주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
CLI 및 API 가이드를 포함하여 로컬로 관리되는 스위치의 설명서를 열려면 여기를 클릭하십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=switch-management-security

보안

Sophos Switch 의 보안 설정을 구성할 수 있습니다. 예를 들어 DoS 공격 방지, 802.1X 인증, 포트 보안을 설정하고 RADIUS 및 TACACS+ 서버를 추가 및 제거할 수 있습니다.

DoS

Sophos Switch는 DoS(서비스 거부) 공격을 모니터링하고 차단할 수 있습니다. DoS 공격은 호스트를 압도하여 네트워크에 대한 연결을 방해하려는 네트워크 트래픽입니다.

DoS 보호를 켜거나 끄려면 켜기 또는 끄기를 선택합니다. 스위치에 로컬로 구성된 설정을 사용하려면 설정 안 함을 선택하십시오.

DoS를 켜거나 끈 후 업데이트를 클릭하여 변경 사항을 저장합니다.

DoS를 켜면 스위치는 다음 유형의 DoS 공격과 일치하는 패킷을 삭제합니다.

  • 대상 MAC이 소스 MAC과 같음: 소스 및 대상 MAC 주소가 동일한 트래픽을 삭제합니다.
  • LAND 공격 대상 IP가 소스 IP와 같음(IPv4/IPv6): 소스 IP 주소와 대상 IP 주소가 동일한 패킷을 삭제합니다.

  • TCP Blat(대상 TCP 포트와 소스 TCP 포트가 같음): 소스 TCP 포트와 대상 IP 포트가 동일한 TCP 패킷을 삭제합니다.

    Note

    NTP(Network Time Protocol) 클라이언트가 동일한 소스 포트와 대상 포트를 사용하는 경우도 있습니다. DoS 보호를 켜면 Sophos Switch는 이를 TCP Blat 공격으로 감지하고 패킷을 삭제합니다. 동일한 소스 포트와 대상 포트를 사용하는 이전 NTP 클라이언트를 실행하는 경우 DoS 보호를 끄는 것이 좋습니다.

  • UDP Blat(대상 UDP 포트와 소스 UDP 포트가 같음): 소스 UDP 포트와 대상 UDP 포트가 동일한 UDP 패킷을 삭제합니다.

  • 죽음의 핑(IPv4/IPv6): 길이가 64KB보다 큰 패킷을 조각을 통해 삭제합니다.
  • IPv6 최소 조각(바이트): IPv6 조각의 최소 크기를 1240바이트로 제한합니다.
  • ICMP 조각(IPv4/IPv6): 단편화된 ICMP 패킷을 삭제합니다.
  • IPv4 Ping 최대 크기: IPv4 Ping 패킷의 최대 길이를 512바이트로 제한합니다.
  • IPv6 Ping 최대 크기: IPv6 핑 패킷의 최대 길이를 512바이트로 제한합니다.
  • 스머프 공격(넷마스크 길이): 브로드캐스트 ICMP 패킷의 넷마스크 길이를 24(x.x.x.255)로 제한합니다.
  • TCP 최소 헤더 크기(바이트): TCP 헤더의 최소 크기를 20바이트로 제한합니다.
  • TCP-SYN: SYN 플래그가 설정되어 있고 ACK 플래그가 설정되어 있지 않으며 소스 포트가 1024보다 작은 TCP 패킷을 삭제합니다.
  • Null 스캔: 플래그가 설정되지 않고 시퀀스 번호가 0인 TCP 패킷을 삭제합니다.
  • Xmas: 시퀀스 번호가 0이고 FIN, URG 및 PSH 플래그가 설정된 TCP 패킷을 삭제합니다.
  • TCP SYN-FIN: SYN 및 FIN 플래그가 설정된 TCP 패킷을 삭제합니다.
  • TCP SYN-RST: SYN 및 RST 플래그가 설정된 TCP 패킷을 삭제합니다.

802.1X

Sophos Switch RADIUS 또는 TACACS+ 서버를 사용하여 사용자와 장치를 인증하는 802.1X 포트 기반 네트워크 액세스 제어 지원합니다.

전역 설정

전역 설정 탭 에서 802.1X 인증을 켜거나 끌 수 있습니다. 게스트 VLAN 할당을 관리하고, 게스트 VLAN ID를 설정하고, 인증 방법을 선택할 수도 있습니다.

