Oracle® Switch ES2-72 및 Oracle Switch ES2-64 구성 설명서

인쇄 보기 종료

업데이트 날짜: 2015년 4월
 
 

ACL 필터 구성

이 작업의 예에서는 IP 주소가 12.0.0.100인 호스트에서 IP 트래픽을 차단하는 방법을 보여줍니다. 이 작업에 대한 토폴로지는 Basic SEFOS Topology를 참조하십시오.

필터 유형은 확장 또는 표준일 수 있습니다. 표준 필터의 경우 소스 IP 주소와 대상 IP 주소를 기준으로 트래픽을 필터링합니다. 확장 필터의 경우 프로토콜 ID, TCP/UDP 포트 번호, DSCP 값 및 플로우 레이블도 지정할 수 있습니다. 이 예에서는 소스 주소가 12.0.0.100인 IP 패킷이 필터링됩니다.

ACL 필터는 스위치에 구성되거나 프로그래밍된 특정 필터링 기준에 따라 하드웨어에서 패킷을 필터링합니다. 스위치는 각 패킷을 검사하여 패킷을 차단할지 여부 또는 구성된 액세스 목록에 따라 패킷을 전달할지 여부를 결정합니다. SEFOS-1 스위치에서 다음 명령을 입력하십시오.

  1. SEFOS에 연결합니다.

    Connect to SEFOS을 참조하십시오.

  2. 스위치의 IP 주소를 12.0.0.1로 구성합니다.
    SEFOS-1# configure terminal
    SEFOS-1(config)# interface vlan 1
    SEFOS-1(config-if)# shutdown
    SEFOS-1(config-if)# ip address 12.0.0.1  255.0.0.0
    SEFOS-1(config-if)# no shutdown
    SEFOS-1(config-if)# exit
    SEFOS-1(config)# interface xl-ethernet 0/25
    SEFOS-1(config-if)# no shutdown
    SEFOS-1(config-if)# exit
    SEFOS-1(config)# interface xl-ethernet 0/26
    SEFOS-1(config-if)# no shutdown
    SEFOS-1(config-if)# exit
    
  3. ID가 11인 IP 필터를 만듭니다.
    SEFOS-1(config)# ip access-list extended 11
    
  4. 12.0.0.100 호스트에서 임의의 네트워크 또는 호스트로의 IP 트래픽을 거부합니다.
    SEFOS-1(config-ext-nacl)# deny ip host 12.0.0.100 any
    SEFOS-1(config-ext-nacl)# end
    
  5. 호스트 A에서 호스트 B로 Ping합니다.
    # ping 12.0.0.17
    12.0.0.17 is alive
    
  6. IP 필터 11을 포트 25에 적용합니다.
    SEFOS-1(config)# interface xl-ethernet 0/25
    SEFOS-1(config-if)# ip access-group 11 in
    SEFOS-1(config-if)# exit
    SEFOS-1(config)# vlan 1
    SEFOS-1(config-vlan)# ports xl-ethernet 0/25 xl-ethernet 
    0/26 untagged xl-ethernet 0/25 xl-ethernet 0/26
    

    주 -  포트 25 및 26이 이미 VLAN 1에 있는 경우 다음 메시지가 표시될 수 있습니다. 이 메시지가 표시될 경우 무시해도 됩니다.
    % Member Ports cannot be added/deleted on Default VLAN
    SEFOS-1(config-vlan)# end
    
  7. 구성 세부 정보를 확인합니다.
    SEFOS-1# show access-lists
    ...
    IP address Type                  : IPV4
    ...
    In Port List                     : X10/25
    ...
    Filter Action                    : Deny
    Status                           : Active
    
  8. Step 5에서 호스트 A에서 호스트 B로 ping한 것과 동일한 방식으로 전달 트래픽을 호스트 A에서 호스트 B로 전송합니다.

    필터 작업이 deny로 설정되어 있으므로 호스트 A에서 전송된 패킷이 포트 26으로 전달되지 않습니다. 12.0.0.17에서 응답이 없으므로 호스트 A에서 12.0.0.17로의 ping이 실패합니다.

  9. 포트 25에서 IP 필터를 제거합니다.
    SEFOS-1# configure terminal
    SEFOS-1(config)# interface xl-ethernet 0/25
    SEFOS-1(config-if)# no ip access-group 11 in
    SEFOS-1(config-if)# end
    SEFOS-1# show access-lists
    ...
    Status                           : InActive
    
  10. Step 5에서 호스트 A에서 호스트 B로 ping한 것과 동일한 방식으로 전달 트래픽을 호스트 A에서 호스트 B로 전송합니다.

    호스트 B에서 ping에 대해 응답합니다. 호스트 A에서 전송된 패킷이 포트 26으로 전달됩니다. 다음 연속된 두 개의 ping 명령은 ACL 목록에 설정된 deny 필터 작업이 한 포트에는 적용되고 다른 포트에서는 제거되었음을 보여줍니다.

    # ping 12.0.0.17
    no answer from 12.0.0.17
    # ping 12.0.0.17
    12.0.0.17 is alive
    

관련 정보