스위치에서 IPv6 기반 ACL(Access Control List) 및 ACE(Access Control Entry) 구성

목표

ACL(Access Control List)은 보안 향상을 위해 사용되는 네트워크 트래픽 필터 및 상관된 작업의 목록입니다. 사용자가 특정 리소스에 액세스하지 못하도록 차단하거나 허용합니다. ACL에는 네트워크 디바이스에 대한 액세스가 허용되거나 거부된 호스트가 포함됩니다.

IPv6의 일반적인 ACL 기능은 IPv4의 ACL과 유사합니다. ACL은 스위치 인터페이스에서 차단할 트래픽과 전달할 트래픽을 결정합니다. ACL은 소스 및 목적지 주소, 특정 인터페이스에 대한 인바운드 및 아웃바운드 기반의 필터링을 허용합니다. 각 ACL의 끝에 암시적 거부 문이 있습니다. ACL에 대한 규칙은 ACE(Access Control Entries)에서 구성됩니다.

액세스 목록을 사용하여 네트워크에 액세스하기 위한 기본 보안 수준을 제공해야 합니다. 네트워크 디바이스에서 액세스 목록을 구성하지 않으면 스위치나 라우터를 통과하는 모든 패킷이 네트워크의 모든 부분에서 허용될 수 있습니다.

이 문서에서는 스위치에서 IPv6 기반 ACL 및 ACE를 구성하는 방법에 대한 지침을 제공합니다.

적용 가능한 디바이스

• Sx350 시리즈
• SG350X 시리즈
• Sx500 시리즈
• Sx550X 시리즈

소프트웨어 버전

• 1.4.5.02 - Sx500 시리즈
• 2.2.5.68 - Sx350 Series, SG350X Series, Sx550X Series

IPv6 기반 ACL 및 ACE 구성

IPv6 기반 ACL 구성

1단계. 웹 기반 유틸리티에 로그인한 다음 Access Control(액세스 제어) > IPv6-Based ACL로 이동합니다.

2단계. Add(추가) 버튼을 클릭합니다.

3단계. ACL Name 필드에 새 ACL의 이름을 입력합니다.

참고: 이 예에서는 IPv6 ACL이 사용됩니다.

4단계. Apply(적용)를 클릭하고 Close(닫기)를 클릭합니다.

5단계. (선택 사항) Save를 클릭하여 시작 컨피그레이션 파일에 설정을 저장합니다.

이제 스위치에 IPv6 기반 ACL을 구성해야 합니다.

IPv6 기반 ACE 구성

패킷이 포트에서 수신되면 스위치는 첫 번째 ACL을 통해 프레임을 처리합니다. 패킷이 첫 번째 ACL의 ACE 필터와 일치하면 ACE 작업이 수행됩니다. 패킷이 ACE 필터와 하나도 일치하지 않으면 다음 ACL이 처리됩니다. 모든 관련 ACL에서 어떤 ACE와도 일치하는 항목이 없으면 패킷이 기본적으로 삭제됩니다.

이 시나리오에서는 특정 사용자 정의 소스 IPv6 주소에서 임의의 대상 주소로 전송되는 트래픽을 거부하는 ACE가 생성됩니다.

참고: 이 기본 작업은 모든 트래픽을 허용하는 우선순위가 낮은 ACE를 생성하면 피할 수 있습니다.

1단계. 웹 기반 유틸리티에서 Access Control(액세스 제어) > IPv6-Based ACE로 이동합니다.

중요: Sx350, SG350X, Sx550X 스위치가 있는 경우 페이지의 오른쪽 위 모서리에 있는 Display Mode(표시 모드) 드롭다운 목록에서 Advanced(고급)를 선택하여 Advanced(고급) 모드로 변경합니다.

2단계. ACL Name(ACL 이름) 드롭다운 목록에서 ACL을 선택하고 Go(이동)를 클릭합니다.

참고: ACL에 대해 이미 구성된 ACE가 테이블에 표시됩니다.

3단계. Add(추가) 버튼을 클릭하여 ACL에 새 규칙을 추가합니다.

참고: ACL Name 필드에는 ACL의 이름이 표시됩니다.

4단계. Priority(우선순위) 필드에 ACE의 우선순위 값을 입력합니다. 우선 순위 값이 더 높은 ACE가 먼저 처리됩니다. 값 1이 가장 높은 우선 순위입니다. 1~2147483647의 범위를 가집니다.

참고: 이 예에서는 3이 사용됩니다.

5단계. 프레임이 ACE의 필수 기준을 충족할 때 취해지는 원하는 작업에 해당하는 라디오 버튼을 클릭합니다.

