목차

목표

요구 사항

소개

설정

결론

관련 기사

목적

이 문서에서는 Fusion 라우터에서 라우터 ACL을 설정하여 네트워크를 관리하는 방법을 소개합니다.

필수 조건

• Fusion 라우터

소개

ACL(액세스 제어 목록)을 사용하면 네트워크 관리자가 네트워크 리소스에 대한 액세스를 제한하는 규칙을 생성할 수 있습니다. ACL 규칙은 IP 서브넷, 네트워크, 장치, 특정 애플리케이션 및 특수 포트와 같은 지정된 기준에 따라 트래픽을 필터링하고, 일치하는 패킷을 전달할지 여부를 결정합니다. 이러한 규칙은 라우터를 통과하는 트래픽을 가진 특정 클라이언트나 그룹에 적용할 수 있습니다.

시스템은 목록에 있는 규칙에 따라 트래픽을 순차적으로 필터링합니다. 첫 번째 일치 항목에 따라 패킷을 허용할지 또는 폐기할지가 결정되며, 첫 번째 일치 후에는 다른 규칙은 확인되지 않습니다. 따라서 규칙의 순서는 매우 중요합니다.

• 기본적으로 규칙은 생성 시간 순으로 우선순위가 지정됩니다. 먼저 생성된 규칙이 더 높은 우선순위로 일치 여부를 확인합니다.
• ACL 규칙 우선순위는 드래그 앤 드롭 조정과 사용자 지정 인덱스 할당을 모두 지원합니다.
• 일치하는 규칙이 없는 경우, 장치는 묵시적인 'Permit All' 조항에 따라 패킷을 전달합니다.

설정

Omada 라우터의 게이트웨이 ACL(액세스 제어 목록)을 사용하면 서로 다른 네트워크 간 또는 특정 애플리케이션을 기반으로 트래픽을 제어할 수 있습니다. 이 가이드에서는 두 가지 일반적인 시나리오를 다룹니다:

1. 네트워크 간 트래픽 거부 – 두 서브넷(예: VLAN1과 VLAN10) 간의 모든 통신을 차단합니다.
2. 애플리케이션 기반 ACL – 특정 애플리케이션에 대한 트래픽을 거부합니다(예: 소셜 미디어 또는 파일 공유 앱 차단).

네트워크 간 트래픽을 차단하는 ACL 설정

다음은 ACL 기능을 사용하는 방법을 설명합니다. Omada Fusion 라우터에서 설정을 구현하는 방법에 중점을 둡니다. 아래에 표시된 간단한 네트워크 토폴로지를 참조하십시오. Omada 스위치를 통해 Fusion 라우터에 연결된 두 개의 부서가 있습니다. 컴퓨터는 인터넷에 액세스해야 하지만, 다른 부서의 컴퓨터에는 액세스할 수 없어야 합니다.

1단계. 위의 토폴로지를 구축하고 마케팅 부서를 위한 VLAN 10(192.168.1.1/24) 및 R&D 부서를 위한 VLAN 1(192.168.0.1/24)의 설정을 완료합니다.

2단계. 네트워크 설정 > 트래픽 관리 > ACL로 이동하여 게이트웨이 ACL 페이지로 들어갑니다.

3단계. '새 규칙 생성'을 클릭합니다 . 프로토콜, 출발지, 목적지 등을 포함한 규칙의 패킷 필터링 기준을 정의하고, 일치하는 패킷을 전달할지 여부를 결정합니다.

첫 번째 규칙은 마케팅 부서가 R&D 부서에 접근하지 못하도록 차단하는 것입니다. 모든 프로토콜 패킷에 대해 기본 네트워크(R&D VLAN1)에서 VLAN10 네트워크로의 접속을 거부하도록 설정할 수 있습니다.

참고:

이름: ACL을 식별할 이름을입력합니다 .

상태: 토글을 켜서 ACL을 활성화합니다.

프로토콜: 드롭다운 목록에서 이 규칙이 적용될 하나 이상의 프로토콜 유형을선택합니다 .

• 기본값은 All이며, 이는 모든 프로토콜의 패킷이 일치함을 나타냅니다.
• +사용자 지정을 클릭하여 프로토콜을 사용자 지정할 수 있습니다.

