Dell EMC 네트워킹 X-Series에서 관리 ACL 생성 및 적용

Summary: Dell EMC 네트워킹 X-Series에서 관리 ACL 생성 및 적용

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms




X-Series에서 관리 ACL 생성 및 적용: 스위치 관리에 대한 호스트 액세스 차단


예시 시나리오 및 요구 사항

X-Series 스위치를 구현하고 특정 서브넷의 사용자가 스위치 관리 기능에 액세스하지 못하도록 하려는 경우 이를 위해 ACL(Access Control List)을 생성하고, 관련 ACE(Access Control Entry)로 채우고, 인터페이스에 ACL을 적용합니다.
이 시나리오의 목적은 서브넷 172.31.200.0/24의 모든 클라이언트가 스위치의 IP 주소에 액세스하지 못하도록 차단하는 것입니다. 스위치에는 클라이언트의 로컬 서브넷(172.31.200.3)과 별도의 무선 서브넷 모두에 여러 IP 주소가 있습니다.
X-Series에서 라우팅이 활성화된 경우 생성된 ACL은 로컬 서브넷에 있는 스위치의 IP뿐만 아니라 스위치의 다른 서브넷 IP(예: 172.31.200.0/24에서 172.30.200.3으로)로 향하는 클라이언트 서브넷에서 소싱된 모든 트래픽에 대한 액세스를 모두 차단해야 합니다.


환경
 

클라이언트 네트워크: 172.31.200.0/24
클라이언트 네트워크 연결: 태그가 지정되지 않은 VLAN 50, 포트 Gi 1/0/1
스위치 IP 주소:
            VLAN 10 – 무선 – 172.30.200.3/24
VLAN 50 – 클라이언트 172.31.200.3/24


 

생성 단계


네트워크 관리 -> 보안 -> ACLSLN301636_en_US__1ACL 1그림


1 - WebGUI의 ACL/ACE 구성 페이지에 액세스

 

SLN301636_en_US__2icon 참고: X-Series는 CLI를 통한 ACL/ACE 구성을 지원하지 않습니다. 를 통해 수행된 구성 WebGUI는 구성을 보여주는 CLI 출력에 계속 표시됩니다(그림 1a 참조).

 


SLN301636_en_US__3ACL 2
그림 1a - 이 문서를 사용하여 생성된 최종 ACL입니다. 스위치가 잘 알려진 용도로 일부 포트 번호를 대체하는 방법을 확인합니다(23은 '텔넷'이 되고 80은 'www'가 됨)

 

ACL 생성


IPV4 기반 ACL -> 편집 -> 추가 -> 이름 생성(공백 없음) -> 확인 -> 팝업 닫기
SLN301636_en_US__4ACL 3

그림 2 – ACL 이름 지정. ACL 이름에 공백이나 비표준 문자를 사용하지 마십시오.

 


ACL에 항목(ACE) 추가


IPv4 기반 ACE -> (ACL 이름이 드롭다운에 있음, 방금 만든 이름 선택) -> 편집 -> 추가 -> 입력 규칙 입력 -> 확인

각 ACE는 차단하려는 하나의 관리 프로토콜과 차단하려는 고유한 대상을 대상으로 합니다. 대안은 목적지에 관계없이 프로토콜을 차단하거나(이렇게 하면 우리가 수행하려는 것보다 훨씬 더 많은 스위치를 전송하려는 이러한 프로토콜이 차단됨) 프로토콜과 관계없이 라우팅된 트래픽을 거부하는 대상만 기반으로 차단하기 때문에 가능한 두 번째 관리 IP에 대해 별도의 ACE 그룹을 만들어야 합니다.


SLN301636_en_US__5ACL 4
무화과. 3 - Telnetting에서 172.31.200.200.3으로 172.31.200.0/24 클라이언트를 차단하기 위해 ACE를 추가합니다. 빨간색으로 표시된 옵션은 목적을 위해 필요합니다. 주황색 동그라미로 표시된 로깅은 선택 사항입니다.