다음과 같은 전역 설정을 구성할 수 있습니다.

  • 상태: 802.1X 인증을 켜거나 끄려면 켜기 또는 끄기를 선택하세요. 스위치에 로컬로 구성된 설정을 사용하려면 설정 안 함을 선택하십시오.
  • 게스트 VLAN: 켜기 또는 끄기를 선택하세요. 게스트 VLAN ID를 설정하려면 켜기를 선택해야 합니다. 스위치에 로컬로 구성된 설정을 사용하려면 설정 안 함을 선택하십시오.
  • 게스트 VLAN ID: 정의된 VLAN 목록에서 VLAN을 선택하십시오.
  • 인증 방법: 드롭다운 목록에서 로컬 사용자, RADIUS 또는 TACACS+를 선택하십시오.

구성 소스는 설정의 출처를 보여줍니다.

설정을 저장하려면 업데이트를 클릭하고, 저장되지 않은 변경 사항을 모두 삭제하려면 지우기를 클릭하세요.

포트 설정

포트 설정 탭 에서 포트 설정을 구성하고 802.1X, MAC 인증 우회(MAB) 또는 이 둘의 조합을 사용하여 인증을 설정할 수 있습니다. MAB를 구성하려면 MAC 인증 우회(MAB) 구성을 참조하세요.

구성할 포트를 선택하고 편집을 클릭하십시오.

다음 옵션을 구성할 수 있습니다.

  • 모드: 다음 옵션 중에서 포트 모드를 선택하십시오.

    • 설정되지 않음: 스위치에 로컬로 구성된 설정을 사용하십시오.
    • 자동: 인터페이스에서 802.1X 인증을 활성화하십시오. 호스트 기반 인증 모드를 사용할 경우 자동을 선택해야 합니다.
    • 인증됨 강제: 인터페이스에서 인증되지 않은 모든 트래픽을 차단합니다.
    • 인증 안 됨 강제: 인터페이스에서 인증되지 않은 모든 트래픽을 허용합니다.

  • MAB 모드: 다음 옵션 중에서 MAB 모드를 선택하십시오.

    • 설정되지 않음: 스위치에 로컬로 구성된 설정을 사용하십시오.
    • MAB: MAB만 사용하십시오.
    • 하이브리드: 먼저 802.1X를 사용하여 인증을 시도해 보세요. 세 번의 시도가 실패한 후, 스위치는 MAB를 대신 사용합니다.
    • 사용 안 함: MAB를 사용하지 마세요.

  • 인증 모드: 다음 옵션 중에서 인증 모드를 선택하십시오.

    • 설정되지 않음: 스위치에 로컬로 구성된 설정을 사용하십시오.
    • 포트 기반: 각 포트 에 연결된 호스트를 인증합니다.
    • 호스트 기반: 모든 트래픽을 단일 포트 에서 인증합니다.

  • 최대 호스트 수: 이 설정은 인증 모드호스트 기반으로 설정된 경우에만 적용됩니다. 이 설정은 포트 에 연결할 수 있는 최대 호스트 수를 지정합니다. 1부터 10사이의 값을 설정하세요.

  • 게스트 VLAN: 게스트 VLAN을 켜거나 끄세요. 호스트 기반 인증 모드를 사용할 때는 이 기능을 꺼야 합니다.
  • RADIUS VLAN 지정: RADIUS VLAN 할당을 켜거나 끕니다. 호스트 기반 인증 모드를 사용할 때는 이 기능을 꺼야 합니다.
  • 재인증: 포트 재인증을 켜거나 끄세요.
  • 재인증 기간: 포트 재인증을 해야 하는 시간(초)입니다. 30에서 65535사이의 값을 설정하세요. 기본값은 3600입니다.
  • 대기 기간: 인증 시도 실패 후 스위치가 재인증을 시도하기까지 걸리는 시간(초)입니다. 0에서 65535사이의 값을 설정하세요. 기본값은 60입니다.
  • 신청자 기간: 이 설정은 스위치가 EAP 요청을 보내는 빈도(초 단위)를 제어합니다. 스위치는 MAB로 전환하기 전에 이 간격으로 세 번의 요청을 보냅니다. 0에서 65535사이의 값을 설정하세요. 기본값은 30입니다.
  • 인증된 상태: 지정된 포트 의 인증 상태를 표시합니다.

