주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
CLI 및 API 가이드를 포함하여 로컬로 관리되는 스위치의 설명서를 열려면 여기를 클릭하십시오.

보안

Sophos Switch에 대한 보안 설정(예: DoS 방지, 802.1X 인증, 포트 보안 등)을 구성하고, RADIUS 및 TACACS+ 서버를 추가하거나 제거할 수 있습니다.

DoS

Sophos Switch는 DoS(서비스 거부) 공격을 모니터링하고 차단할 수 있습니다. DoS 공격은 호스트를 압도하여 네트워크에 대한 연결을 방해하려는 네트워크 트래픽입니다.

DoS 보호를 켜거나 끄려면 켜기 또는 끄기를 선택합니다. 스위치에 로컬로 구성된 설정을 사용하려면 설정되지 않음을 선택하십시오.

DoS를 켜거나 끈 후 업데이트를 클릭하여 변경 사항을 저장합니다.

DoS를 켜면 스위치는 다음 유형의 DoS 공격과 일치하는 패킷을 삭제합니다.

  • 대상 MAC이 소스 MAC과 같음: 소스 및 대상 MAC 주소가 동일한 트래픽을 삭제합니다.
  • LAND 공격 대상 IP가 소스 IP와 같음(IPv4/IPv6): 소스 IP 주소와 대상 IP 주소가 동일한 패킷을 삭제합니다.
  • TCP Blat(대상 TCP 포트와 소스 TCP 포트가 같음): 소스 TCP 포트와 대상 IP 포트가 동일한 TCP 패킷을 삭제합니다.

    참고

    NTP(Network Time Protocol) 클라이언트가 동일한 소스 포트와 대상 포트를 사용하는 경우도 있습니다. DoS 보호를 켜면 Sophos Switch는 이를 TCP Blat 공격으로 감지하고 패킷을 삭제합니다. 동일한 소스 포트와 대상 포트를 사용하는 이전 NTP 클라이언트를 실행하는 경우 DoS 보호를 끄는 것이 좋습니다.

  • UDP Blat(대상 UDP 포트와 소스 UDP 포트가 같음): 소스 UDP 포트와 대상 UDP 포트가 동일한 UDP 패킷을 삭제합니다.

  • 죽음의 핑(IPv4/IPv6): 길이가 64KB보다 큰 패킷을 조각을 통해 삭제합니다.
  • IPv6 최소 조각(바이트): IPv6 조각의 최소 크기를 1240바이트로 제한합니다.
  • ICMP 조각(IPv4/IPv6): 단편화된 ICMP 패킷을 삭제합니다.
  • IPv4 Ping 최대 크기: IPv4 Ping 패킷의 최대 길이를 512바이트로 제한합니다.
  • IPv6 Ping 최대 크기: IPv6 핑 패킷의 최대 길이를 512 바이트로 제한합니다.
  • 스머프 공격(넷마스크 길이): 브로드캐스트 ICMP 패킷의 넷마스크 길이를 24(x.x.x.255)로 제한합니다.
  • TCP 최소 헤더 크기(바이트): TCP 헤더의 최소 크기를 20바이트로 제한합니다.
  • TCP-SYN: SYN 플래그가 설정되어 있고 ACK 플래그가 설정되어 있지 않으며 소스 포트가 1024보다 작은 TCP 패킷을 삭제합니다.
  • Null 스캔: 플래그가 설정되지 않고 시퀀스 번호가 0인 TCP 패킷을 삭제합니다.
  • Xmas: 시퀀스 번호가 0이고 FIN, URG 및 PSH 플래그가 설정된 TCP 패킷을 삭제합니다.
  • TCP SYN-FIN: SYN 및 FIN 플래그가 설정된 TCP 패킷을 삭제합니다.
  • TCP SYN-RST: SYN 및 RST 플래그가 설정된 TCP 패킷을 삭제합니다.

802.1X

Sophos Switch는 RADIUS 또는 TACACS+ 서버를 사용하여 사용자와 장치를 인증하는 802.1X 포트 기반 Network Access Control를 지원합니다.

전역 설정

전역 설정 탭에서는 802.1X 인증을 켜거나 끌 수 있습니다. 또한 게스트 VLAN 할당을 관리하고, 게스트 VLAN ID를 설정하며, 인증 방식을 선택할 수도 있습니다.