 

 

SLN301636_en_US__2icon 참고: ACL/ACE에서 마스크를 지정하는 형식은 서브넷 마스킹에 사용되는 방법의 반대입니다. 172.31.200.0/24(255.255.255.0)의 서브넷을 지정하기 위한 와일드카드 마스크는 0.0.0.255입니다. 마찬가지로 단일 호스트(서브넷 마스크 표기법에서 /32 또는 255.255.255.255)를 지정하려면 와일드카드 마스크 0.0.0.0을 사용합니다.

 



각 프로토콜(telnet(23)의 경우 1개, http(80)의 경우 1개, https(443)의 경우 1개, ssh(22)의 경우 1개) [구성된 경우 – X-시리즈에 대한 ssh 액세스는 기본적으로 비활성화되어 있음] 및 대상에 대해 반복하고 마지막으로 명시적으로 차단되지 않은 모든 것을 허용하기 위해 끝에 있는 '모두 허용' 문 – 그림 4 참조) -> OkSLN301636_en_US__7ACL 5



그림. 4 – 'permit all' 문 만들기. 이를 추가하지 않으면 ACL의 끝에서 암시적 거부가 발생하며, 이는 스위치가 ACL의 끝에 도달하고(규칙이 우선순위에 따라 적용됨) 일치하는 규칙이 없는 경우 트래픽을 거부한다는 것을 의미합니다. 구체적으로 타겟팅된 모든 트래픽과 전혀 참조하지 않는 모든 트래픽이 거부되지 않도록 모두 허용합니다.

완료되면 ACL의 ACE 항목이 아래 그림 5와 유사하게 나타납니다. 이 그림은 더 잘 보기 위해 구성하지 않은 변수를 생략했습니다.


SLN301636_en_US__8ACL 6
무화과. 5 – 명확성을 위해 편집됨. 특정 ACL을 구성하는 모든 ACE(규칙)가 표시됩니다. 여기에서는 172.31.200.3/32 및 172.30.200.3/32라는 두 개의 서로 다른 대상에 대해 4개의 서로 다른 프로토콜(22, 23, 80 및 443)을 차단하고 있습니다.
 


인터페이스에 ACL 적용


ACL 바인딩 -> 편집 -> 포트별로 편집 아이콘 클릭 -> 'Ingress'를 선택한 상태로 두고 '>IPv4 기반 ACL 선택'을 선택합니다(아직 채워지지 않은 경우 드롭다운에서 ACL 선택) -> OKSLN301636_en_US__9ACL 7그림


6 - 인터페이스에 ACL을 적용합니다. Gi1/0/1에서 들어오는 모든 트래픽이 스위치에서 더 허용되기 전에 ACL에 대해 확인되도록 ingress를 선택합니다. 

   

 
SLN301636_en_US__2icon 스위치에 대한 액세스를 제어하는 ACL의 경우 인그레스(ingress)를 확인해야 합니다. 이그레스 ACL이 있지만, 이그레스 ACL에 의해 거부된 트래픽은 이미 스위치의 내부 패브릭을 전송했습니다. 트래픽이 삭제될 경우, 스위치 패브릭 안팎에서 허용되는 리소스가 낭비되기 전에 삭제하는 것이 가장 좋습니다.  가능한 한 소스에 가깝게 거부하십시오!

 

SLN301636_en_US__2icon 참고: X-Series에서 ACL은 물리적 인터페이스를 집계하는 물리적 또는 논리적 인터페이스에만 바인딩할 수 있습니다. 즉, ACL을 물리적 포트 및 LAG(포트 채널)에 바인딩할 수 있지만 ACL을 VLAN에 바인딩할 수는 없습니다.

 









Affected Products

Dell Networking X1000 Series, Dell Networking X4000 Series
Article Properties
Article Number: 000140912
Article Type: Solution
Last Modified: 05 Jun 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.