• TCP/UDP, All을 선택하면 규칙에서 패킷 필터링 기준으로 패킷의 포트 번호를 설정할 수 있습니다.

• ICMP/ICMPv6를 선택하면 규칙에서 패킷 필터링 기준으로 패킷의 ICMP 유형 및 ICMP 코드를 설정할 수 있습니다.

ICMP 유형: 특정 ICMP 유형과 트래픽을일치시킵니다 . 255는 모든 유형을 포함함을 의미합니다. 유형 및 코드 필드가 모두 일치하는 ICMP 패킷이 대상 패킷으로 간주됩니다.

ICMP 코드: 특정 ICMP 코드와 일치하는 트래픽을선택합니다 . 255는 모든 코드가 포함됨을 의미합니다. 유형 및 코드 필드가 모두 일치하는 ICMP 패킷이 대상 패킷으로 간주됩니다.

4. 정책: 패킷이 규칙과 일치할 때 수행할 작업을선택합니다 .

• 거부: 일치하는 패킷을폐기합니다 .
• 허용: 일치하는 패킷을전달합니다 .

5. 방향: 규칙에 대한 출발지/목적지 인터페이스를지정합니다 . LAN, WAN 및 VPN을 선택할 수 있습니다.

• LAN: LAN에서/으로 전송되는 트래픽과일치시킵니다 .
• WAN: 특정 WAN을 오가는 트래픽과일치시킵니다 .
• VPN: 특정 VPN을 오가는 트래픽과일치시킵니다 .

6. 출발지/목적지 유형: 생성된 규칙의 출발지/목적지 유형을선택합니다 .

• 모든 항목: 모든 트래픽과일치합니다 .
• 장치: 특정 장치에서 오는 트래픽을일치시킵니다 .
• 네트워크: 특정 네트워크에서 발신/수신되는 트래픽과일치시킵니다 . 네트워크가 생성되지 않은 경우, 기본 네트워크(LAN)를 선택하거나 네트워크 구성 > 네트워크 설정 > LAN으로 이동하여 네트워크를 생성할 수 있습니다.
• IPv4/v6: 특정 IP/IP 그룹에서/로 전송되는 트래픽과일치시킵니다 . IP 그룹이 생성되지 않은 경우, 이 페이지에서 + IP 그룹 추가를 클릭하거나 네트워크 구성 > 프로필 > 그룹으로 이동하여 생성하십시오.
• MAC: 특정 MAC/OUI/MAC 그룹에서 발생하는 트래픽과일치시킵니다 . MAC 그룹이 생성되지 않은 경우, 이 페이지에서 '+ MAC 그룹 추가'를 클릭하거나 네트워크 구성 > 프로필 > 그룹으로 이동하여 생성할 수 있습니다.
• 도메인: 특정 도메인/도메인 그룹에서 발생하는 트래픽과일치시킵니다 . 도메인 그룹이 생성되지 않은 경우, 이 페이지에서 + 도메인 그룹 추가를 클릭하거나 네트워크 구성 > 프로필 > 그룹으로 이동하여 생성하십시오.
• 라우터 관리 IP: 라우터의 WAN 및 LAN 인터페이스 IP와 일치하는 트래픽을 필터링합니다.

7. 출발지/목적지 포트:

포트 설정은 TCP 및 UDP 트래픽에서만 지원됩니다.

TCP/UDP 포트를 지정하거나 '모든 포트'를 선택할 수 있습니다.

• "Any"를 선택한 경우:
  이 규칙은 포트에 관계없이 모든 TCP/UDP 트래픽과 일치하지만, TCP/UDP가 아닌 트래픽은 여전히 제외됩니다.
• 특정 포트를 선택한 경우:
  이 규칙은 해당 특정 포트를 사용하는 TCP/UDP 트래픽에만 일치합니다. 다른 프로토콜(예: ICMP)을 사용하는 트래픽은 일치하지 않습니다.

특정 포트를 선택하면 '반대 포트 일치' 기능을 볼 수 있습니다 .

• "반대 포트 일치"가 활성화된 경우:
  이 규칙은 다음을 적용합니다: 선택한 포트를 제외한 모든 포트에 일치시킵니다.