다음과 같은 전역 설정을 구성할 수 있습니다:

  • 상태: 802.1X 인증을 켜거나 끄려면 켜기 또는 끄기 선택하십시오. 스위치에 로컬로 구성된 설정을 사용하려면 설정되지 않음을 선택하십시오.
  • 게스트 VLAN: 켜기 또는 끄기 선택하십시오. 게스트 VLAN ID를 설정하려면 On 선택해야 합니다. 스위치에서 로컬로 구성된 설정을 사용하려면 미설정을 선택하십시오.
  • 게스트 VLAN ID: 정의된 VLAN 목록에서 VLAN을 선택하십시오.
  • 인증 방법: 드롭다운 목록에서 로컬 사용자, RADIUS 또는 TACACS+를 선택하십시오.

구성 소스는 설정의 출처를 나타냅니다.

설정을 저장하려면 업데이트를 클릭하고, 저장되지 않은 변경 사항을 모두 삭제하려면 지우기를 클릭하세요.

포트 설정

포트 설정 탭에서는 포트 설정을 구성하고, 802.1X, MAC 인증 우회(MAB) 또는 이 둘을 조합한 방식을 사용하여 인증을 설정할 수 있습니다. MAB를 구성하려면 MAC 인증 우회(MAB) 구성을 참조하세요.

구성할 포트를 선택한 다음 편집을 클릭하십시오.

다음 옵션을 구성할 수 있습니다.

  • 모드: 다음 옵션 중에서 포트 모드를 선택하십시오:

    • 설정되지 않음: 스위치에서 로컬로 구성된 설정을 사용하십시오.
    • 자동: 포트에서 802.1X 인증을 활성화하십시오. 호스트 기반 인증 모드를 사용할 때는 반드시 자동을 선택해야 합니다.
    • 인증됨 강제: 해당 포트에서 인증되지 않은 모든 트래픽을 차단합니다.
    • 인증 안 됨 강제: 해당 포트에서 인증되지 않은 모든 트래픽을 허용합니다.
  • MAB 모드: 다음 옵션 중에서 MAB 모드를 선택하십시오:

    • 설정되지 않음: 스위치에서 로컬로 구성된 설정을 사용하십시오.
    • MAB: MAB만 사용하십시오.
    • 하이브리드: 먼저 802.1X를 사용하여 인증을 시도해 보십시오. 세 번의 시도가 실패한 후, 스위치는 대신 MAB를 사용합니다.
    • 사용 안 함: MAB는 사용하지 마십시오.
  • 인증 모드: 다음 옵션 중에서 인증 모드를 선택하십시오:

    • 설정되지 않음: 스위치에서 로컬로 구성된 설정을 사용하십시오.
    • 포트 기반: 각 포트에 연결된 호스트를 인증합니다.
    • 호스트 기반: 단일 포트에서 발생하는 모든 트래픽을 인증합니다.
  • 최대 호스트 수: 이 설정은 인증 모드가 ‘호스트 기반’으로 설정된 경우에만 적용됩니다. 이 설정은 특정 포트에 연결될 수 있는 호스트의 최대 수를 지정합니다. 1에서 10까지의 값을 설정합니다.

  • 게스트 VLAN: 게스트 VLAN을 켜거나 끕니다. 호스트 기반 인증 모드를 사용할 때는 이 기능을 꺼야 합니다.
  • RADIUS VLAN 지정: RADIUS VLAN 할당을 활성화하거나 비활성화합니다. 호스트 기반 인증 모드를 사용할 때는 이 기능을 꺼야 합니다.
  • 재인증: 포트 재인증 기능을 켜거나 끕니다.
  • 재인증 기간: 포트가 재인증해야 하는 시점까지의 시간(초 단위). 30에서 65535까지의 값을 설정합니다. 기본값은 3600입니다.
  • 대기 기간: 인증 시도가 실패한 후 스위치가 재인증을 시도하기까지의 시간(초 단위). 0에서 65535까지의 값을 설정합니다. 기본값은 60입니다.
  • 신청자 기간: 이 설정은 스위치가 EAP 요청을 전송하는 빈도를 초 단위로 제어합니다. 이 스위치는 MAB로 전환하기 전까지 이 간격으로 세 번의 요청을 전송합니다. 0에서 65535까지의 값을 설정합니다. 기본값은 30입니다.
  • 인증된 상태: 지정된 포트의 인증 상태를 표시합니다.

구성 소스는 포트 설정의 출처를 나타냅니다.

