이 작업의 예에서는 IP 주소가 12.0.0.100인 호스트에서 IP 트래픽을 차단하는 방법을 보여줍니다. 이 작업에 대한 토폴로지는 Basic SEFOS Topology를 참조하십시오.
필터 유형은 확장 또는 표준일 수 있습니다. 표준 필터의 경우 소스 IP 주소와 대상 IP 주소를 기준으로 트래픽을 필터링합니다. 확장 필터의 경우 프로토콜 ID, TCP/UDP 포트 번호, DSCP 값 및 플로우 레이블도 지정할 수 있습니다. 이 예에서는 소스 주소가 12.0.0.100인 IP 패킷이 필터링됩니다.
ACL 필터는 스위치에 구성되거나 프로그래밍된 특정 필터링 기준에 따라 하드웨어에서 패킷을 필터링합니다. 스위치는 각 패킷을 검사하여 패킷을 차단할지 여부 또는 구성된 액세스 목록에 따라 패킷을 전달할지 여부를 결정합니다. SEFOS-1 스위치에서 다음 명령을 입력하십시오.
Connect to SEFOS을 참조하십시오.
SEFOS-1# configure terminal SEFOS-1(config)# interface vlan 1 SEFOS-1(config-if)# shutdown SEFOS-1(config-if)# ip address 12.0.0.1 255.0.0.0 SEFOS-1(config-if)# no shutdown SEFOS-1(config-if)# exit SEFOS-1(config)# interface xl-ethernet 0/25 SEFOS-1(config-if)# no shutdown SEFOS-1(config-if)# exit SEFOS-1(config)# interface xl-ethernet 0/26 SEFOS-1(config-if)# no shutdown SEFOS-1(config-if)# exit
SEFOS-1(config)# ip access-list extended 11
SEFOS-1(config-ext-nacl)# deny ip host 12.0.0.100 any SEFOS-1(config-ext-nacl)# end
# ping 12.0.0.17 12.0.0.17 is alive
SEFOS-1(config)# interface xl-ethernet 0/25 SEFOS-1(config-if)# ip access-group 11 in SEFOS-1(config-if)# exit SEFOS-1(config)# vlan 1 SEFOS-1(config-vlan)# ports xl-ethernet 0/25 xl-ethernet 0/26 untagged xl-ethernet 0/25 xl-ethernet 0/26
% Member Ports cannot be added/deleted on Default VLAN SEFOS-1(config-vlan)# end
SEFOS-1# show access-lists ... IP address Type : IPV4 ... In Port List : X10/25 ... Filter Action : Deny Status : Active
필터 작업이 deny로 설정되어 있으므로 호스트 A에서 전송된 패킷이 포트 26으로 전달되지 않습니다. 12.0.0.17에서 응답이 없으므로 호스트 A에서 12.0.0.17로의 ping이 실패합니다.
SEFOS-1# configure terminal SEFOS-1(config)# interface xl-ethernet 0/25 SEFOS-1(config-if)# no ip access-group 11 in SEFOS-1(config-if)# end SEFOS-1# show access-lists ... Status : InActive
호스트 B에서 ping에 대해 응답합니다. 호스트 A에서 전송된 패킷이 포트 26으로 전달됩니다. 다음 연속된 두 개의 ping 명령은 ACL 목록에 설정된 deny 필터 작업이 한 포트에는 적용되고 다른 포트에서는 제거되었음을 보여줍니다.
# ping 12.0.0.17 no answer from 12.0.0.17 # ping 12.0.0.17 12.0.0.17 is alive