구성 소스는 포트 설정의 출처를 보여줍니다.

설정을 저장하려면 업데이트를 클릭하고, 저장되지 않은 변경 사항을 모두 삭제하려면 지우기를 클릭하세요.

인증된 호스트

인증된 호스트 탭 인증된 호스트에 대한 정보가 표시됩니다.

포트 보안

포트 보안 탭 에서 스위치가 특정 포트 에서 학습할 수 있는 MAC 주소 수를 제한할 수 있습니다.

다음 옵션을 구성할 수 있습니다.

  • 포트: 설정이 적용되는 포트 .
  • 상태: 포트 보안을 켜거나 끄려면 활성화 또는 비활성화를 선택하십시오.
  • 최대 MAC 주소 수: 지정된 포트 에서 스위치가 학습할 수 있는 최대 MAC 주소 개수를 입력하십시오. 범위는 1 ~ 256입니다.

구성 소스는 포트 보안 설정의 출처를 보여줍니다.

설정을 저장하려면 업데이트를 클릭하고, 저장되지 않은 변경 사항을 모두 삭제하려면 지우기를 클릭하세요.

RADIUS 서버

RADIUS 서버를 사용하여 네트워크에 접속하는 사용자를 인증할 수 있습니다. RADIUS 서버는 인증 정보를 포함하는 사용자 데이터베이스를 유지 관리합니다. 스위치는 네트워크 접근을 승인하기 전에 사용자를 인증하기 위해 RADIUS 서버로 정보를 전달합니다.

다음 옵션을 구성할 수 있습니다.

  • 서버 ID: RADIUS 서버의 ID입니다.
  • 서버 IP: RADIUS 서버의 IP 주소입니다.
  • 승인된 포트: RADIUS 서버와의 통신에 사용되는 포트 . 기본 포트는 1812입니다.
  • 공유 암호: 장치 와 RADIUS 서버 간의 모든 RADIUS 통신을 암호화하는 데 사용되는 문자열입니다.
  • 시간 제한: 장치 다음 서버로 전환하기 전에 RADIUS 서버로부터 응답을 기다리는 시간입니다. 기본값은 3입니다.
  • 다시 시도: 오류가 발생하기 전에 RADIUS 서버로 전송된 요청 수입니다. 기본값은 3입니다.

구성 소스는 RADIUS 서버 설정의 출처를 보여줍니다.

새 RADIUS 서버 항목을 생성하려면 추가를 클릭하십시오.

RADIUS 서버 항목을 삭제하려면 삭제할 서버를 선택하고 삭제를 클릭하십시오.

TACACS+ 서버

TACACS+ 서버는 네트워크 접근을 위한 중앙 집중식 인증을 제공합니다. TACACS+는 주로 네트워크 장치 관리에 사용됩니다.

다음 옵션을 구성할 수 있습니다.

  • 서버 IP: TACACS+ 서버의 IP 주소입니다.
  • 우선순위: TACACS+ 서버의 우선순위. 우선순위는 TACACS+ 서버가 두 개 이상 있는 경우 인증을 위해 어떤 서버에 먼저 연결할지 결정합니다.
  • 승인된 포트: 서버가 인증을 위해 통신하는 데 사용하는 포트 입니다. 기본 포트는 49입니다.
  • 공유 암호: TACACS+ 서버에 구성된 암호화 키 입니다. 이 값은 TACACS+ 서버와 정확히 일치해야 합니다.
  • 시간 제한: 타임아웃 시간(초). 타임아웃은 Sophos Switch 목록에서 다음 TACACS+ 서버를 시도하기 전에 인증 응답을 기다리는 시간을 지정합니다. 기본값은 5입니다.

구성 소스는 RADIUS 서버 설정의 출처를 보여줍니다.

새로운 TACACS+ 서버 항목을 생성하려면 추가를 클릭하십시오.

TACACS+ 서버 항목을 삭제하려면 삭제할 서버를 선택하고 삭제를 클릭하십시오.

MAC ACL 및 ACE

MAC ACL 및 ACE 탭 현재 정의된 MAC 기반 ACL이 표시됩니다.

MAC ACL

새 ACL을 추가하려면 추가를 클릭하고 4~30자(문자와 숫자)로 된 이름을 입력한 다음 저장을 클릭합니다.