설정을 저장하려면 업데이트를 클릭하고, 저장되지 않은 변경 사항을 모두 삭제하려면 지우기를 클릭하세요.

인증된 호스트

인증된 호스트 탭에는 인증된 호스트에 대한 정보가 표시됩니다.

포트 보안

포트 보안 탭에서는 스위치가 특정 포트에서 학습할 수 있는 MAC 주소의 수를 제한할 수 있습니다.

다음 옵션을 구성할 수 있습니다.

  • 포트: 설정이 적용되는 포트입니다.
  • 상태: 포트 보안을 켜거나 끄려면 ‘사용’ 또는 ‘사용 안 함’을 선택하십시오.
  • 최대 MAC 주소 수: 스위치가 지정된 포트에서 학습할 수 있는 MAC 주소의 최대 개수를 입력하십시오. 범위는 1 ~ 256입니다.

구성 소스는 포트 보안 설정의 출처를 나타냅니다.

설정을 저장하려면 업데이트를 클릭하고, 저장되지 않은 변경 사항을 모두 삭제하려면 지우기를 클릭하세요.

RADIUS 서버

RADIUS 서버를 사용하여 네트워크에 접속하는 사용자를 인증할 수 있습니다. RADIUS 서버는 인증 정보가 포함된 사용자 데이터베이스를 관리합니다. 이 스위치는 네트워크 접속을 허용하기 전에 사용자를 인증하기 위해 RADIUS 서버에 정보를 전달합니다.

다음 옵션을 구성할 수 있습니다.

  • 서버 ID: RADIUS 서버의 ID입니다.
  • 서버 IP: RADIUS 서버의 IP 주소입니다.
  • 승인된 포트: RADIUS 서버와 통신하는 데 사용되는 포트입니다. 기본 포트는 1812입니다.
  • 공유 암호: 장치와 RADIUS 서버 간의 모든 RADIUS 통신에 사용되는 공유 암호입니다.
  • 시간 제한: 이 장치가 다음 서버로 전환하기 전에 RADIUS 서버의 응답을 기다리는 시간입니다. 기본값은 3입니다.
  • 다시 시도: 오류가 발생하기 전에 RADIUS 서버로 전송된 요청의 수입니다. 기본값은 3입니다.

구성 소스는 RADIUS 서버 설정의 출처를 보여줍니다.

새로운 RADIUS 서버 항목을 생성하려면 추가를 클릭하십시오.

RADIUS 서버 항목을 삭제하려면 제거할 서버를 선택한 다음 삭제를 클릭하십시오.

TACACS+ 서버

TACACS+ 서버는 네트워크 접속을 위한 중앙 집중식 인증 기능을 제공합니다. TACACS+는 주로 네트워크 장치의 관리에 사용됩니다.

다음 옵션을 구성할 수 있습니다.

  • 서버 IP: TACACS+ 서버의 IP 주소입니다.
  • 우선순위: TACACS+ 서버의 우선순위입니다. TACACS+ 서버가 두 개 이상인 경우, 이 우선순위에 따라 인증 시 어떤 서버에 먼저 접속할지 결정됩니다.
  • 승인된 포트: 서버가 인증을 위해 통신하는 포트입니다. 기본 포트는 49입니다.
  • 공유 암호: TACACS+ 서버에 설정된 암호화 키입니다. 이 값은 TACACS+ 서버의 설정과 정확히 일치해야 합니다.
  • 시간 제한: 초 단위의 타임아웃입니다. 타임아웃은 Sophos Switch가 인증 응답을 기다리는 시간을 지정하며, 이 시간이 지나면 목록에 있는 다음 TACACS+ 서버를 시도합니다. 기본값은 5입니다.

구성 소스는 RADIUS 서버 설정의 출처를 보여줍니다.

새로운 TACACS+ 서버 항목을 생성하려면 추가를 클릭하십시오.

TACACS+ 서버 항목을 삭제하려면, 제거할 서버를 선택한 다음 삭제를 클릭하십시오.

MAC ACL 및 ACE

MAC ACL 및 ACE 탭에는 현재 정의된 MAC 기반 ACL이 표시됩니다.

MAC ACL

새 ACL을 추가하려면 추가를 클릭하고, 4~30자 이내의 영문자와 숫자로 구성된 이름을 입력한 다음 저장을 클릭하십시오.

