WAP371의 ACL 규칙 컨피그레이션

목표

ACL(Network Access Control List)은 서브넷에서 들어오고 나가는 트래픽을 제어하는 방화벽 역할을 하는 선택적 보안 레이어입니다.액세스 목록은 여러 가지 이유로 보안을 제공하는 허용 및 거부 조건 또는 규칙의 모음입니다.예를 들어, 이러한 규칙은 권한이 없는 사용자를 차단하고, 권한이 있는 사용자가 특정 리소스에 액세스하도록 허용하며, 네트워크 리소스에 도달하려는 무단 시도를 차단할 수 있습니다.

이 문서의 목적은 WAP 371에서 ACL 규칙을 구성하는 방법을 보여 주는 것입니다.

적용 가능한 디바이스

· WAP371

소프트웨어 버전

· v1.2.0.2

ACL 규칙 컨피그레이션

ACL 컨피그레이션

1단계. 웹 구성 유틸리티에 로그인하고 Client QoS(클라이언트 QoS) > ACL을 선택합니다.ACL 페이지가 열립니다.

2단계. ACL 이름 필드에 원하는 ACL 이름을 입력합니다.범위는 1~31자입니다.

참고:ACL 이름은 특정 ACL의 식별자입니다.디바이스 작동에는 영향을 미치지 않습니다.

3단계. ACL 유형 드롭다운 목록에서 ACL 유형을 선택합니다.

옵션은 다음과 같습니다.

· IPv4 - 32비트(4바이트) 주소.

· IPv6 - IPv4의 후속 항목은 128비트(8바이트) 주소로 구성됩니다.

· MAC - MAC 주소는 네트워크 인터페이스에 할당된 고유 주소입니다.

참고:IPv4 및 IPv6 ACL은 레이어 3 및 레이어 4 기준을 기반으로 네트워크 리소스에 대한 액세스를 제어합니다.MAC ACL은 레이어 2 기준을 기반으로 액세스를 제어합니다.

4단계. Add ACL(ACL 추가)을 클릭하여 새 ACL을 추가합니다.


 

IPv4 및 IPv6에 대한 ACL 규칙 컨피그레이션

참고:다음 스크린샷은 IPv4 ACL 규칙에 사용되지만 IPv6 ACL 규칙과 상호 사용할 수 있습니다.

1단계. Action(작업) 드롭다운 목록에서 규칙에 대한 작업을 선택합니다.

옵션은 다음과 같이 설명합니다.

· Permit(허용) - 규칙은 규칙 기준을 충족하는 모든 트래픽이 WAP 디바이스에 들어오거나 나갈 수 있도록 허용합니다.기준을 충족하지 않는 트래픽은 삭제됩니다.

· Deny(거부) - 규칙이 규칙 기준을 충족하는 모든 트래픽이 WAP 디바이스에 들어오거나 나가는 것을 차단합니다.기준을 충족하지 않는 트래픽은 다음 규칙으로 전달됩니다.최종 규칙인 경우 명시적으로 허용되지 않는 트래픽은 삭제됩니다.

2단계. Match Every Packet(모든 패킷 일치) 확인란을 선택하거나 선택 취소합니다.이 옵션을 선택하면 허용 또는 거부 작업이 있는 규칙이 내용과는 상관없이 프레임 또는 패킷과 일치합니다.

참고:이 필드를 선택하면 추가 일치 기준을 구성할 수 없습니다.Match Every Packet 옵션은 새 규칙에 대해 기본적으로 선택됩니다.다른 일치 필드를 구성하려면 옵션을 지워야 합니다.

3단계. IPv4 패킷의 IP Protocol 필드 값 또는 IPv6 패킷의 Next Header 필드에 따라 L3 또는 L4 프로토콜 일치 조건을 사용하려면 Protocol 확인란을 선택합니다.Protocol(프로토콜) 확인란을 선택한 경우 다음 라디오 버튼 중 하나를 선택합니다.

옵션은 다음과 같이 설명합니다.

· 목록에서 선택 — 목록에서 선택 드롭다운 목록에서 프로토콜을 선택합니다.옵션은 다음과 같습니다.

- IP - IP(Internet Protocol)는 네트워크 간 데이터 릴레이를 위한 인터넷 프로토콜 제품군의 주요 통신 프로토콜입니다.

- ICMP - ICMP(Internet Control Message Protocol)는 라우터와 같은 디바이스에서 오류 메시지를 보내는 데 사용되는 인터넷 프로토콜 제품군의 프로토콜입니다.

