SG350XG 및 SG550XG에서 MAC 기반 ACL 생성
목표
ACL(Access Control List)은 특정 기준을 충족하는지 여부에 따라 패킷을 조작하기 위해 만들 수 있는 규칙 집합입니다.이러한 기준은 패킷의 소스 또는 대상 주소, 헤더 필드 및 기타 다양한 구성 요소일 수 있습니다.패킷이 ACL의 지정된 기준과 일치하는 경우 삭제되거나 계속 진행할 수 있습니다.MAC 기반 ACL은 MAC 주소, VLAN ID 및 Ethertype 값과 같은 기준에 대해 패킷의 레이어 2 헤더를 분석하는 규칙을 사용합니다.MAC 기반 ACL을 구현하면 레이어 2 레벨에서 스위치를 통해 이동하는 패킷을 제어할 수 있습니다.
이 문서의 목적은 SG350XG 및 SG550XG 스위치에서 MAC 기반 ACL을 생성하고 구성하는 방법을 보여 주는 것입니다.
적용 가능한 디바이스
- SG350XG
- SG550XG
소프트웨어 버전
- v2.0.0.73
구성 MAC 기반 ACL
생성 중 ACL 및 규칙
1단계. 웹 컨피그레이션 유틸리티에 로그인하고 Access Control(액세스 제어) > MAC-Based ACL을 선택합니다.MAC 기반 ACL 페이지가 열립니다.
2단계. MAC 기반 ACL 테이블에 현재 스위치에 있는 모든 MAC 기반 ACL이 표시됩니다.새 ACL을 생성하려면 Add... 버튼을 클릭합니다.Add MAC-Based ACL(MAC 기반 ACL 추가) 창이 열립니다.
3단계. ACL Name(ACL 이름) 필드에 새 ACL의 이름을 입력합니다.이 이름은 ACL의 기능에 영향을 주지 않으며 식별용으로만 사용됩니다.
4단계. 적용을 클릭합니다.새 ACL이 MAC 기반 ACL 테이블에 추가됩니다.Close(닫기)를 클릭하여 MAC 기반 ACL 페이지로 돌아가거나 이전 단계를 반복하여 다른 ACL을 만듭니다.
5단계 새로 생성된 ACL은 비어 있습니다.즉, MAC 주소를 기반으로 패킷을 차단하거나 허용하는 규칙은 포함되지 않습니다.이러한 규칙을 생성하려면 ACE(Access Control Entry)를 ACL에 추가해야 합니다.이렇게 하려면 MAC-Based ACE Table(MAC 기반 ACE 테이블) 버튼을 클릭하여 MAC 기반 ACE 페이지로 이동합니다.
6단계. MAC 기반 ACE 페이지에서 MAC 기반 ACE 테이블 상단의 드롭다운 목록을 통해 ACE를 추가할 ACL을 선택하고 Go를 클릭합니다.테이블에는 현재 선택한 ACL과 연결된 ACE가 표시됩니다.ACE를 추가하려면 Add... 버튼을 클릭합니다.Add MAC-Based ACE(MAC 기반 ACE 추가) 창이 열립니다.
7단계. ACL 이름 필드에 ACE를 추가할 ACL의 이름이 표시됩니다.Priority 필드에 ACE의 우선순위 번호를 입력합니다.ACE의 우선 순위가 높을수록 더 빨리 처리될 것입니다.범위는 1~2147483647이며, 1이 가장 높은 우선 순위입니다.
8단계. Action 필드에서 라디오 버튼을 선택하여 ACE의 기준이 충족될 때 발생할 상황을 결정합니다.
옵션은 다음과 같습니다.
- 허용 - 기준을 충족하는 패킷을 전달합니다.
- Deny(거부) - 기준을 충족하는 패킷을 삭제합니다.
- Shutdown - 기준을 충족하는 패킷을 삭제한 다음 포트를 비활성화합니다.
9단계. Logging(로깅) 필드에서 Enable(활성화) 확인란을 선택하여 ACE 규칙과 일치하는 ACL 플로우 로깅을 활성화합니다.기본 표시 모드를 사용하는 경우 12단계로 건너뜁니다. 웹 유틸리티 오른쪽 상단 모서리에 있는 드롭다운 목록을 통해 표시 모드를 변경할 수 있습니다.
10단계. Time Range(시간 범위) 필드에서 Enable(활성화) 확인란을 선택하여 지정된 시간 범위 동안에만 ACE를 활성화할 수 있습니다.스위치에 구성된 기존 시간 범위가 없으면 이 필드를 사용할 수 없습니다.