MAC ACL에 대해서는 다음과 같은 세부 정보를 확인할 수 있습니다:

  • 프로파일 이름: ACL의 이름.
  • 구성 소스: 지정된 ACL 설정의 출처를 표시합니다.

ACL을 삭제하려면 삭제할 ACL을 선택하고 삭제를 클릭하십시오.

참고

ACE가 포함된 ACL을 삭제하려고 하면 경고 메시지가 표시됩니다. ACE를 편집하여 다른 ACL로 이동하거나, 충돌 수정을 클릭하고 제거할 항목을 선택한 다음 종속 항목 삭제를 클릭하여 ACL과 함께 ACE를 삭제해야 합니다.

MAC ACE

액세스 제어 항목(ACE)은 액세스 제어 목록(ACL)에서 트래픽 분류를 결정하는 규칙입니다. 발신 및 수신 MAC 주소, MAC 주소 마스크, VLAN ID 등의 기준을 바탕으로 MAC 주소 기반 ACE를 정의할 수 있습니다. 각 MAC ACL에는 최대 128개의 ACE가 포함됩니다. 각 ACE는 특정 네트워크 트래픽에 대한 매개변수 집합이며, 스위치가 해당 트래픽을 식별했을 때 취해야 할 조치를 정의합니다.

MAC ACE 탭에는 스위치에 구성된 MAC ACE에 대한 세부 정보가 표시됩니다.

새 MAC ACE를 생성하려면 추가를 클릭하고, ACE를 구성한 다음 저장을 클릭하여 설정을 저장하십시오.

ACE를 삭제하려면, 제거할 ACE를 선택한 다음 삭제를 클릭하십시오.

ACE 설정을 업데이트하려면 편집 편집 버튼. 클릭하세요.

다음 설정을 구성할 수 있습니다.

  • ACL 이름: ACE가 속한 ACL.
  • 시퀀스: 시퀀스 번호는 스위치가 ACE를 적용하는 순서를 나타냅니다. 1에서 2147483647까지의 값을 선택하고, 1가 첫 번째 규칙으로 처리됩니다.
  • 조치: 패킷이 기준에 부합할 경우 스위치가 수행하는 조치. ACE 기준과 일치하는 트래픽을 전달하려면 허용을 선택하고, 차단 하려면 거부를 선택하십시오.
  • VLAN ID: 해당 MAC 주소가 속한 VLAN ID. 범위는 1 ~ 4094입니다. 어떤 VLAN이든 해당 필드는 비워 두십시오.
  • 원본 MAC 주소: 트래픽이 발신된 MAC 주소.
  • 원본 MAC 주소 마스크: 소스 MAC 주소에 대한 와일드카드 마스크입니다. f0의 조합을 모두 사용할 수 있습니다. f는 지정된 비트와 정확히 일치합니다. 0는 어느 정도 일치합니다. 을 참조하십시오.
  • 대상 MAC 주소: 트래픽이 전송되는 MAC 주소.
  • 대상 MAC 주소 마스크: 대상 MAC 주소에 대한 와일드카드 마스크입니다. f0의 조합을 모두 사용할 수 있습니다. f는 지정된 비트와 정확히 일치합니다. 0는 어느 정도 일치합니다. 을 참조하십시오.
  • 802.1p 값: 802.1p는 QoS 우선순위 표준입니다. 0에서 7까지의 값 중 하나를 선택하십시오. 0가 가장 낮은 우선순위입니다. QoS을 참조하십시오.
  • EtherType 값: EtherType은 사용된 프로토콜을 나타내는 16진수 값으로, 802.1Q VLAN 태깅의 기초가 됩니다. 이 옵션은 이더넷 II 형식의 패킷만 필터링하는 데 사용할 수 있습니다. EtherTypes를 참조하세요.

구성 소스는 MAC ACE 설정의 출처를 나타냅니다.

다음은 MAC 주소 와일드카드 마스크를 사용하는 방법에 대한 몇 가지 예시입니다.

정확한 일치

MAC 주소가 a1:b2:c3:d4:e5:66이고 와일드카드 마스크가 ff:ff:ff:ff:ff:ff인 경우, 오직 a1:b2:c3:d4:e5:66만 일치합니다.

부분 일치

MAC 주소가 a1:b2:c3:d4:e5:66이고 와일드카드 마스크가 ff:ff:ff:00:00:00인 경우, 마지막 세 옥텟의 비트와 상관없이 a1:b2:c3로 시작하는 모든 MAC 주소와 일치합니다.