- IGMP - IGMP(Internet Group Management Protocol)는 호스트가 IPv4 네트워크에서 멀티캐스트 그룹 멤버십을 설정하는 데 사용하는 통신 프로토콜입니다.

- TCP - TCP(Transmission Control Protocol)를 사용하면 두 호스트가 데이터 스트림을 연결하고 교환할 수 있습니다.

- UDP - User Datagram Protocol은 연결 없는 전송 모델을 사용하는 인터넷 프로토콜 제품군의 프로토콜입니다.

· 값에 일치 — 목록에 없는 모든 프로토콜에 대해 0~255 범위의 표준 IANA 할당 프로토콜 ID를 입력합니다.IANA 할당 프로토콜 ID에 대한 자세한 내용은 할당된 인터넷 프로토콜 번호를 참조하십시오.

4단계. 소스의 IP 주소를 일치 조건에 포함하려면 Source IP Address 확인란을 선택합니다.소스의 IP 주소와 와일드카드 마스크를 각 필드에 입력합니다.와일드카드 마스크는 사용할 소스 주소의 비트와 무시되는 비트를 결정합니다.반전된 서브넷 마스크로 간주할 수 있습니다.이는 일부 라우팅 프로토콜의 네트워크 또는 서브넷 크기를 나타내거나 IP 주소 범위를 허용하거나 거부하는 데 유용합니다.

참고:Source IP Address(소스 IP 주소) 확인란을 선택한 경우 Wild Card Mask(와일드 카드 마스크) 필드가 필요합니다.

5단계. 일치 조건에 소스 포트를 포함하려면 Source Port 확인란을 선택합니다.Source Port(소스 포트) 확인란을 선택한 경우 다음 라디오 버튼 중 하나를 선택합니다.

옵션은 다음과 같이 설명합니다.

· 목록에서 선택 — 목록에서 선택 드롭다운 목록에서 소스 포트를 선택합니다.옵션은 다음과 같습니다.

- FTP - FTP(File Transfer Protocol)는 인터넷과 같은 TCP 기반 네트워크를 통해 한 호스트에서 다른 호스트로 파일을 전송하는 데 사용되는 표준 네트워크 프로토콜입니다.

- FTP 데이터 - 일반적으로 포트 20을 통해 클라이언트에 연결된 서버에서 시작하는 데이터 채널입니다.

- HTTP - HTTP(Hypertext Transfer Protocol)는 World Wide Web에 대한 데이터 통신의 기반인 애플리케이션 프로토콜입니다.

- SMTP - SMTP(Simple Mail Transfer Protocol)는 전자 메일(이메일) 전송을 위한 인터넷 표준입니다.

- SNMP - SNMP(Simple Network Management Protocol)는 IP 네트워크에서 디바이스를 관리하기 위한 인터넷 표준 프로토콜입니다.

- 텔넷 - 양방향 인터랙티브 텍스트 지향 통신을 제공하기 위해 인터넷 또는 LAN에서 사용되는 세션 계층 프로토콜입니다.

- TFTP - TFTP(Trivial File Transfer Protocol)는 FTP보다 사용하기 간단하지만 성능이 떨어지는 파일을 전송하기 위한 인터넷 소프트웨어 유틸리티입니다.

- WWW - World Wide Web은 HTTP 형식의 문서를 지원하는 인터넷 서버 시스템입니다.

· Match to Port(포트에 일치) — 목록에 없는 소스 포트의 Match to Port(포트 일치) 필드에 0~65535의 포트 번호를 입력합니다.범위는 3가지 유형의 포트를 포함합니다.범위는 다음과 같이 설명되어 있습니다.

- 0~1023 — 잘 알려진 포트.

- 1024~49151 — 등록된 포트.

- 49152~65535 — 동적 및/또는 프라이빗 포트

6단계. 대상의 IP 주소를 일치 조건에 포함하려면 Destination IP Address 확인란을 선택합니다.각 필드에 대상의 IP 주소와 와일드카드 마스크를 입력합니다.와일드카드 마스크는 사용할 소스 주소의 비트와 무시되는 비트를 결정합니다.반전된 서브넷 마스크로 간주할 수 있습니다.이는 일부 라우팅 프로토콜의 네트워크 또는 서브넷 크기를 나타내거나 IP 주소 범위를 허용하거나 거부하는 데 유용합니다.

참고:Destination IP Address(대상 IP 주소) 확인란을 선택한 경우 Wild Card Mask(와일드카드 마스크) 필드가 필요합니다.

