1. 방화벽 (요새는 UTM 장비, 클라우드에서는 방화벽)
ACL 을 라우터가 아닌 방화벽에 설정하여 부하를 감소한다.
라우터에는 라우팅만 하고 방화벽에서 Nat, DHCP, Inter Vlan 한다.
방화벽은 Zone 이라는 개념이 들어간다. (Outside , DMZ , Inside)
방화벽의 Inteface-Port에는 Zone의 설정이 필요하다.
(Inside는 1개만 설정하는 한계를 극복하고자 Security-Level 값으로 나눈다)
일반적으로 Security-Level 값은 inside (100), outside (0), DMZ (50) 으로 할당한다.
1) Security-Level 이 높은 구간에서 Security-Level이 낮은 구간으로 트래픽 허용
2) Security-Level이 낮은 구간에서 Security-Level이 높은 구간으로 트래픽 불허
MPF ( Modular Policy Framework ), ACL 두가지 방식으로 낮은 구간에서 높은 구간으로 트래픽을 이동시킨다.
MPF 를 1차적으로 처리하고 , 그외의 트래픽을 ACL로 유연하게 처리한다.
라우터에서는 MPF 대신 QoS 설정을 통해 트래픽 관리와 같은 기능을 수행
MPF는 내부에서 (높은 LV) 에서 출발한 패킷이 외부 (낮은 LV) 돌아오는 것을 허용
ASA 는 시스코에 인수합병된 회사인데, Command Tree 가 비슷하다 .
Show Interface IP brief
ASA에서 ACL은 Wildcard Mask가 아니라 서브넷 마스크를 사용한다.
ASA는 MPF 기본 설정이 반영되어 있다.
MPF는 재시작하거나 , 방화벽을 재시작하는 것이 아니면 동작하고 있는 policy가 계속 적용된다.
no service-policy global_policy global
service-policy global_policy global
로 MPF 재시작 해야 한다. (
ACL 의 사용은 Map에서 서비스의 범위를 허용하거나 , 직접 트래픽을 지정하는 방식으로 사용한다.
Class-Map 에서 선언하는 ACL은 서비스의 범위를 결정하는 ACL 이다.
'CCIE & CCNA' 카테고리의 다른 글
| [ICT 폴리텍 생활 (이경태 교수님)] 직업 훈련 과정 3일차 (8/27) (1) | 2024.08.27 |
|---|---|
| [ICT 폴리텍 생활 (이경태 교수님)] 직업 훈련 과정 1일차 (9/20) (0) | 2024.08.23 |
| [ICT 폴리텍 생활] 직업 훈련 과정 35일차 (8/3) (0) | 2024.08.06 |
| [ICT 폴리텍 생활] 직업 훈련 과정 32일차 (8/2) (0) | 2024.08.02 |
| [ICT 폴리텍 생활] 직업 훈련 과정 31일차 (8/1) (0) | 2024.08.01 |