IPv4 ACL 및 ACE

IPv4 ACL 및 ACE 탭에는 스위치에 구성된 IPv4 기반 ACL이 표시됩니다.

IPv4 ACL

새 ACL을 추가하려면 추가를 클릭하고 4~30자(문자와 숫자)로 구성된 새 ACL 이름을 입력한 다음 저장을 클릭합니다.

IPv4 ACL에 대해서는 다음과 같은 세부 정보를 확인할 수 있습니다:

  • 프로파일 이름: ACL의 이름.
  • 구성 소스: 지정된 ACL 설정의 출처를 표시합니다.

ACL을 삭제하려면 삭제할 ACL을 선택하고 삭제를 클릭하십시오.

참고

ACE가 포함된 ACL을 삭제하려고 하면 경고 메시지가 표시됩니다. ACE를 편집하여 다른 ACL로 이동하거나, 충돌 수정을 클릭하고 제거할 항목을 선택한 다음 종속 항목 삭제를 클릭하여 ACL과 함께 ACE를 삭제해야 합니다.

IPv4 ACE

각 IPv4 액세스 제어 목록(ACL)에는 액세스 제어 항목(ACE)이라고 하는 개별 규칙이 최대 128개까지 포함됩니다. 각 ACE는 특정 네트워크 트래픽에 대한 매개변수 집합이며, 스위치가 해당 트래픽을 식별했을 때 취해야 할 조치를 정의합니다.

새로운 IPv4 ACE를 생성하려면 추가를 클릭하십시오.

ACE를 삭제하려면 삭제할 ACE를 선택하고 삭제를 클릭하십시오.

ACE 설정을 업데이트하려면 편집 편집 버튼. 클릭하세요.

다음 설정을 구성할 수 있습니다.

  • ACL 이름: ACE가 속한 ACL.
  • 시퀀스: 시퀀스 번호는 스위치가 ACE를 적용하는 순서를 나타냅니다. 1에서 2147483647까지의 값을 선택하고, 1가 첫 번째 규칙으로 처리됩니다.
  • 조치: 패킷이 기준에 부합할 경우 스위치가 수행하는 조치. ACE 기준과 일치하는 트래픽을 전달하려면 허용을 선택하고, 차단 하려면 거부를 선택하십시오.
  • 서비스 유형: 차별화된 서비스 필드 코드포인트(DSCP) 값을 설정할 수 있습니다. 0~63 범위 내의 값을 입력합니다. 차등 서비스 필드 코드포인트(DSCP)를 참조하십시오.
  • 원본 IP 주소: 해당 트래픽의 소스 IP 주소.
  • 원본 네트워크 마스크: 소스 IP 주소의 서브넷 마스크.
  • 대상 IP 주소: 트래픽의 대상 IP 주소.
  • 대상 네트워크 마스크: 대상 IP 주소의 서브넷 마스크.
  • 대상 포트 범위: 트래픽에 대한 대상 포트 범위를 선택하십시오. 포트 범위을 참조하십시오.
  • 원본 포트 범위: 트래픽에 대한 소스 포트 범위를 선택하십시오. 포트 범위을 참조하십시오.
  • 프로토콜: 드롭다운 목록에서 다음 옵션 중 하나를 선택하십시오:

    • 모두: 모든 프로토콜에 일치합니다.
    • 목록에서 선택하세요: 다음 프로토콜 목록에서 하나의 프로토콜을 선택하십시오.