참고:단일 IP 주소만 매칭하려면 와일드카드 마스크 0.0.0.0을 사용합니다.

7단계. 대상 포트 확인란을 선택하여 일치 조건에 대상 포트를 포함합니다.Destination Port 확인란을 선택한 경우 다음 라디오 버튼 중 하나를 선택합니다.

옵션은 다음과 같이 설명합니다.

· 목록에서 선택 — 목록에서 선택 드롭다운 목록에서 대상 포트를 선택합니다.드롭다운 목록 옵션은 다음과 같습니다.

- FTP - FTP(File Transfer Protocol)는 인터넷과 같은 TCP 기반 네트워크를 통해 한 호스트에서 다른 호스트로 파일을 전송하는 데 사용되는 표준 네트워크 프로토콜입니다.

- FTP 데이터 - 일반적으로 포트 20을 통해 클라이언트에 연결된 서버에서 시작하는 데이터 채널입니다.

- HTTP - HTTP(Hypertext Transfer Protocol)는 World Wide Web에 대한 데이터 통신의 기반인 애플리케이션 프로토콜입니다.

- SMTP - SMTP(Simple Mail Transfer Protocol)는 전자 메일(이메일) 전송을 위한 인터넷 표준입니다.

- SNMP - SNMP(Simple Network Management Protocol)는 IP 네트워크에서 디바이스를 관리하기 위한 인터넷 표준 프로토콜입니다.

- 텔넷 - 양방향 인터랙티브 텍스트 지향 통신을 제공하기 위해 인터넷 또는 LAN에서 사용되는 세션 계층 프로토콜입니다.

- TFTP - TFTP(Trivial File Transfer Protocol)는 FTP보다 사용하기 간단하지만 성능이 떨어지는 파일을 전송하기 위한 인터넷 소프트웨어 유틸리티입니다.

- WWW - World Wide Web은 HTTP 형식의 문서를 지원하는 인터넷 서버 시스템입니다.

· Match to Port(포트에 일치) — 목록에 없는 대상 포트의 Match to Port(포트에 일치) 필드에 0~65535 범위의 포트 번호를 입력합니다.범위는 3가지 유형의 포트를 포함합니다.범위는 다음과 같이 설명되어 있습니다.

- 0~1023 — 잘 알려진 포트

- 1024~49151 — 등록된 포트.

- 49152~65535 — 동적 및/또는 전용 포트

참고:서비스 유형 영역에서 서비스 중 하나만 선택할 수 있으며 일치 조건에 대해 추가할 수 있습니다.
 

IPv4에 대한 ACL 규칙 서비스 유형 컨피그레이션

1단계. IP DSCP 값을 기반으로 패킷을 매칭하려면 IP DSCP 확인란을 선택합니다.DSCP는 프레임의 IP 헤더에 대한 트래픽 우선순위를 지정하는 데 사용됩니다.그러면 연결된 트래픽 스트림에 대한 모든 패킷이 목록에서 선택한 IP DSCP 값으로 분류됩니다.IP DSCP 확인란을 선택한 경우 다음 라디오 버튼 중 하나를 선택합니다.

옵션은 다음과 같이 설명합니다.

· 목록에서 선택 — 목록에서 선택 드롭다운 목록에서 IP DSCP 값을 선택합니다.옵션은 다음과 같습니다.

- DSCP AS(Assured Forwarding) - 트래픽이 일부 서브스크립션 속도를 초과하지 않는 한 운영자가 딜리버리 보장을 제공할 수 있습니다.

- CS(Class of Service) - Precedence(우선순위) 필드를 사용하는 네트워크 디바이스와의 이전 버전과의 호환성을 허용합니다.

- 빠른 전송(EF) - DS(DiffServ) 도메인을 통해 낮은 손실, 낮은 레이턴시, 낮은 지터, 보장된 대역폭, 엔드 투 엔드 서비스를 구축하는 데 사용됩니다.

· 값에 일치 — DSCP 값을 사용자 지정하려면 값 일치 필드에 0~63 범위의 DSCP 값을 입력합니다.

참고:DSCP에 대한 자세한 내용은 DSCP 및 우선 순위 값을 참조하십시오.

2단계. 일치 조건에 IP 우선 순위 값을 포함하려면 IP 우선 순위 확인란을 선택합니다.이는 각 IP 패킷에 우선순위를 할당하는 메커니즘입니다. 여기서 0은 가장 낮은 우선순위이고 7은 가장 높은 우선순위입니다.IP Precedence(IP 우선 순위) 확인란을 선택한 경우 0~7 범위의 IP 우선순위 값을 입력합니다.