참고: 이 예에서는 Permit(허용)이 선택됩니다.

• Permit — 스위치는 ACE의 필수 조건을 충족하는 패킷을 전달합니다.
• 거부 — 스위치는 ACE의 필수 조건을 충족하는 패킷을 삭제합니다.

Shutdown — 스위치는 ACE의 필수 조건을 충족하지 않는 패킷을 삭제하고 패킷이 수신된 포트를 비활성화합니다. 비활성화된 포트는 Port Settings(포트 설정) 페이지에서 다시 활성화할 수 있습니다.

6단계(선택 사항) Enable Logging(로깅 활성화) 확인란을 선택하여 ACL 규칙과 일치하는 ACL 흐름을 로깅할 수 있습니다.

7단계. (선택 사항) Enable Time Range(시간 범위 활성화) 확인란을 선택하여 시간 범위를 ACE로 구성합니다. 시간 범위는 ACE가 적용되는 시간을 제한하기 위해 사용됩니다. 이 옵션을 비활성화하면 ACE는 언제든지 작동합니다.

8단계. (선택 사항) Time Range Name(시간 범위 이름) 드롭다운 목록에서 ACE에 적용할 시간 범위를 선택합니다.

주: 편집을 눌러 시간 범위 페이지에서 시간 범위를 탐색하고 생성할 수 있습니다.

9단계. Protocol 영역에서 프로토콜 유형을 선택합니다. ACE는 특정 프로토콜 또는 프로토콜 ID를 기반으로 생성됩니다.

옵션은 다음과 같습니다.

• Any (IP) — 이 옵션은 모든 IP 프로토콜을 허용하도록 ACE를 구성합니다.
• 목록에서 선택 — 이 옵션을 사용하면 드롭다운 목록에서 프로토콜을 선택할 수 있습니다. 이 옵션을 원하는 경우 10단계로 건너뜁니다.
• 일치시킬 프로토콜 ID — 이 옵션을 사용하면 프로토콜 ID를 입력할 수 있습니다. 이 옵션을 원하는 경우 11단계로 건너뜁니다.

참고: 이 예제에서는 목록에서 선택을 선택합니다.

10단계(선택 사항) 9단계에서 목록에서 선택을 선택한 경우 드롭다운 목록에서 프로토콜을 선택합니다.

옵션은 다음과 같습니다.

• TCP — TCP(Transmission Control Protocol)는 두 호스트가 통신하고 데이터 스트림을 교환할 수 있도록 합니다. TCP는 패킷 전달을 보장하며, 패킷이 전송된 순서대로 전송 및 수신되도록 보장합니다.
• UDP — UDP(User Datagram Protocol)는 패킷을 전송하지만 전달을 보장하지는 않습니다.
• ICMP — 패킷을 ICMP(Internet Control Message Protocol)에 일치시킵니다.

참고: 이 예에서는 TCP가 사용됩니다.

11단계. (선택 사항) 9단계에서 일치시킬 프로토콜 ID를 선택한 경우 일치시킬 프로토콜 ID 필드에 프로토콜 ID를 입력합니다.

참고: 이 예에서는 1이 사용됩니다.

12단계. Source IP Address(소스 IP 주소) 영역에서 원하는 ACE 기준에 해당하는 라디오 버튼을 클릭합니다.

옵션은 다음과 같습니다.

• Any — 모든 소스 IPv6 주소가 ACE에 적용됩니다.
• 사용자 정의 — Source IP Address Value 및 Source IP Prefix Length 필드에 ACE에 적용할 IP 주소 및 IP 와일드카드 마스크를 입력합니다.

참고: 이 예제에서는 사용자 정의를 선택합니다. Any(모두)를 선택한 경우 15단계로 건너뜁니다.

13단계. Source IP Address Value(소스 IP 주소 값) 필드에 소스 IP 주소를 입력합니다.

참고: 이 예에서는 fe80::d0ba:7021:37f7:d68d가 사용됩니다.

14단계. Source IP Prefix Length 필드에 소스 IP 접두사 길이를 입력합니다.

참고: 이 예에서는 128이 사용됩니다.

15단계. DestinationIP Address(대상 IP 주소) 영역에서 원하는 ACE 기준에 해당하는 라디오 버튼을 클릭합니다.

옵션은 다음과 같습니다.

• Any — 모든 대상 IPv6 주소가 ACE에 적용됩니다.
• 사용자 정의 — Destination IP Address Value 및 Destination IPrefix Length 필드에 ACE에 적용할 IP 주소 및 IP 와일드카드 마스크를 입력합니다.