MAC ACL에 대한 자세한 내용은 다음과 같습니다.

  • 프로파일 이름: ACL의 이름.
  • 구성 소스: 지정된 ACL 설정의 출처를 보여줍니다.

ACL을 삭제하려면 삭제할 ACL을 선택하고 삭제를 클릭하십시오.

Note

ACE가 포함된 ACL을 삭제하려고 하면 경고 메시지가 표시됩니다. ACE를 편집하여 다른 ACL로 이동하거나, 충돌 해결을 클릭하고 제거할 항목을 선택한 다음 종속 항목 삭제를 클릭하여 ACL과 함께 ACE를 삭제해야 합니다.

MAC ACE

액세스 제어 항목(ACE)은 액세스 제어 목록(ACL)에 대한 트래픽 분류를 결정하는 규칙입니다. MAC 주소 ACE는 소스 및 대상 MAC 주소와 마스크, VLAN ID, 서비스 품질(QoS) 등의 기준에 따라 정의할 수 있습니다.

MAC ACE 탭 스위치에 구성된 MAC ACE에 대한 세부 정보가 표시됩니다.

새 MAC ACE를 생성하려면 추가를 클릭하고 ACE를 구성한 다음 저장을 클릭하여 설정을 저장하십시오.

ACE를 삭제하려면 삭제할 ACE를 선택하고 삭제를 클릭하십시오.

ACE 설정을 업데이트하려면 편집 편집 버튼. 클릭하세요.

다음 설정을 구성할 수 있습니다.

  • ACL 이름: ACE가 속한 ACL.
  • 시퀀스: 순번은 스위치가 ACE를 적용하는 순서를 나타냅니다. 1부터 2147483647사이의 값을 선택하세요.1이가장 먼저 처리되는 규칙입니다.
  • 조치: 패킷이 기준과 일치할 경우 스위치가 취하는 동작. ACE 기준과 일치하는 트래픽을 전달하려면 허용을 선택하고, 차단 하려면 거부를 선택하십시오.
  • VLAN ID: MAC 주소가 속한 VLAN ID입니다. 범위는 1 ~ 4094입니다. VLAN을 사용하는 경우 해당 필드를 비워 두십시오.
  • 원본 MAC 주소: 트래픽이 시작된 MAC 주소입니다.
  • 원본 MAC 주소 마스크: 소스 MAC 주소에 대한 와일드카드 마스크입니다. f0은 어떤 조합으로든 사용할 수 있습니다. f는 지정된 비트와 정확히 일치합니다. 0은 모든 비트와 일치합니다. 을 참조하십시오.
  • 대상 MAC 주소: 트래픽이 전송되는 MAC 주소입니다.
  • 대상 MAC 주소 마스크: 목적지 MAC 주소에 대한 와일드카드 마스크입니다. f0은 어떤 조합으로든 사용할 수 있습니다. f는 지정된 비트와 정확히 일치합니다. 0은 모든 비트와 일치합니다. 을 참조하십시오.
  • 802.1p 값: 802.1p는 QoS 우선순위 표준입니다. 0부터 7까지의 값 중 하나를 선택하세요. 0은 가장 낮은 우선순위입니다. QoS을 참조하십시오.
  • EtherType 값: EtherType은 사용된 프로토콜을 나타내는 16진수 값이며, 802.1Q VLAN 태깅의 기반이 됩니다. 이 옵션은 이더넷 II 형식의 패킷만 필터링하는 데 사용할 수 있습니다. EtherTypes를 참조하세요.

구성 소스는 MAC ACE 설정의 출처를 보여줍니다.

다음은 MAC 주소 와일드카드 마스크를 사용하는 몇 가지 예입니다.

정확히 일치

MAC 주소 a1:b2:c3:d4:e5:66와일드카드 마스크를 사용하여 ff:ff:ff:ff:ff:ff일치하는 항목만 a1:b2:c3:d4:e5:66.

부분 일치

MAC 주소 a1:b2:c3:d4:e5:66와일드카드 마스크를 사용하여 ff:ff:ff:00:00:00다음으로 시작하는 모든 MAC 주소와 일치합니다. a1:b2:c3마지막 세 옥텟에 어떤 비트가 포함되어 있든 상관없이.

IPv4 ACL 및 ACE

IPv4 ACL 및 ACE 탭 스위치에 구성된 IPv4 기반 ACL이 표시됩니다.

