넷 프로토콜 관련 tcp 트래픽을 거부하도록 지정하고 일치하는 규칙이 있으면 로그합니다. |
2. 인터페이스에 액세스 그룹 적용
명령 |
목적 |
Dell# configure |
전역 구성 모드로 진입합니다. |
Dell(config)# interface gigabitethernet 1/0/10 |
인터페이스별 구성 모드로 들어갑니다. |
Dell(config-if-Gi1/0/10)# ip access-group ACL-TEST in 10 |
모든 수신 또는 들어오는 트래픽에 액세스 그룹의 규칙이 적용되도록 인터페이스에 액세스 그룹을 적용합니다. 둘 이상의 액세스 그룹이 있는 경우 액세스 그룹에 오름차순 시퀀스 번호가 적용되도록 시퀀스 번호를 할당합니다. 시퀀스 번호가 지정되지 않으면 액세스 그룹에 시퀀스 번호가 자동으로 할당되고, 지정된 첫 번째 액세스 그룹은 가장 낮은 값을 사용합니다. |
ACL 검증 명령은 다음과 같습니다.
Dell#show ip access-lists
Current number of ACLs: 1 Maximum number of ACLs: 100
ACL Name Rules Interface(s) Direction Count
---------------------------------- -------- ------------------------- ----------------- ------
ACL-TEST 3 Gi1/0/10 Inbound 12
Dell#show ip access-lists ACL-TEST
IP ACL Name: ACL-TEST
Dell#show running-config | begin access
ip access-list ACL-TEST
10 deny udp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
MAC ACL를 구현하려면 https://kb.dell.com/infocenter/index?page=content&id=HOW12466 링크를 따르십시오.