참고: 이 예에서는 Any가 선택됩니다. 이 옵션을 선택하면 생성할 ACE에서 지정된 IPv6 주소에서 목적지로의 ACE 트래픽을 허용합니다.

16단계. (선택 사항) Source Port(소스 포트) 영역에서 라디오 버튼을 클릭합니다. 기본값은 Any입니다.

• Any — 모든 소스 포트와 일치합니다.
• Single from list — 패킷이 일치하는 단일 TCP/UDP 소스 포트를 선택할 수 있습니다. 이 필드는 목록에서 선택 드롭다운 메뉴에서 800/6-TCP 또는 800/17-UDP를 선택한 경우에만 활성화됩니다.
• Single by number — 패킷이 일치하는 단일 TCP/UDP 소스 포트를 선택할 수 있습니다. 이 필드는 목록에서 선택 드롭다운 메뉴에서 800/6-TCP 또는 800/17-UDP를 선택한 경우에만 활성화됩니다.
• 범위 — 패킷이 일치하는 TCP/UDP 소스 포트의 범위를 선택할 수 있습니다. 구성할 수 있는 8가지 다른 포트 범위가 있습니다(소스 포트와 목적지 포트 간에 공유됨). TCP 및 UDP 프로토콜은 각각 8개의 포트 범위를 가집니다.

17단계. (선택 사항) Destination Port(대상 포트) 영역에서 라디오 버튼을 클릭합니다. 기본값은 Any입니다.

• Any — 모든 소스 포트에 일치
• Single from list — 패킷이 일치하는 단일 TCP/UDP 소스 포트를 선택할 수 있습니다. 이 필드는 목록에서 선택 드롭다운 메뉴에서 800/6-TCP 또는 800/17-UDP를 선택한 경우에만 활성화됩니다.
• Single by number — 패킷이 일치하는 단일 TCP/UDP 소스 포트를 선택할 수 있습니다. 이 필드는 목록에서 선택 드롭다운 메뉴에서 800/6-TCP 또는 800/17-UDP를 선택한 경우에만 활성화됩니다.
• 범위 — 패킷이 일치하는 TCP/UDP 소스 포트의 범위를 선택할 수 있습니다. 구성할 수 있는 8가지 다른 포트 범위가 있습니다(소스 포트와 목적지 포트 간에 공유됨). TCP 및 UDP 프로토콜은 각각 8개의 포트 범위를 가집니다.

18단계(선택 사항) TCP Flags 영역에서 패킷을 필터링할 TCP 플래그를 하나 이상 선택합니다. 필터링된 패킷은 전달되거나 삭제됩니다. TCP 플래그로 패킷을 필터링하면 패킷 제어가 증가하여 네트워크 보안이 강화됩니다.

• Set — 플래그가 설정되어 있으면 일치시킵니다.
• Unset — 플래그가 설정되지 않은 경우 일치시킵니다.
• Don't care — TCP 플래그를 무시합니다.

TCP 플래그는 다음과 같습니다.

• Urg — 이 플래그는 수신 데이터를 긴급으로 식별하는 데 사용됩니다.
• Ack — 이 플래그는 패킷의 성공적인 수신을 확인하는 데 사용됩니다.
• Psh — 이 플래그는 데이터에 우선 순위(적격)가 부여되고 전송 또는 수신 끝에서 처리되도록 하는 데 사용됩니다.
• Rst — 이 플래그는 현재 연결을 위해 의도되지 않은 세그먼트가 도착할 때 사용됩니다.
• Syn — 이 플래그는 TCP 통신에 사용됩니다.
• Fin — 이 플래그는 통신 또는 데이터 전송이 완료될 때 사용됩니다.

19단계(선택 사항) Type of Service 영역에서 IP 패킷의 서비스 유형을 클릭합니다.

옵션은 다음과 같습니다.

• Any — 트래픽 혼잡에 대한 모든 유형의 서비스가 될 수 있습니다.
• DSCP to Match — Differentiated Services Code Point는 네트워크 트래픽을 분류하고 관리하는 메커니즘입니다. 각 노드에서 패킷이 경험하는 Per Hop Behavior를 선택하는 데 6비트(0~63)가 사용됩니다.
• 매칭할 IP 우선 순위 — IP 우선 순위는 네트워크가 적절한 QoS(Quality of Service) 약속을 제공하기 위해 사용하는 TOS(Type of Service) 모델입니다. 이 모델은 RFC 791 및 RFC 1349에 설명된 대로 IP 헤더에서 서비스 유형 바이트의 가장 중요한 세 비트를 사용합니다. IP Preference 값이 있는 키워드는 다음과 같습니다.