IPv4 ACL

새 ACL을 추가하려면 추가를 클릭하고 4~30자(문자와 숫자)로 구성된 새 ACL 이름을 입력한 다음 저장을 클릭합니다.

IPv4 ACL에 대한 자세한 내용은 다음과 같습니다.

  • 프로파일 이름: ACL의 이름.
  • 구성 소스: 지정된 ACL 설정의 출처를 보여줍니다.

ACL을 삭제하려면 삭제할 ACL을 선택하고 삭제를 클릭하십시오.

Note

ACE가 포함된 ACL을 삭제하려고 하면 경고 메시지가 표시됩니다. ACE를 편집하여 다른 ACL로 이동하거나, 충돌 해결을 클릭하고 제거할 항목을 선택한 다음 종속 항목 삭제를 클릭하여 ACL과 함께 ACE를 삭제해야 합니다.

IPv4 ACE

각 IPv4 액세스 제어 목록 (ACL)에는 액세스 제어 항목(ACE)이라고 하는 최대 16개의 개별 규칙이 포함됩니다. 각 ACE는 특정 네트워크 트래픽에 대한 매개변수 세트와 스위치가 해당 트래픽을 식별했을 때 수행하는 동작입니다.

새 IPv4 ACE를 생성하려면 추가를 클릭하십시오.

ACE를 삭제하려면 삭제할 ACE를 선택하고 삭제를 클릭하십시오.

ACE 설정을 업데이트하려면 편집 편집 버튼. 클릭하세요.

다음 설정을 구성할 수 있습니다.

  • ACL 이름: ACE가 속한 ACL.
  • 시퀀스: 순번은 스위치가 ACE를 적용하는 순서를 나타냅니다. 1부터 2147483647사이의 값을 선택하세요.1이 가장 먼저 처리되는 규칙입니다.
  • 조치: 패킷이 기준과 일치할 경우 스위치가 취하는 동작. ACE 기준과 일치하는 트래픽을 전달하려면 허용을 선택하고, 차단 하려면 거부를 선택하십시오.
  • 서비스 유형: 차별화 서비스 필드 코드포인트(DSCP) 값을 설정할 수 있습니다. 0~63 범위 내의 값을 입력합니다. 차등 서비스 필드 코드포인트(DSCP)를 참조하십시오.
  • 원본 IP 주소: 트래픽의 발신 IP 주소입니다.
  • 원본 네트워크 마스크: 소스 IP 주소의 서브넷 마스크입니다.
  • 대상 IP 주소: 트래픽의 대상 IP 주소 .
  • 대상 네트워크 마스크: 목적지 IP 주소에 대한 서브넷 마스크입니다.
  • 대상 포트 범위: 트래픽에 사용할 대상 포트 범위를 선택하십시오. 포트 범위을 참조하십시오.
  • 원본 포트 범위: 트래픽에 사용할 소스 포트 범위를 선택하십시오. 포트 범위을 참조하십시오.

  • 프로토콜: 드롭다운 목록에서 다음 옵션 중 하나를 선택하십시오.

    • 모두: 모든 프로토콜을 준수합니다.

    • 목록에서 선택하세요: 다음 프로토콜 목록에서 하나의 프로토콜을 선택하십시오.