참고:IP 우선 순위에 대한 자세한 내용은 DSCP 및 우선 순위 값을 참조하십시오.

3단계. IP 헤더에서 패킷의 TOS(Type of Service) 비트를 일치 기준으로 사용하려면 IP TOS Bits 확인란을 선택합니다.TOS 필드는 데이터그램의 우선순위를 지정하고 그에 따라 라우팅하는 데 사용됩니다.IP TOS Bits(IP TOS 비트) 확인란을 선택한 경우 해당 필드에 00-FF 및 IP TOS 마스크의 범위가 00-FF인 IP TOS 비트를 입력합니다.

4단계. (선택 사항) 구성된 ACL을 삭제하려면 Delete ACL 확인란을 선택합니다.

5단계. 저장을 클릭하여 설정을 저장합니다.

IPv6에 대한 ACL 규칙 컨피그레이션

1단계. IPv6 패킷에 고유한 20비트 번호를 설정하려면 IPv6 Flow Label(IPv6 플로우 레이블) 확인란을 선택합니다.라우터에서 QoS 처리를 나타내는 데 엔드 스테이션에서 사용됩니다(범위 0~1048575).

2단계. IPv6 DSCP 확인란을 선택하여 IP DSCP 값을 기반으로 패킷을 확인합니다.DSCP는 프레임의 IP 헤더에 대한 트래픽 우선순위를 지정하는 데 사용됩니다.그러면 연결된 트래픽 스트림에 대한 모든 패킷이 목록에서 선택한 IP DSCP 값으로 분류됩니다.IPv6 DSCP 확인란을 선택한 경우 다음 라디오 버튼 중 하나를 선택합니다.

옵션은 다음과 같이 설명합니다.

· 목록에서 선택 — 목록에서 선택 드롭다운 목록에서 IP DSCP 값을 선택합니다.옵션은 다음과 같습니다.

- DSCP AS(Assured Forwarding) - 트래픽이 일부 서브스크립션 속도를 초과하지 않는 한 운영자가 딜리버리 보장을 제공할 수 있습니다.

- CS(Class of Service) - Precedence(우선 순위) 필드를 사용하는 네트워크 디바이스와의 역호환성을 허용합니다.

- 빠른 전송(EF) - DS(DiffServ) 도메인을 통해 낮은 손실, 낮은 레이턴시, 낮은 지터, 보장된 대역폭, 엔드 투 엔드 서비스를 구축하는 데 사용됩니다.

· 값에 일치 — DSCP 값을 사용자 지정하려면 값 일치 필드에 0~63 범위의 DSCP 값을 입력합니다.

참고:DSCP에 대한 자세한 내용은 DSCP 및 우선 순위 값을 참조하십시오.

3단계. (선택 사항) 구성된 ACL을 삭제하려면 Delete ACL 확인란을 선택합니다.

4단계. 설정을 저장하려면 저장을 클릭합니다.

MAC용 ACL 규칙 컨피그레이션

1단계. Action(작업) 드롭다운 목록에서 규칙에 대한 작업을 선택합니다.

옵션은 다음과 같이 설명합니다.

· Permit(허용) - 규칙은 규칙 기준을 충족하는 모든 트래픽이 WAP 디바이스에 들어오거나 나갈 수 있도록 허용합니다.기준을 충족하지 않는 트래픽은 삭제됩니다.

· Deny(거부) - 규칙이 규칙 기준을 충족하는 모든 트래픽이 WAP 디바이스에 들어오거나 나가는 것을 차단합니다.기준을 충족하지 않는 트래픽은 다음 규칙으로 전달됩니다.최종 규칙인 경우 명시적으로 허용되지 않는 트래픽은 삭제됩니다.

2단계. Match Every Packet(모든 패킷 일치) 확인란을 선택하거나 선택 취소합니다.이 옵션을 선택하면 허용 또는 거부 작업이 있는 규칙이 내용과는 상관없이 프레임 또는 패킷과 일치합니다.

참고:이 필드를 선택하면 추가 일치 기준을 구성할 수 없습니다.Match Every Packet 옵션은 새 규칙에 대해 기본적으로 선택됩니다.다른 일치 필드를 구성하려면 옵션을 지워야 합니다.

3단계. 이더넷 유형 확인란을 선택하여 일치 기준을 이더넷 프레임 헤더의 값과 비교합니다.이더 유형 확인란을 선택한 경우 다음 라디오 버튼 중 하나를 선택합니다.

옵션은 다음과 같이 설명합니다.