      • IPv4:ICMP: 인터넷 제어 메시지 프로토콜(ICMP)을 통해 게이트웨이 또는 목적지 호스트가 소스 호스트와 통신할 수 있습니다.
      • IPinIP: IP in IP는 IP 패킷을 캡슐화하여 두 라우터 사이에 터널링을 수행합니다. IP-in-IP 터널은 여러 개의 개별 인터페이스가 아닌 하나의 인터페이스로 나타납니다.
      • TCP: 전송 제어 프로토콜(TCP)을 통해 두 호스트가 통신하고 데이터 스트림을 주고받을 수 있습니다. 이 기능은 패킷 전달을 보장하며, 패킷이 전송된 순서대로 송수신되도록 합니다.
      • EGP: EGP(Exterior Gateway Protocol)는 자율 시스템 네트워크 내에서 인접한 두 게이트웨이 호스트가 라우팅 정보를 교환할 수 있도록 합니다.
      • IGP: 내부 게이트웨이 프로토콜(IGP)은 자율 시스템 네트워크 내의 게이트웨이 간에 라우팅 정보를 교환할 수 있게 해줍니다.
      • UDP: 사용자 데이터그램 프로토콜(UDP)은 패킷을 전송하지만 전달을 보장하지 않는 통신 프로토콜입니다.
      • HMP: 호스트 매핑 프로토콜(HMP)은 다양한 호스트로부터 네트워크 정보를 수집합니다. 이 시스템은 인터넷 전반과 단일 네트워크 내의 호스트를 모니터링합니다.
      • RDP: RDP(Reliable Data Protocol)는 TCP와 유사하며, 패킷 전달을 보장하지만 순차적 전달을 요구하지는 않습니다.
      • IPv6:Rout: IPv6용 라우팅 헤더.
      • IPv6:Frag: IPv6용 프래그먼트 헤더.
      • RSVP: 패킷을 예약 프로토콜(RSVP)에 매칭합니다.
      • IPv6:ICMP: 인터넷 제어 메시지 프로토콜(ICMP)을 통해 게이트웨이 또는 목적지 호스트가 소스 호스트와 통신할 수 있습니다.
      • OSPF: OSPF(Open Shortest Path First) 프로토콜은 네트워크 라우팅을 위한 링크 상태 기반의 계층적 내부 게이트웨이 프로토콜(IGP)입니다.
      • PIM: 패킷을 프로토콜 독립형 멀티캐스트(PIM)에 매칭합니다.
      • L2TP: Layer 2 터널링 프로토콜(L2TP)은 ISP가 VPN을 구축할 수 있도록 지원합니다.
    • ID에서 선택: 0에서 255까지의 프로토콜 ID를 입력하십시오. 프로토콜 번호를 참조하세요.

  • ICMP: 드롭다운 목록에서 다음 중 하나를 선택하십시오:

    • 모두: 모든 ICMP 트래픽에 일치합니다.
    • 목록에서 선택: ICMP 목록에서 다음 옵션 중 하나를 선택하십시오.

      • 에코 리플레이: ICMP 에코 요청을 수신한 후 장치가 보내는 응답.
      • 목적지에 도달할 수 없습니다: ICMP 패킷이 목적지에 도달하지 못했습니다.
      • 소스 켄치: 혼잡한 환경에서 네트워크 정체를 완화하기 위해 라우터가 전송하는 ICMP 메시지.
      • 에코 요청 : 두 장치 간에 통신이 가능한지 확인하고 소요 시간을 측정하기 위해 한 장치에서 다른 장치로 전송되는 메시지.
      • 라우터 알림: 장치가 라우터로 사용할 수 있음을 알리기 위해 전송하는 메시지.
      • 라우터 요청: 호스트가 라우터 정보를 요청하기 위해 전송하는 메시지.
      • 시간 초과 : 이 메시지는 ICMP 패킷의 TTL(Time-to-Live)이 전송 도중 만료되었음을 나타냅니다.
      • 타임 스탬프: ICMP 메시지에 타임스탬프를 추가하여 메시지가 전송된 시점을 기록할 수 있습니다.
      • 타임스탬프 응답: 장치가 타임스탬프가 포함된 ICMP 패킷을 수신하면, 해당 타임스탬프를 기록한 후 ICMP 패킷에 자체 타임스탬프 응답 필드를 추가할 수 있습니다.
      • 경로 추적: 패킷이 목적지까지 이동하는 과정에서 통과하는 모든 라우터를 표시합니다.
    • ID에서 선택: ICMP ID에 대해 0에서 255까지의 값을 입력합니다.

  • ICMP 코드: 0~255 범위 내의 값을 입력합니다. ICMP(Internet Control Message Protocol) 매개 변수를 참조하십시오.

  • TCP 플래그: Urg , Ack , Psh , Rst , SynFin 플래그가 설정 되었는지 또는 설정되지 않았는 지에 따라 TCP 트래픽을 필터링할 수 있습니다. TCP 플래그를 무시하려면 신경 쓰지 않음 을 선택하세요.

구성 소스는 IPv4 ACE 설정의 출처를 보여줍니다.

IPv6 ACL 및 ACE

IPv6 ACL 및 ACE 탭에는 스위치에 구성된 IPv6 기반 ACL이 표시됩니다.

