알카텔 스위치 ACL 설정 - 설명 및 예제 Config

현장에서 L2 , L3 스위치를 설치할 때 기본 세팅만 하면 편하겠지만 , Access-List 설정도 필요할 경우가 많습니다. 하지만 초보분들이라면 Access-List에 대해서 많이 부담을 느끼실 겁니다.

 

이번 시간에는 다른 벤더보다 조금 더 복잡한 알카텔 스위치 ACL에 대해서 알아보도록 하겠습니다.

 

 

1. 알카텔 스위치 ACL 설명

 

: 알카텔은 다른 벤더보다는 ACL 부분이 복잡한 편입니다. 그래서 완벽하게 이해하지 않으면 실수가 많이 나올 수 있죠.

 

※ ACL 적용

: condition - action - rule의 순서로 적용합니다. 그리고 반드시 마지막에 qos enable & qos apply 해주어야 적용이 됩니다. config를 한 상태에서 apply를 하지 않으면 적용이 되지 않죠.

 

 

※ ACL 삭제

: ACL 전체 삭제qos flush 후 qos apply

 ACL의 삭제는 적용했을 때의 반대로 rule - action - condition의 순서로 삭제하면 됩니다.

 

 

* 명령어 설명

 

-> qos enable

: qos활성화

-> qos revert

: qosapply 되지 않은 QoS configuration 삭제

-> qos flush

: 설정한QoS configuration을 삭제

-> qos apply

: qos flush 후에 qos apply를 입력해야 전체 삭제 설정이 적용

 

 

 

 

 

2. 알카텔 ACL Config

 

※ Layer2 ACL (R6/R8)

-> policy condition [condition-name] destination mac 00:00:00:00:00:03

-> policy action [action-name] disposition [accept/deny/drop]

-> policy rule [rule-name]condition [condition-name] action [action-name]

-> qos apply

 

 

 

※ Layer3 ACL (R6/8)

-> policy condition [c-name] source ip10.0.0.100 destination ip192.0.0.0 mask 255.0.0.0

-> policy action [a-name]disposition [accept/deny/drop]

-> policy rule [r-name]condition [c-name] action [a-name]

-> qos apply

 

 

 

※ Layer4 ACL

-> policy service [se-name#1] destination tcp-port 445 (R8)

-> policy service [se-name#2]destination tcpport 135 (R6)

-> policy service group [se-group-name][se-name#1] [se-name#2] (R6/8)

-> policy condition [c-name]service group [se-group-name](R6/8)

-> policy action [a-name]disposition [accept/deny/drop](R6/8)

-> policy rule [r-name]condition [c-name] action [a-name] (R6/8)

-> qos apply (R6/8)

 

 

 

 

3. 알카텔 ACL 예제

 

 

※ 스위치에 특정 IP대역만 ssh 접속 가능한 설정

 

- policy service s1 protocol 6 destination tcp port 22

- policy service group tcp s1

- policy condition c1 source ip 192.168.1.1

- policy condition drop destination network group Switch service group tcp

- policy action accept

- policy action deny disposition deny

- policy rule r1 precedence 100 condition c1 action accept

- policy rule r2 condition drop action deny

- qos apply

 

 

 

※ IP가 10.10.10.100을 제외한 모든 IP에 대해서 Switch로 TCP 23,21,80 접속을 차단

 

- policy service t1 protocol 6 destination tcp port 23

- policy service t2 protocol 6 destination tcp port 21

- policy service t3 protocol 6 destination tcp port 80

- policy service group g_1 t1 t2 t3

- policy condition drop destination network group Switch service group g_1

- policy condition ok_c1 source ip 10.10.10.100 destination network group Switch service group g_1

- policy action accept disposition accept

- policy action deny disposition deny

- policy rule r1 precedence 100 condition ok_c1 action accept

- policy rule drop condition drop action deny

- qos apply

 

 

 

 

 

 

저의 글을 읽어 주셔서 감사합니다. 오늘도 즐거운 하루 보내세요.