· 목록에서 선택 — 목록에서 선택 드롭다운 목록에서 프로토콜을 선택합니다.옵션은 다음과 같습니다.

- AppleTalk - AppleTalk는 Macintosh 컴퓨터를 위해 Apple Inc.가 개발한 네트워크 프로토콜의 독점 제품군입니다.AppleTalk에는 사전 설정 없이 LAN을 연결하거나 중앙 집중식 라우터나 서버 등 모든 종류의 연결을 지원하는 여러 기능이 포함되어 있습니다.

- ARP - ARP(Address Resolution Protocol)는 네트워크 레이어 주소를 다중 액세스 네트워크에서 중요한 기능인 링크 레이어 주소로 변환하는 데 사용되는 통신 프로토콜입니다.

- IPv4 - IPv4(Internet Protocol version 4)는 IP(Internet Protocol) 개발 시 네 번째 버전입니다. 이는 인터넷에서 표준 기반 인터네트워킹 방법의 핵심 프로토콜 중 하나입니다.

- IPv6 - IPv6(Internet Protocol version 6)는 네트워크의 컴퓨터에 대한 식별 및 위치 시스템을 제공하고 인터넷을 통해 트래픽을 라우팅하는 통신 프로토콜인 인터넷 프로토콜(IP)의 최신 버전입니다.

- IPX - IPX(Internetwork Packet Exchange)는 IPX/SPX 프로토콜 제품군의 네트워크 레이어 프로토콜입니다.IPX는 Xerox Network Systems의 IDP에서 파생됩니다.전송 레이어 프로토콜로도 작동할 수 있습니다.

- NetBIOS - NetBIOS는 Network Basic Input/Output System의 약어입니다.OSI 모델의 세션 계층과 관련된 서비스를 제공하므로 별도의 컴퓨터의 애플리케이션이 LAN을 통해 통신할 수 있습니다.NetBIOS는 API로서 네트워킹 프로토콜이 아닙니다.

- PPPOE - PPPoE(Point-to-Point Protocol over Ethernet)는 이더넷 프레임 내에 PPP 프레임을 캡슐화하기 위한 네트워크 프로토콜입니다.

· Match to Value(값에 일치) - 패킷이 일치하는 사용자 지정 프로토콜 식별자를 입력합니다.값은 0600~FFFF 범위의 4자리 16진수입니다.

4단계. Class of Service(서비스 클래스) 확인란을 선택하여 802.1p 사용자 우선순위를 입력하여 이더넷 프레임과 비교합니다.IP Precedence와 마찬가지로, 0이 가장 낮은 우선 순위이고 7이 가장 높은 우선 순위입니다.유효한 범위는 0~7입니다.

5단계. Source MAC Address(소스 MAC 주소) 확인란을 선택하여 이더넷 프레임과 비교할 소스 MAC 주소를 입력합니다.Source MAC Address(소스 MAC 주소) 확인란을 선택한 경우 Source MAC Address(소스 MAC 주소) 필드에 소스 MAC 주소를 입력합니다.그런 다음 소스 MAC Mask 필드에 소스 MAC 주소 마스크를 입력합니다.이렇게 하면 소스 MAC 주소의 비트가 이더넷 프레임과 비교될 것임을 지정합니다.

참고:단일 MAC 주소만 매칭하려면 00:00:00:00:00:00:00의 와일드카드 마스크를 사용합니다.

6단계. Destination MAC Address(대상 MAC 주소) 확인란을 선택하여 이더넷 프레임과 비교할 대상 MAC 주소를 입력합니다.Destination MAC Address(대상 MAC 주소) 확인란을 선택한 경우 Destination MAC Address(대상 MAC 주소) 필드에 대상 MAC 주소를 입력합니다.그런 다음 Destination MAC Mask 필드에 MAC 주소 마스크를 입력합니다.그러면 대상 MAC 주소의 비트를 이더넷 프레임과 비교할 비트를 지정합니다.



참고:단일 MAC 주소만 매칭하려면 00:00:00:00:00:00:00의 와일드카드 마스크를 사용합니다.

7단계. VLAN ID 확인란을 선택하여 이더넷 프레임과 비교할 VLAN ID를 입력합니다.VLAN ID 확인란을 선택한 경우 VLAN ID 필드에 VLAN ID를 입력합니다.VLAN ID 범위는 0~4095입니다.

4단계. (선택 사항) 구성된 ACL을 삭제하려면 Delete ACL 확인란을 선택합니다.

9단계. 저장을 클릭하여 설정을 저장합니다.