      • IPv4:ICMP: 인터넷 제어 메시지 프로토콜(ICMP)은 게이트웨이 또는 대상 호스트가 소스 호스트와 통신할 수 있도록 합니다.
      • IPinIP: IP in IP는 IP 패킷을 캡슐화하여 두 라우터 사이에 터널을 생성합니다. IP 터널 내의 IP 주소는 여러 개의 개별 인터페이스가 아닌 단일 인터페이스로 나타납니다.
      • TCP: 전송 제어 프로토콜(TCP)은 두 호스트가 통신하고 데이터 스트림을 교환할 수 있도록 합니다. 이는 패킷 전달을 보장하고 패킷이 전송된 순서대로 전송되고 수신되도록 합니다.
      • EGP: 외부 게이트웨이 프로토콜(EGP)은 자율 시스템 네트워크에서 인접한 두 게이트웨이 호스트가 라우팅 정보를 교환할 수 있도록 합니다.
      • IGP: 내부 게이트웨이 프로토콜(IGP)은 자율 시스템 네트워크 내의 게이트웨이 간에 라우팅 정보를 교환할 수 있도록 합니다.
      • UDP: 사용자 데이터그램 프로토콜(UDP)은 패킷을 전송하는 통신 프로토콜이지만, 패킷 전달을 보장하지는 않습니다.
      • HMP: 호스트 매핑 프로토콜(HMP)은 다양한 호스트로부터 네트워크 정보를 수집합니다. 이 시스템은 인터넷 전반과 단일 네트워크 내의 호스트를 모니터링합니다.
      • RDP: RDP(신뢰할 수 있는 데이터 프로토콜)는 TCP와 유사하며 패킷 전달을 보장하지만 순차적 전달을 요구하지 않습니다.
      • IPv6:Rout: IPv6용 라우팅 헤더입니다.
      • IPv6:Frag: IPv6용 프래그먼트 헤더입니다.
      • RSVP: 패킷을 예약 프로토콜(RSVP)과 일치시킵니다.
      • IPv6:ICMP: 인터넷 제어 메시지 프로토콜(ICMP)은 게이트웨이 또는 대상 호스트가 소스 호스트와 통신할 수 있도록 합니다.
      • OSPF: OSPF(Open Shortest Path First) 프로토콜은 네트워크 라우팅을 위한 링크 상태 계층형 내부 게이트웨이 프로토콜(IGP)입니다.
      • PIM: 패킷을 프로토콜 독립 멀티캐스트(PIM)와 일치시킵니다.
      • L2TP: 레이어 2 터널링 프로토콜(L2TP)은 ISP가 VPN을 구축하는 것을 지원합니다.

    • ID에서 선택: 0에서 255사이의 프로토콜 ID를 입력하십시오. 프로토콜 번호를 참조하세요.

  • ICMP: 드롭다운 목록에서 다음 중 하나를 선택하세요.

    • 모두: 모든 ICMP 트래픽과 일치합니다.

    • 목록에서 선택: ICMP 목록에서 다음 옵션 중 하나를 선택하십시오:

      • 에코 리플레이: ICMP 에코 요청을 수신한 후 장치 보내는 응답입니다.
      • 목적지에 도달할 수 없습니다. ICMP 패킷이 목적지에 도달하지 못했습니다.
      • 소스 퀜치: ICMP 메시지는 혼잡한 환경에서 네트워크 혼잡을 완화하기 위해 라우터가 보내는 메시지입니다.
      • 에코 요청: 한 장치 에서 다른 기기로 메시지를 보내 통신 가능 여부를 확인하고 소요 시간을 측정합니다.
      • 라우터 알림: 장치 라우터로서 사용 가능함을 알리기 위해 보내는 메시지입니다.
      • 라우터 요청: 호스트가 라우터 정보를 요청하기 위해 보낸 메시지입니다.
      • 시간 초과: 이 메시지는 ICMP 패킷의 TTL(Time-to-Live) 시간이 전송 중에 만료되었음을 나타냅니다.
      • 타임 스탬프: ICMP 메시지에 타임스탬프를 추가하면 메시지가 전송된 시점을 기록할 수 있습니다.
      • 타임스탬프 답변: 장치 타임스탬프가 포함된 ICMP 패킷을 수신하면 해당 타임스탬프를 기록하고 자체 타임스탬프 응답 필드를 ICMP 패킷에 추가할 수 있습니다.
      • 경로 추적: 패킷이 목적지까지 이동하는 동안 거치는 모든 라우터를 보여줍니다.

    • ID에서 선택: ICMP ID0에서 255사이의 값을 입력하십시오.

  • ICMP 코드: 0~255 범위 내의 값을 입력합니다. ICMP(Internet Control Message Protocol) 매개 변수를 참조하십시오.

  • TCP 플래그: Urg, Ack, Psh, Rst, SynFin 플래그가 설정 되었는지 또는 설정 취소 되었는지에 따라 TCP 트래픽을 필터링할 수 있습니다. TCP 플래그를 무시하려면 신경 쓰지 않음을 선택하세요.

구성 소스는 IPv4 ACE 설정의 출처를 보여줍니다.

IPv6 ACL 및 ACE

IPv6 ACL 및 ACE 탭 스위치에 구성된 IPv6 기반 ACL이 표시됩니다.