IPv6 ACL

새 ACL을 추가하려면 추가를 클릭하고 4~30자(문자와 숫자)로 구성된 새 ACL 이름을 입력한 다음 저장을 클릭합니다.

IPv4 ACL에 대해서는 다음과 같은 세부 정보를 확인할 수 있습니다:

  • 프로파일 이름: ACL의 이름.
  • 구성 소스: 지정된 ACL 설정의 출처를 표시합니다.

ACL을 삭제하려면 삭제할 ACL을 선택하고 삭제를 클릭하십시오.

참고

ACE가 포함된 ACL을 삭제하려고 하면 경고 메시지가 표시됩니다. ACE를 편집하여 다른 ACL로 이동하거나, 충돌 수정을 클릭하고 제거할 항목을 선택한 다음 종속 항목 삭제를 클릭하여 ACL과 함께 ACE를 삭제해야 합니다.

IPv6 ACE

각 IPv6 액세스 제어 목록(ACL)에는 액세스 제어 항목(ACE)이라고 하는 개별 규칙이 최대 64개까지 포함됩니다. 각 ACE는 특정 네트워크 트래픽에 대한 매개변수 집합이며, 스위치가 해당 트래픽을 식별했을 때 취해야 할 조치를 정의합니다.

새 IPv6 ACE를 생성하려면 추가를 클릭하십시오.

ACE를 삭제하려면 삭제할 ACE를 선택하고 삭제를 클릭하십시오.

ACE 설정을 업데이트하려면 편집 편집 버튼. 클릭하세요.

다음 설정을 구성할 수 있습니다.

  • ACL 이름: ACE가 속한 ACL.
  • 시퀀스: 시퀀스 번호는 스위치가 ACE를 적용하는 순서를 나타냅니다. 1에서 2147483647까지의 값을 선택하고, 1가 첫 번째 규칙으로 처리됩니다.
  • 조치: 패킷이 기준에 부합할 경우 스위치가 수행하는 조치. ACE 기준과 일치하는 트래픽을 전달하려면 허용을 선택하고, 차단 하려면 거부를 선택하십시오.
  • 서비스 유형: 차별화된 서비스 필드 코드포인트(DSCP) 값을 설정할 수 있습니다. 0~63 범위 내의 값을 입력합니다. 차등 서비스 필드 코드포인트(DSCP)를 참조하십시오.
  • 원본 IP 주소: 해당 트래픽의 소스 IP 주소.
  • 원본 IPv6 접두사 길이: 소스 IPv6의 IPv6 접두사 길이.
  • 대상 IP 주소: 트래픽의 대상 IP 주소.
  • 대상 IPv6 접두사 길이: 대상 IPv6의 IPv6 접두사 길이.
  • 대상 포트 범위: 트래픽에 대한 대상 포트 범위를 선택하십시오. 포트 범위을 참조하십시오.
  • 원본 포트 범위: 트래픽에 대한 소스 포트 범위를 선택하십시오. 포트 범위을 참조하십시오.
  • 프로토콜: 드롭다운 목록에서 다음 옵션 중 하나를 선택하십시오:

    • 모두: 모든 프로토콜에 일치합니다.
    • 목록에서 선택하세요: 다음 프로토콜 목록에서 하나의 프로토콜을 선택하십시오.

      • TCP: 전송 제어 프로토콜(TCP)을 통해 두 호스트가 통신하고 데이터 스트림을 주고받을 수 있습니다. 이 기능은 패킷 전달을 보장하며, 패킷이 전송된 순서대로 송수신되도록 합니다.
      • UDP: 사용자 데이터그램 프로토콜(UDP)은 패킷을 전송하지만 전달을 보장하지 않는 통신 프로토콜입니다.
      • IPv6:ICMP: 인터넷 제어 메시지 프로토콜(ICMP)을 통해 게이트웨이 또는 목적지 호스트가 소스 호스트와 통신할 수 있습니다.
    • ID에서 선택: 프로토콜 ID에 대해 0에서 255까지의 값을 입력하십시오. 프로토콜 번호를 참조하세요.

  • ICMP: 드롭다운 목록에서 다음 중 하나를 선택하십시오:

    • 모두: 모든 ICMP 트래픽에 일치합니다.
    • 목록에서 선택: ICMP 목록에서 다음 옵션 중 하나를 선택하십시오.