4단계. '고급 설정'을 확장하면 양방향 기능을 활성화하여 반대 방향의 다른 ACL 규칙을 동시에 생성할 수 있습니다.

참고: 방향만 반대이며, 다른 모든 설정은 동일하게 유지됩니다.

1. IP 버전: 규칙을 적용할 IP 유형(IPv4 또는 IPv6)을 지정합니다.
2. 로그: 이 기능을활성화하면 시스템에서 ACL 항목의 실행 로그를 수집할 수 있습니다. 이 기능을 사용하려면 먼저 원격 로깅 기능을 설정하십시오.
3. 시간 범위: ACL 규칙이 적용될 시간 범위를생성하거나 기존 시간 범위를 선택합니다.
4. 양방향: LAN-LAN 방향에서 이 확인란을 클릭하면 라우터가 "xxx_reverse"라는 이름의 또 다른 대칭 ACL을 생성할 수 있습니다. 여기서 "xxx"는 현재 ACL의 이름입니다. 두 ACL은 반대 방향의 패킷을 대상으로 합니다.
5. 상태 유형: 상태 기반 ACL 규칙의 유형을결정합니다 . 기본값인 '자동' 유형을 사용하는 것이 좋습니다.

• 자동: 새 연결, 확립된 연결 및 관련 연결 상태를일치시킵니다 .
• 수동: 이 옵션을 선택하면 일치시킬 연결 상태를 수동으로 지정할 수 있습니다.
  1. 상태 일치: 새: 초기 상태의 연결과일치합니다 . 예를 들어, TCP 연결에서 SYN 패킷이 도착하거나 라우터가 한 방향으로만 트래픽을 수신하는 경우입니다.
  2. 상태 일치: 설정됨: 설정된 연결을일치시킵니다 . 즉, 방화벽이 이 연결의 양방향 통신을 감지한 경우입니다.
  3. 상태 관련 일치: FTP 데이터 채널에 대한 연결을 주 연결의 관련 하위 연결과연결합니다 .
  4. 상태 '무효' 일치: 예상대로 동작하지 않는 연결을일치시킵니다 .

5단계. '적용'을 클릭하여 위의 라우터 ACL 규칙 입력을 완료합니다 .

참고:

1. 항목을 드래그하여 규칙이 적용되는 순서를 조정할 수 있습니다.
2. 또한 인덱스를 편집하여 순서를 조정할 수 있습니다.

시스템은 목록에 있는 규칙에 따라 트래픽을 순차적으로 필터링합니다. 첫 번째 항목이 일치하는 경우 패킷이 허용될지 차단될지가 결정되며, 첫 번째 일치 후에는 다른 규칙은 확인되지 않습니다.

따라서 규칙의 순서는 매우 중요합니다.

• 기본적으로 규칙은 생성된 시간 순으로 우선순위가 지정됩니다. 먼저 생성된 규칙이 더 높은 우선순위로 일치 여부를 확인합니다.
• ACL 규칙 우선순위는 드래그 앤 드롭 조정과 사용자 지정 인덱스 할당을 모두 지원합니다.
• 일치하는 규칙이 없는 경우, 장치는 묵시적인 'Permit All' 절에 따라 패킷을 전달합니다.

6단계. 확인

R&D 부서의 컴퓨터1은 IP 주소 192.168.0.100으로 VLAN1에 연결되어 있고, 마케팅 부서의 컴퓨터2는 IP 주소 192.168.10.101로 VLAN10에 연결되어 있습니다. 컴퓨터1은 컴퓨터2에 ping을 보낼 수 없으며, 컴퓨터2 역시 컴퓨터1에 ping을 보낼 수 없습니다.

애플리케이션 기반 ACL 설정

Omada Fusion 라우터는 앱 기반 액세스 제어 목록(ACL) 기능을 제공하여, 사용자가 애플리케이션별로 네트워크 트래픽을 제어할 수 있게 합니다. 이 기능은 특정 애플리케이션 또는 애플리케이션 범주별로 트래픽을 제어하는 것을 지원합니다. 기본적으로 이 장치는 모든 애플리케이션에 대한 액세스를 허용합니다. 지정된 네트워크에서 특정 애플리케이션에 대한 액세스를 차단하도록 ACL 규칙을 구성할 수 있습니다. 앱 기반 ACL 규칙은 “허용(permit)” 정책을 지원하지 않습니다.