IPv6 ACL

새 ACL을 추가하려면 추가를 클릭하고 4~30자(문자와 숫자)로 구성된 새 ACL 이름을 입력한 다음 저장을 클릭합니다.

IPv4 ACL에 대한 자세한 내용은 다음과 같습니다.

  • 프로파일 이름: ACL의 이름.
  • 구성 소스: 지정된 ACL 설정의 출처를 보여줍니다.

ACL을 삭제하려면 삭제할 ACL을 선택하고 삭제를 클릭하십시오.

Note

ACE가 포함된 ACL을 삭제하려고 하면 경고 메시지가 표시됩니다. ACE를 편집하여 다른 ACL로 이동하거나, 충돌 해결을 클릭하고 제거할 항목을 선택한 다음 종속 항목 삭제를 클릭하여 ACL과 함께 ACE를 삭제해야 합니다.

IPv6 ACE

각 IPv6 액세스 제어 목록 (ACL)에는 액세스 제어 항목(ACE)이라고 하는 최대 16개의 개별 규칙이 포함됩니다. 각 ACE는 특정 네트워크 트래픽에 대한 매개변수 세트와 스위치가 해당 트래픽을 식별했을 때 수행하는 동작입니다.

새 IPv6 ACE를 생성하려면 추가를 클릭하십시오.

ACE를 삭제하려면 삭제할 ACE를 선택하고 삭제를 클릭하십시오.

ACE 설정을 업데이트하려면 편집 편집 버튼. 클릭하세요.

다음 설정을 구성할 수 있습니다.

  • ACL 이름: ACE가 속한 ACL.
  • 시퀀스: 순번은 스위치가 ACE를 적용하는 순서를 나타냅니다. 1부터 2147483647사이의 값을 선택하세요. 1이 가장 먼저 처리되는 규칙입니다.
  • 조치: 패킷이 기준과 일치할 경우 스위치가 취하는 동작. ACE 기준과 일치하는 트래픽을 전달하려면 허용을 선택하고, 차단 하려면 거부를 선택하십시오.
  • 서비스 유형: 차별화 서비스 필드 코드포인트(DSCP) 값을 설정할 수 있습니다. 0~63 범위 내의 값을 입력합니다. 차등 서비스 필드 코드포인트(DSCP)를 참조하십시오.
  • 원본 IP 주소: 트래픽의 발신 IP 주소입니다.
  • 원본 IPv6 접두사 길이: 소스 IPv6에 대한 IPv6 접두사 길이입니다.
  • 대상 IP 주소: 트래픽의 대상 IP 주소 .
  • 대상 IPv6 접두사 길이: 대상 IPv6에 대한 IPv6 접두사 길이입니다.
  • 대상 포트 범위: 트래픽에 사용할 대상 포트 범위를 선택하십시오. 포트 범위을 참조하십시오.
  • 원본 포트 범위: 트래픽에 사용할 소스 포트 범위를 선택하십시오. 포트 범위을 참조하십시오.

  • 프로토콜: 드롭다운 목록에서 다음 옵션 중 하나를 선택하십시오.

    • 모두: 모든 프로토콜을 준수합니다.

    • 목록에서 선택하세요: 다음프로토콜 목록에서 하나의 프로토콜을 선택하십시오.

      • TCP: 전송 제어 프로토콜(TCP)은 두 호스트가 통신하고 데이터 스트림을 교환할 수 있도록 합니다. 이는 패킷 전달을 보장하고 패킷이 전송된 순서대로 전송되고 수신되도록 합니다.
      • UDP: 사용자 데이터그램 프로토콜(UDP)은 패킷을 전송하는 통신 프로토콜이지만, 패킷 전달을 보장하지는 않습니다.
      • IPv6:ICMP: 인터넷 제어 메시지 프로토콜(ICMP)은 게이트웨이 또는 대상 호스트가 소스 호스트와 통신할 수 있도록 합니다.

    • ID에서 선택: 프로토콜 ID0에서 255사이의 값을 입력하십시오. 프로토콜 번호를 참조하세요.

  • ICMP: 드롭다운 목록에서 다음 중 하나를 선택하세요.

    • 모두: 모든 ICMP 트래픽과 일치합니다.

    • 목록에서 선택: ICMP 목록에서 다음 옵션 중 하나를 선택하십시오.

