패킷 필터링은 네트워크 트래픽을 제한하고 특정 사용자 또는 디바이스의 네트워크 접근을 제어하는데 사용합니다. ACL은 스위치를 통과하는 트래픽을 필터링하고 특정 인터페이스에 대한 패킷을 허용 또는 거절합니다. ACL은 패킷에 대한 허용(permit) 또는 거절(deny)에 대한 정책이라고 볼 수 있습니다. 스위치는 Access list에 따라 순차적으로 패킷에 대한 통과유무를 결정합니다. 스위치에 적용한 access list와 매칭되는 것이 없을 경우 패킷을 드랍합니다.
네트워크에 초기 보안을 위해 Layer2 스위치에서 access list를 적용합니다. ACL을 설정하지 않으면, 모든 패킷은 스위치를 통과하며 어떤 형태의 트래픽을 포워딩 또는 차단(blocking)할 것인지 결정해야 합니다. ACL은 ACEs(Access Control Entries)에 포함되며, 각 ACE는 permit(허용) 또는 차단(deny)에 대한 세트로 구성되어 있습니다.
스위치는 다음과 같은 ACL 형태를 지원합니다.
1. TCP와 UDP와 같은 IP Traffic 필터링
2. Layer 2기반의 트래픽
관리 VLAN에 ACL을 제어할 수 있으며, inbound traffic(밖 -> 안)에 적용합니다.
- 표준 IP ACL(Standard IP Access lists)는 소스 주소를 기반으로 필터링
- 확장 IP ACL(Extended IP Access lists)는 소스와 목적지 주소를 기반으로 필터링
- MAC 기반의 제어
Layer별 Access Control
1. Layer 2 fields:
–Source MAC address (Specify all 48 bits.)
–Destination MAC address (Specify all 48 bits.)
–Ethertype (16-bit ethertype field)
2. Layer 3 fields:
–IP source address (Specify all 32 IP source address bits to define the flow, or specify an user- defined subnet. There are no restrictions on the IP subnet to be specified.)
–IP destination address (Specify all 32 IP destination address bits to define the flow, or specify an user- defined subnet. There are no restrictions on the IP subnet to be specified.)
3. Layer 4 fields:
–TCP (You can specify a TCP source, destination port number, or both at the same time.)
–UDP (You can specify a UDP source, destination port number, or both at the same time.)
Configuration Example>
Switch (config)# access-list 102 permit tcp any host 10.1.1.1 eq smtp
Switch (config)# access-list 102 deny tcp any host 10.1.1.2 eq telnet
Switch (config)# access-list 102 deny tcp any any
Switch (config-ext-nacl)# permit tcp any any
Switch (config-ext-nacl)# deny tcp any any
Switch (config-ext-nacl)# permit udp any any
Switch (config-ext-nacl)# deny udp any any
Switch (config-ext-nacl)# permit ip any any
Switch (config-ext-nacl)# deny ip any any
Switch (config-ext-nacl)# deny any any
Switch (config-ext-nacl)# permit any any
Switch (config)#ip access-list extended acl2
Switch (config-ext-nacl)# permit tcp 10.1.1.1 0.0.0.0 any eq 80
Switch (config-ext-nacl)# permit tcp 20.1.1.1 0.0.0.0 any eq 23
Access list number>
0 개의 댓글:
댓글 쓰기