- 0 - 루틴용

- 1 - 우선 순위

- 2 - 즉시

- 3 - 플래시의 경우

- 4 - flash-override용

- 5 - 심각함

- 6 - 인터넷용

- 7 - 네트워크용

참고: 이 예에서는 Any가 선택됩니다.

20단계(선택 사항) ACL의 IP 프로토콜이 ICMP인 경우 필터링에 사용되는 ICMP 메시지 유형을 클릭합니다. 이름으로 메시지 유형을 선택하거나 메시지 유형 번호를 입력합니다.

• 모두 — 모든 메시지 유형이 수락됩니다.
• 목록에서 선택 — 이름별로 메시지 유형을 선택할 수 있습니다.
• ICMP Type to match — 필터링에 사용할 메시지 유형의 수.

참고: 이 예제에서는 목록에서 선택을 선택합니다.

단계 21. (선택사항) 단계 20에서 목록에서 선택을 선택한 경우 드롭다운 목록의 가능한 옵션에서 필터링할 제어 메시지를 선택합니다.

• Destination Unreachable (1) — 호스트 또는 해당 게이트웨이에서 어떤 이유로든 대상에 연결할 수 없음을 클라이언트에 알리기 위해 생성됩니다(예: Network 또는 Host unreachable error).
• 패킷이 너무 큼(2) — 데이터그램의 크기가 지정된 MTU를 초과합니다.
• Time Exceeded (3) — TTL(Time to Live) 필드가 0에 도달하여 폐기된 데이터그램을 소스에 알리기 위해 게이트웨이에서 생성됩니다.
• 매개 변수 문제 (4) — 다른 ICMP 메시지에서 특별히 다루지 않는 오류에 대한 응답으로 생성됩니다.
• 에코 요청(128) — 에코 응답에서 데이터가 다시 수신되어야 하는 ping입니다.
• Echo Reply (129) — 에코 요청에 따라 생성됩니다.
• MLD 쿼리(130) - 연결된 링크에 어떤 멀티캐스트 주소에 리스너가 있는지 확인하는 데 사용됩니다. 10진수로 130을 입력합니다.
• MLD 보고서(131) — 메시지 발신자가 수신 대기하는 IPv6 멀티캐스트 주소일 때 생성됩니다.
• MLD v2 보고서(143) - 버전 2의 MLD 보고서와 동일합니다.
• MLD Done(132) - 호스트가 그룹을 떠나면 네트워크의 멀티캐스트 라우터에 멀티캐스트 수신기 완료 메시지를 보냅니다.
• 라우터 요청(133) — 라우터 검색 메시지입니다. 호스트는 광고를 들을 때 인접 라우터의 주소를 검색합니다. 멀티캐스트의 경우 기본값은 224.0.0.2이고, 그렇지 않으면 255.255.255.255입니다.
• 라우터 광고(134) — 라우터는 각 멀티캐스트 인터페이스에서 라우터 광고를 주기적으로 멀티캐스팅하고 해당 인터페이스의 IP 주소를 알립니다.
• ND NS (135) — 다른 노드의 링크 계층 주소를 요청하는 메시지는 노드에 의해 생성되며, 중복 주소 감지 및 인접 디바이스 연결 불가능 감지와 같은 기능도 지원합니다.
• ND NA(136) - 메시지가 NS 메시지에 대한 응답으로 전송됩니다. 노드가 링크 계층 주소를 변경하는 경우, 새로운 주소를 알리기 위해 요청되지 않은 NA를 전송할 수 있습니다.

22단계(선택 사항) ICMP 메시지에는 메시지를 처리하는 방법을 나타내는 코드 필드가 포함될 수 있습니다. 이는 10단계에서 ICMP 프로토콜을 선택한 경우 활성화됩니다. 다음 옵션 중 하나를 클릭하여 이 코드를 필터링할지 여부를 구성합니다.

• Any — 모든 코드를 수락합니다.
• 사용자 정의 — 필터링 목적으로 ICMP 코드를 입력할 수 있습니다.

참고: 이 예에서는 Any가 선택됩니다.

23단계. Apply(적용)를 클릭하고 Close(닫기)를 클릭합니다. ACE가 생성되고 ACL 이름과 연결됩니다.

24단계. 시작 컨피그레이션 파일에 설정을 저장하려면 Save를 클릭합니다.

이제 스위치에 IPv6 기반 ACE를 구성해야 합니다.