목차
이 문서에서는 컨트롤러 모드에서 ACL을 구성하여 네트워크를 관리하는 방법을 소개합니다.
- Omada 하드웨어/소프트웨어/클라우드 기반 컨트롤러 V5.0 이상
VLAN(가상 로컬 영역 네트워크) 기술은 물리적 LAN을 여러 개의 논리적 LAN, 즉 VLAN으로 나눕니다. 동일한 VLAN에 있는 호스트는 서로 직접 통신할 수 있지만, 다른 VLAN에 있는 호스트는 통신할 수 없으므로 LAN의 보안이 강화됩니다. LAN이 여러 VLAN으로 나뉘면 브로드캐스트 메시지는 동일한 VLAN 내에서 제한되며, 즉 각 VLAN이 브로드캐스트 도메인을 형성하여 브로드캐스트 도메인의 범위가 효과적으로 제한됩니다. VLAN을 사용하면 서로 다른 호스트를 서로 다른 작업 그룹에 할당하고 동일한 작업 그룹의 호스트를 서로 다른 물리적 위치에 배치할 수 있으므로 네트워크 구축 및 유지 관리가 더욱 편리하고 유연해집니다.
토폴로지 예제: 호스트 A&B는 네트워크 A(VLAN 10)에 속하고, 호스트 D와 서버는 네트워크 B(VLAN 20)에 속합니다. 이 시나리오에서는 일반적으로 해당 VLAN 인터페이스와 주소 풀이 생성되어 서로 다른 네트워크에 연결된 클라이언트가 서로 다른 서브넷에서 IP 주소를 얻을 수 있습니다. 서버의 IP 주소가 192.168.20.10이라고 가정해 보겠습니다.
예제의 인터페이스/포트 구성은 다음과 같습니다:
|
스위치 |
스위치 A |
스위치 B |
스위치 C |
||||
|
포트 |
1 |
2 |
3 |
1 |
기타 |
1 |
기타 |
|
이그레스 규칙 |
Tagged |
Tagged |
Tagged |
Tagged |
Untagged |
Tagged |
Untagged |
|
네이티브 네트워크 |
1 |
1 |
1 |
1 |
10 |
1 |
20 |
|
VLAN |
1,10,20 |
1,10 |
1,20 |
1,10 |
10 |
1,20 |
20 |
네트워크 A와 네트워크 B는 서로 통신할 수 없지만 네트워크 A는 네트워크 B의 특정 서버에 액세스할 수 있습니다.
1단계. 네트워크 포트 및 인터페이스를 구성합니다.
설정 > 사이트 설정 > 유선 네트워크 > LAN으로 이동하여 새 LAN 만들기를 클릭하여 VLAN 10 및 VLAN 20의 인터페이스 만들기를 시작합니다.
2단계. 관련 매개변수를 지정하여 두 인터페이스를 모두 생성합니다. 서브넷 IP를 입력한 후 IP 범위 업데이트를 클릭하면 이 서브넷의 IP 주소 풀 범위를 업데이트할 수 있습니다. 다른 옵션은 기본값으로 두고 적용을 클릭하여 완료합니다.
3단계. 각 스위치에 대한 포트 프로필을 생성하고 해당 포트에 바인딩합니다.
이전 단계의 LAN 구성 페이지에서 프로필 > 새 포트 프로필 생성을 클릭하여 포트 프로필을 생성합니다. VLAN 인터페이스를 생성할 때 컨트롤러는 해당 네트워크(네트워크 A, 네트워크 B)에 대한 프로필을 자동으로 생성합니다. 그런 다음 해당 스위치의 액세스 포트에 직접 적용할 수 있습니다.
다음 매개변수를 사용하여 스위치 B/C의 업링크 포트에 대한 프로필을 생성합니다:
스위치 B:
스위치 C:
그런 다음 각 프로파일을 해당 포트에 바인딩합니다: 탐색 모음에서 장치 를 클릭한 다음 스위치 A > 포트 > 동작으로 이동하여 스위치 A의 포트 프로파일을 편집합니다. 포트1은 “모두" 프로파일에, 포트2 (스위치 B에 연결)와 포트3 (스위치 C에 연결)은 각각 스위치 B와 C의 업링크 프로파일에 바인딩합니다.