1단계. 네트워크 구성 > 트래픽 관리 > ACL로 이동한 후 라우터 ACL로 이동합니다. + 새 규칙 생성을 클릭하여 새로운 라우터 ACL 규칙을 생성합니다.

2단계. 새 규칙 생성 페이지에서 ACL이 네트워크 트래픽을 제어하는 방식을 정의하도록 규칙 매개변수를 설정합니다.

애플리케이션 기반 ACL을 구성하려면 정책을 '거부( Deny)', 출발지를 'LAN', 목적지를 'WAN', IP 버전을 'IPv4'로 설정해야 합니다.

참고: APP 기반 ACL은 현재 거부 정책, LAN에서 WAN 방향, IPv4 버전 및 자동 상태 유형만 지원합니다.

그런 다음 '목적지 유형'을 '애플리케이션'으로 설정하고 일치하는 애플리케이션을 선택합니다.

• 앱: 특정 애플리케이션을 일치시키며, 정밀한 제어에 적합합니다.
• 카테고리: 애플리케이션 유형과 일치하며, 카테고리 기반 제어에 적합합니다.

이 문서에서는 클라이언트 네트워크가 '스트리밍' 카테고리의 애플리케이션에 액세스하는 것을 거부하는 규칙을 설정합니다.

설정을 완료한 후 '적용'을 클릭하여 규칙을 저장합니다.

3단계. 확인

클라이언트 네트워크 내의 PC를 사용하여 YouTube에 접속해 봅니다.

결론

위의 단계를 따라 Omada Fusion 라우터에서 게이트웨이 ACL을 성공적으로 설정했습니다. 필요에 따라 이 기능을 설정할 수 있습니다.

질문과 답변

Q1: 라우터 ACL이란 무엇입니까?
A: 라우터 ACL(액세스 제어 목록)은 관리자가 IP 서브넷, 네트워크, 장치, 애플리케이션 또는 포트와 같은 기준에 따라 라우터를 통과하는 트래픽을 필터링하는 규칙을 생성할 수 있게 해줍니다. 이 기능은 일치하는 패킷을 허용할지 거부할지 결정하여 네트워크 액세스 및 보안을 관리하는 데 도움을 줍니다.

Q2: 라우터 ACL에서 규칙 우선순위는 어떻게 적용되나요?
A: 시스템은 규칙을 위에서 아래로 순차적으로 확인합니다. 트래픽과 일치하는 첫 번째 규칙이 조치(허용 또는 거부)를 결정하며, 이후 규칙은 평가되지 않습니다. 기본적으로 규칙은 생성 시간 순으로 우선순위가 지정됩니다(생성된 지 오래된 규칙일수록 우선순위가 높음). 또한 규칙을 드래그 앤 드롭하거나 사용자 지정 인덱스를 할당하여 순서를 변경할 수 있습니다.

Q3: 라우터 ACL을 사용하여 두 VLAN 간의 통신을 차단하려면 어떻게 해야 합니까?
A: 출발지를 한 VLAN(예: 마케팅 VLAN10)으로, 목적지를 다른 VLAN(예: R&D VLAN1)으로 설정하고, 정책을 "거부"로 지정한 후 LAN 방향으로 적용하는 규칙을 생성하십시오. 이렇게 하면 두 VLAN 간의 트래픽이 차단됩니다. 양방향 차단을 원할 경우 양방향 ( Bi-Directional ) 기능을 활성화하십시오.

Q4: ACL 규칙이 예상대로 작동하지 않는 이유는 무엇입니까?
A: 가능한 원인은 다음과 같습니다:

• 규칙 순서가 잘못되었습니다(우선순위가 더 높은 규칙이 먼저 일치할 수 있음).
• 출발지/목적지 유형 또는 포트 설정이 올바르게 구성되지 않았습니다.
• 규칙이 비활성화되어 있습니다(상태 토글이 비활성화됨).
• 시간 범위가 활성화되어 있지 않습니다.
• 끝에 묵시적인 "Permit All"이 있습니다. 일치하는 규칙이 없으면 트래픽이 허용됩니다. 규칙 기준과 규칙 순서를 확인하십시오.
• 특별한 시나리오: 장치 유형이 지정된 현재 ACL규칙은 MAC 주소 일치에 기반합니다. 레이어 3 전달이 포함된 시나리오에서는 출발지 및 목적지 MAC 주소가 예상대로 일치하지 않습니다. 특히, 서로 다른 서브넷에 있는 스위치에 연결된 클라이언트의 경우, 장치 기반 액세스 제어가 적용되지 않아 관련 기능의 비정상적인 동작이 발생합니다.