11단계. 이 ACE에 대해 시간 범위를 활성화한 경우 시간 범위 이름 필드를 사용할 수 있습니다.드롭다운 목록을 사용하여 스위치에 이미 구성된 시간 범위를 선택하여 ACE에 적용합니다.스위치에 시간 범위가 없으면 이 필드를 사용할 수 없습니다.편집 링크를 눌러 시간 범위 페이지로 이동하여 시간 범위를 생성하거나 수정합니다.자세한 내용은 SG350XG 및 SG550XG의 시간 범위 설정 문서를 참조하십시오.
12단계. Destination MAC Address 필드에서 라디오 버튼을 선택하여 일치시킬 대상 MAC 주소를 결정합니다.대상 주소가 일치하게 하려면 Any를, 주소 또는 주소 범위를 지정하려면 User Defined를 선택합니다.
사용자 정의를 선택한 경우 다음 필드를 입력합니다.
- 대상 MAC 주소 값 - 대상 MAC 주소를 입력합니다.패킷에 이 목적지 주소가 포함된 경우 ACE는 이를 매칭으로 간주합니다.
- 대상 MAC 와일드카드 마스크 - 주소 범위를 정의할 마스크를 입력합니다.비트를 1로 설정하면 MAC 주소의 해당 비트가 무시되고 0은 일치하는 비트가 됩니다.
참고:00000 0000 00000000000000000000000000 11111111111의 마스크는 0이 있고 1이 있는 비트에 일치하지 않음을 의미합니다. 1을 16진수 값으로 변환하고 0을 4개마다 0을 작성해야 합니다.이 예에서는 1111 1111 = FF부터 마스크가 기록됩니다.00:00:00:00:00:FF로 설정합니다.
13단계. Source MAC Address 필드에서 라디오 버튼을 선택하여 일치시킬 소스 MAC 주소를 결정합니다.소스 주소가 일치하게 하려면 Any를, 주소 또는 주소 범위를 지정하려면 User Defined를 선택합니다.
사용자 정의를 선택한 경우 다음 필드를 입력합니다.
- 소스 MAC 주소 값 - 소스 MAC 주소를 입력합니다.패킷에 이 소스 주소가 포함된 경우 ACE는 이를 매칭으로 간주합니다.
- 소스 MAC 와일드카드 마스크 - 주소 범위를 정의할 마스크를 입력합니다.비트를 1로 설정하면 MAC 주소의 해당 비트가 무시되고 0은 일치하는 비트(예: 00:00:00:00:00:11)가 됩니다.
참고:00000 0000 00000000000000000000000000 11111111111의 마스크는 0이 있고 1이 있는 비트에 일치하지 않음을 의미합니다. 1을 16진수 값으로 변환하고 0을 4개마다 0을 작성해야 합니다.이 예에서는 1111 1111 = FF부터 마스크가 기록됩니다.00:00:00:00:00:FF로 설정합니다.
14단계. VLAN ID 필드에 1~4094의 VLAN ID를 입력합니다.패킷에 이 VLAN ID가 포함된 경우 ACE는 이를 매칭으로 간주합니다.이 필드는 필요하지 않습니다.비워 두면 ACE가 패킷을 검토할 때 VLAN ID를 고려하지 않습니다.
15단계. 802.1p 필드에서 포함 확인란을 선택하여 ACE에 802.1p 기준이 포함되도록 합니다.802.1p 기준을 포함하는 경우 802.1p Value(값)와 802.1p Mask(802.1p 마스크) 필드에 각각 802.1p 값과 마스크를 입력합니다.두 필드의 범위는 0 - 7입니다. 패킷에 해당하는 802.1p 값이 포함되어 있고 마스크에 맞는 경우 ACE는 해당 값을 매치하는 것으로 간주합니다.
16단계. Ethertype 필드에 수신 패킷과 비교할 Ethertype 값을 입력합니다.Ethertype은 패킷에서 캡슐화된 프로토콜을 나타내는 프레임의 28진수 필드입니다.범위는 5DD- FFFF입니다.패킷에 지정된 Ethertype 값이 포함된 경우 ACE는 이를 매칭으로 간주합니다.이더 타입 값 목록은 이 IEEE 표준 페이지에서 찾을 수 있습니다.
17단계. 적용을 클릭합니다.ACE가 지정된 ACL에 추가됩니다.Close(닫기)를 클릭하여 MAC 기반 ACE 페이지로 돌아갑니다.
MAC 기반 ACL 매핑 포트
1단계. ACL을 포트 또는 VLAN에 매핑할 수 있습니다.MAC 기반 ACL을 포트 또는 포트에 매핑하려면 Access Control(액세스 제어) > ACL Binding(Port)로 이동합니다. ACL 바인딩(포트) 페이지가 열립니다.
2단계. ACL 바인딩 테이블 상단의 드롭다운 목록에서 인터페이스 유형으로 포트 또는 LAG(링크 어그리게이션 그룹)를 선택합니다.스위치가 스택의 일부인 경우 다른 유닛의 포트를 선택할 수 있습니다.Go(이동)를 클릭하여 지정된 인터페이스 유형의 목록을 표시합니다.