동일한 작업을 수행하여 스위치 B와 C의 프로파일을 업링크 포트 및 액세스 포트에 바인딩합니다.
스위치 B:
스위치 C:
4단계. 네트워크 A와 네트워크 B 간의 상호 액세스를 거부하는 ACL을 생성합니다.
사이트 설정 > 네트워크 보안 > ACL > 스위치 ACL로 이동한 후, 새 규칙 만들기를 클릭하세요.
규칙의 매개변수는 다음과 같습니다. 고급 설정에서 양방향을 사용하도록 설정하여 스위치 B와 스위치 C의 모든 포트에 이 ACL을 적용합니다.
5단계. 네트워크 A가 네트워크 B의 특정 서버에 액세스할 수 있도록 허용하는 ACL을 만듭니다.
사이트 설정 > 프로파일 > 그룹 > 새 그룹 만들기로 이동한 후, 유형에서 IP 그룹을 선택하고, IP 서브넷에 서버 주소를 입력하세요. 그룹에 여러 IP를 추가하려면 서브넷 추가를 클릭합니다.
6단계. VLAN 10이 서버 IP 그룹에 액세스하도록 허용하는 ACL을 생성하고 이 ACL을 스위치 B 및 C의 모든 포트에 적용합니다.
참고: 완료되면 모든 ACL 항목은 다음과 같습니다. ACL은 하향식 우선 순위에 따라 적용되므로 두 개의 A_to_B_Server_permit ACL을 목록의 맨 위에 배치해야 합니다.
전에:
이후:
특정 VLAN(네트워크)의 인터넷 액세스를 제한하고 내부 네트워크에 대한 액세스만 허용할 수 있습니다.
이전 토폴로지를 기반으로 네트워크 구성을 완료한 후, 네트워크 A에 연결된 장치는 인터넷에 액세스할 수 없지만 다른 내부 네트워크에는 액세스할 수 있다는 요구 사항이 충족되어야 한다고 가정합니다. TP-Link 스위치의 ACL의 기본 블랙리스트 메커니즘으로 인해 네트워크 A에서 다른 모든 서브넷으로 허용 ACL을 생성한 다음 네트워크 A에 대한 모든 액세스를 거부하는 ACL을 생성해야 합니다.
1단계. 사이트 설정 > 네트워크 보안 > ACL > 스위치 ACL > 새 규칙 만들기로 이동한 후, 다음과 같이 매개변수를 구성하여 네트워크 A가 모든 서브넷에 접근할 수 있도록 하세요:
2단계. 이 ACL을 스위치 B의 모든 포트에 적용합니다.
네트워크 A에 대한 모든 액세스를 거부하는 ACL을 생성하며, IPGroup_Any를 통해 구현할 수 있습니다. 이 ACL을 스위치 B의 모든 포트에도 적용하세요.
완료되면 모든 ACL 항목은 다음과 같습니다:
특정 VLAN의 인터넷 액세스를 허용하고 내부 네트워크에 대한 액세스를 제한할 수 있습니다(게스트 네트워크 요구 사항).
이전 토폴로지를 기반으로 인터페이스 및 포트 구성을 완료합니다.
1단계. 다른 모든 서브넷에 대한 네트워크 A의 액세스를 거부하는 ACL을 생성합니다. 시나리오 2를 참조하여 이 ACL을 스위치 B의 모든 포트에 적용합니다.
2단계. 네트워크 A에 대한 액세스를 허용하는 ACL을 생성하고, IPGroup_Any를 통해 구현할 수 있으며, 스위치 B의 모든 포트에 적용합니다.
위의 지침에 따라 일반적인 시나리오에 대한 ACL 구성을 수행하세요.
해당 제품의 설명서를 다운로드 센터에서 다운로드하여 각 기능 및 설정에 대한 자세한 내용을 확인할 수 있습니다.
이 문서에는 기계 번역이 적용되었으며, 정확한 내용을 확인하려면 원본 영문 문서를 참고하시기 바랍니다.