Q5: ACL의 “반대 포트 일치(Match Opposite Port)” 기능은 무엇입니까?
A: 특정 TCP/UDP 포트를 선택하고 "반대 포트 일치"를 활성화하면, 해당 규칙은 선택한 포트를 제외한 모든 트래픽에 적용됩니다. 여기에는 다른 포트의 TCP/UDP 트래픽과 모든 비-TCP/UDP 트래픽(예: ICMP)이 포함됩니다. 선택한 포트 자체는 일치 대상에서 제외됩니다.

Q6: 양방향(Bi-Directional) 기능은 무엇을 합니까?
A: 이 기능을 활성화하면 라우터가 동일한 설정 매개변수를 사용하여 반대 방향(예: 목적지에서 출발지로)의 두 번째 ACL 규칙을 자동으로 생성합니다. 이 역방향 규칙의 이름은 "xxx_reverse"입니다. 이는 단일 규칙 설정으로 양방향 통신을 차단하거나 허용하는 데 유용합니다. 참고: 양방향(Bi-Directional) 옵션은 LAN-to-LAN 방향에서만 사용할 수 있습니다.

Q7: 'APP 기반 ACL' 차단 규칙을 설정한 후에도 클라이언트가 특정 웹사이트에 계속 액세스할 수 있다면 어떻게 해야 합니까?

A: 해당 도메인이 현재 애플리케이션 데이터베이스에 포함되어 있지 않을 수 있습니다. 이 경우, 애플리케이션 기반 ACL과 함께 콘텐츠 필터링을 사용하는 것이 좋습니다. 카테고리 필터링의 차단 목록을 사용하여 카테고리 데이터베이스에 포함되지 않은 특정 웹사이트를 차단할 수 있습니다. 콘텐츠 필터링에 대한 자세한 내용은 관련 문서를 참조하십시오.

Q8: 차단 ACL을 설정한 후에도 웹 페이지의 일부나 아이콘이 여전히 로드되는 이유는 무엇입니까?

A: 브라우저 캐시 때문일 수 있습니다 . 브라우저 캐시를 지우거나 시크릿/비공개 모드로 테스트해 보시기 바랍니다.
 

Q9: 특정 애플리케이션 카테고리에 어떤 애플리케이션이 포함되어 있는지 어떻게 알 수 있나요?

A: 네트워크 설정 > 보안 > 애플리케이션 제어에서 확인할 수있습니다 .

Q10: APP 기반 ACL을 사용하려면 심층 패킷 검사(DPI)를 활성화해야 하나요?

A: 아니요 , 네트워크 구성 > 보안 > 애플리케이션 제어에서 심층 패킷 검사(DPI)를 활성화할 필요는 없습니다.

Q11: 라우터 ACL을 VPN 클라이언트(예: L2TP/PPTP)에 적용할 수 있습니까?
A: 예. 라우터 ACL은 출발지로 L2TP 클라이언트 또는 PPTP 클라이언트를 선택할 수 있도록 지원합니다. 단, 이 옵션은 Fusion 라우터에서 해당 L2TP 또는 PPTP 클라이언트 연결을 성공적으로 생성한 후에만 사용할 수 있습니다. VPN 클라이언트 연결이 설정되면, 해당 VPN 인터페이스를 오가는 트래픽을 허용하거나 차단하는 ACL 규칙을 생성할 수 있습니다.

각 기능 및 설정에 대한 자세한 내용을 확인하려면 다운로드 센터에서 해당 제품 설명서를 다운로드하십시오.

이 문서에는 기계 번역이 적용되었으며, 정확한 내용을 확인하려면 원본 영문 문서를 참고하시기 바랍니다.