      • 목적지에 도달할 수 없습니다: ICMP 패킷이 목적지에 도달하지 못했습니다.
      • 패킷 크기가 너무 큽니다: 이는 ICMP 패킷이 네트워크의 MTU를 초과하여 해당 네트워크를 통과하기에는 너무 크다는 것을 의미합니다.
      • 시간 초과 : 이 메시지는 ICMP 패킷의 TTL(Time-to-Live)이 전송 도중 만료되었음을 나타냅니다.
      • 매개변수 문제: 이 장치는 유효하지 않은 매개변수를 해석할 수 없습니다.
      • 에코 요청 : 두 장치 간에 통신이 가능한지 확인하고 소요 시간을 측정하기 위해 한 장치에서 다른 장치로 전송되는 메시지.
      • 에코 리플레이: ICMP 에코 요청을 수신한 후 장치가 보내는 응답.
      • 라우터 모집 공고: 호스트가 라우터 정보를 요청하기 위해 전송하는 메시지.
      • 라우터 알림: 장치가 라우터로 사용할 수 있음을 알리기 위해 전송하는 메시지.
      • Nd Ns: 이 메시지는 IPv6 이웃 탐색 프로토콜(NDP)의 이웃 알림 메시지입니다.
      • Nd Na: 이 메시지는 IPv6 NDP 이웃 알림 메시지입니다.
    • ID에서 선택: ICMP ID에 대해 0에서 255까지의 값을 입력합니다.

  • ICMP 코드: 0~255 범위 내의 값을 입력합니다. ICMP(Internet Control Message Protocol) 매개 변수를 참조하십시오.

  • TCP 플래그: Urg , Ack , Psh , Rst , SynFin 플래그가 설정 되었는지 또는 설정되지 않았는 지에 따라 TCP 트래픽을 필터링할 수 있습니다. TCP 플래그를 무시하려면 신경 쓰지 않음 을 선택하세요.

구성 소스는 IPv4 ACE 설정의 출처를 보여줍니다.

포트 범위 및 바인딩

포트 범위 탭에서는 IPv4 및 IPv6 액세스 제어 항목(ACE)에 사용할 포트 범위를 지정할 수 있습니다. 이 기능은 ACE를 사용하여 광범위한 포트 범위를 차단하거나, 특정 기능을 가진 호스트에 대해서만 좁은 범위 내의 포트만 허용함으로써 보안을 강화합니다.

포트 범위

새로운 포트 범위를 생성하려면 추가를 클릭하십시오.

다음 설정을 구성할 수 있습니다.

  • 이름: 포트 범위의 이름을 입력하십시오.

    포트를 명확하게 식별할 수 있는 포트 범위 이름을 사용하는 것을 권장합니다. 이 이름은 ACE에 대한 포트 범위를 선택할 때만 표시됩니다. 그 안에 들어 있는 포트는 볼 수 없습니다.

  • 최소 포트: 이 범위의 시작 포트입니다.

  • 최대 포트: 이 범위의 마지막 포트입니다.

구성 소스는 포트 범위의 설정 출처를 나타냅니다.

포트 바인딩

액세스 제어 목록(ACL)을 포트에 바인딩하면 해당 ACL에 대해 정의한 모든 규칙이 해당 포트에 적용됩니다. ACL이 바인딩된 포트의 경우, 스위치는 해당 ACL과 일치하지 않는 모든 트래픽을 차단합니다.

스위치의 포트에 대해 다음과 같은 정보를 확인할 수 있습니다:

  • 포트: ACL이 바인딩된 포트입니다.
  • MAC ACL: 해당 포트에 바인딩된 MAC ACL.
  • IPv4 ACL: 해당 포트에 바인딩된 IPv4 ACL입니다.
  • IPv6 ACL: 포트에 바인딩된 IPv6 ACL입니다.

구성 소스는 포트 바인딩 설정의 출처를 나타냅니다.

ACL을 바인딩하려면 드롭다운 목록에서 포트에 바인딩할 MAC ACLIPv4 ACL 또는 IPv6 ACL을 선택하십시오. 포트에 ACL을 할당하지 않으려면 None을 선택하고, 로컬 스위치 UI의 포트 바인딩 설정을 사용하려면 Not set을 선택하십시오.

업데이트를 클릭하여 변경 사항을 저장합니다.

참고

IPv4 및 IPv6 ACL을 동시에 바인딩할 수는 없습니다. 둘 중 하나를 선택해야 합니다.