      • 목적지에 도달할 수 없습니다. ICMP 패킷이 목적지에 도달하지 못했습니다.
      • 패킷 크기가 너무 큽니다: 이는 ICMP 패킷이 네트워크의 MTU를 초과하여 해당 네트워크를 통해 전송하기에는 너무 크다는 것을 나타냅니다.
      • 시간 초과: 이 메시지는 ICMP 패킷의 TTL(Time-to-Live) 시간이 전송 중에 만료되었음을 나타냅니다.
      • 매개변수 문제: 장치 유효하지 않은 매개변수를 해석할 수 없습니다.
      • 에코 요청: 한 장치 에서 다른 기기로 메시지를 보내 통신 가능 여부를 확인하고 소요 시간을 측정합니다.
      • 에코 리플레이: ICMP 에코 요청을 수신한 후 장치 보내는 응답입니다.
      • 라우터 모집 공고: 호스트가 라우터 정보를 요청하기 위해 보낸 메시지입니다.
      • 라우터 알림: 장치 라우터로서 사용 가능함을 알리기 위해 보내는 메시지입니다.
      • Nd Ns: 이것은 IPv6 네이버 디스커버리 프로토콜(NDP) 네이버 광고 메시지입니다.
      • Nd Na: 이것은 IPv6 NDP 인접 장치 광고 메시지입니다.

    • ID에서 선택: ICMP ID0에서 255사이의 값을 입력하십시오.

  • ICMP 코드: 0~255 범위 내의 값을 입력합니다. ICMP(Internet Control Message Protocol) 매개 변수를 참조하십시오.

  • TCP 플래그: Urg, Ack, Psh, Rst, SynFin 플래그가 설정 되었는지 또는 설정되지 않음 되었는지에 따라 TCP 트래픽을 필터링할 수 있습니다. TCP 플래그를 무시하려면 주의하지 않음을 선택하세요.

구성 소스는 IPv4 ACE 설정의 출처를 보여줍니다.

포트 범위 및 바인딩

포트 범위 탭 IPv4 및 IPv6 액세스 제어 항목(ACE)에서 사용할 포트 범위를 지정할 수 있습니다. 이 기능은 ACE를 사용하여 광범위한 포트 범위를 차단하거나 특정 기능을 가진 호스트에 대해서만 제한된 포트 범위를 허용함으로써 보안을 강화합니다.

포트 범위

새 포트 범위를 생성하려면 추가를 클릭하십시오.

다음 설정을 구성할 수 있습니다.

  • 이름: 포트 범위의 이름을 입력하십시오.

    Tip

    포트 범위 이름은 해당 범위에 포함된 포트를 명확하게 식별할 수 있도록 하는 것이 좋습니다. 이 이름은 ACE에 사용할 포트 범위를 선택할 때만 표시됩니다. 해당 장치에 포함된 포트를 볼 수 없습니다.

  • 최소 포트: 해당 제품군의 시작 포트 .

  • 최대 포트: 레인지의 끝단 포트 .

구성 소스는 포트 범위 설정의 출처를 보여줍니다.

포트 바인딩

액세스 제어 목록 (ACL)을 포트에 바인딩하면 해당 ACL에 대해 정의한 모든 규칙이 해당 포트에 적용됩니다. ACL이 적용된 포트의 경우, 스위치는 해당 ACL과 일치하지 않는 모든 트래픽을 차단합니다.

스위치의 포트에 대한 다음 정보를 확인할 수 있습니다.

  • 포트: ACL이 바인딩되는 포트 입니다.
  • MAC ACL: 포트 에 바인딩된 MAC ACL입니다.
  • IPv4 ACL: 포트 에 바인딩된 IPv4 ACL입니다.
  • IPv6 ACL: 포트 에 바인딩된 IPv6 ACL입니다.

구성 소스는 포트 바인딩 설정의 출처를 보여줍니다.

ACL을 바인딩하려면 드롭다운 목록에서 포트 에 바인딩할 MAC ACLIPv4 ACL 또는 IPv6 ACL을 선택하십시오. 포트 에 ACL을 할당하지 않으려면 없음을 선택하고, 로컬 스위치 UI의 포트 바인딩 설정을 사용하려면 설정되지 않음을 선택하십시오.

업데이트를 클릭하여 변경 사항을 저장합니다.

Note

IPv4 ACL과 IPv6 ACL을 동시에 바인딩할 수 없습니다. 둘 중 하나를 선택해야 합니다.