3단계. 인터페이스의 확인란을 선택한 다음 편집... 버튼을 클릭합니다.Edit ACL Binding 창이 열립니다.
4단계. Interface 필드에는 현재 구성 중인 포트 또는 LAG가 표시됩니다.그러면 ACL 바인딩 테이블에서 선택한 인터페이스가 자동으로 표시됩니다.이 필드를 사용하여 ACL 바인딩(포트) 페이지로 돌아가지 않고 다른 인터페이스 간에 빠르게 전환할 수 있습니다.
5단계. Select MAC-Based ACL(MAC 기반 ACL 선택) 확인란을 선택하고 드롭다운 목록을 사용하여 지정된 인터페이스에 매핑할 ACL을 선택합니다.
6단계. Default Action 필드에서 라디오 버튼을 선택하여 ACL 기준과 일치하지 않는 패킷의 처리 방법을 결정합니다.기본값은 Deny Any이며, ACL 기준과 일치하지 않는 패킷은 삭제합니다.Permit Any는 대신 일치하지 않는 패킷을 전달합니다.
7단계. 적용을 클릭합니다.ACL은 지정된 인터페이스에 매핑됩니다.Interface 필드를 사용하여 구성할 다른 인터페이스를 선택하거나 Close를 클릭하여 ACL Binding (Port) 페이지로 돌아갈 수 있습니다.
8단계. 인터페이스의 설정을 다른 인터페이스에 빠르게 복사하려면 복사할 인터페이스의 확인란을 선택한 다음 Copy Settings.. 버튼을 클릭합니다.설정 복사 창이 열립니다.
9단계. 텍스트 필드에 설정을 복사할 인터페이스를 입력합니다.인터페이스는 쉼표로 구분하거나 범위를 지정할 수 있습니다.
10단계. 적용을 누릅니다.설정이 복사됩니다.
11단계. 인터페이스의 설정을 지우려면 해당 확인란을 선택하고 지우기를 클릭합니다.여러 인터페이스를 동시에 선택하고 지울 수 있습니다.
MAC 기반 ACL을 VLAN에 매핑
1단계. ACL을 포트 또는 VLAN에 매핑할 수 있습니다.MAC 기반 ACL을 VLAN에 매핑하려면 Access Control(액세스 제어) > ACL Binding(VLAN)로 이동합니다. VLAN(ACL Binding) 페이지가 열립니다.
2단계. ACL 바인딩 테이블에는 현재 VLAN에 매핑된 모든 ACL이 표시됩니다.매핑된 ACL이 없으면 테이블이 비어 있습니다.ACL을 VLAN에 매핑하려면 Add... 버튼을 클릭합니다.Add ACL Binding 창이 열립니다.
3단계. VLAN ID 필드의 드롭다운 목록을 사용하여 ACL을 매핑할 VLAN을 선택합니다.또한 이 필드를 사용하여 VLAN(ACL Binding) 페이지로 돌아가지 않고 다른 VLAN 간에 빠르게 전환할 수 있습니다.
4단계. Select MAC-Based ACL(MAC 기반 ACL 선택) 확인란을 선택하고 드롭다운 목록을 사용하여 지정된 VLAN에 매핑할 ACL을 선택합니다.
참고:기준의 일부로 VLAN ID를 사용하는 MAC 기반 ACL을 VLAN에 바인딩할 수 없습니다.또한 시간 범위의 ACL은 VLAN에 바인딩할 수 없습니다.
5단계. Default Action 필드에서 라디오 버튼을 선택하여 ACL 기준과 일치하지 않는 패킷의 처리 방법을 결정합니다.기본값은 Deny Any이며, ACL 기준과 일치하지 않는 패킷은 삭제합니다.Permit Any는 대신 일치하지 않는 패킷을 전달합니다.
6단계. 적용을 클릭합니다.ACL은 지정된 VLAN에 매핑됩니다.VLAN ID 필드를 사용하여 구성할 다른 VLAN을 선택하거나 Close(닫기)를 클릭하여 ACL 바인딩(VLAN) 페이지로 돌아갈 수 있습니다.
7단계. VLAN의 설정을 다른 VLAN에 빠르게 복사하려면 복사할 VLAN 컨피그레이션의 확인란을 선택한 다음 Copy Settings.. 버튼을 클릭합니다.설정 복사 창이 열립니다.
8단계. 텍스트 필드에 설정을 복사할 VLAN ID 또는 VLAN ID를 입력합니다.ID는 쉼표로 구분하거나 범위를 지정할 수 있습니다.
9단계. 적용을 클릭합니다.설정이 복사됩니다.
10단계. VLAN 설정을 지우려면 해당 확인란을 선택하고 삭제를 클릭합니다.여러 VLAN을 동시에 선택하고 지울 수 있습니다.
피드백