예시 : SSH 10000번 포트에 대한 접근을 IP A.A.A.A는 허용하고 나머지 네트워크에 대해서는 차단하는 경우.
1. 포트에 대한 정의 = policy service
policy service "ssh_10000" destination tcp-port 10000
2. 네트워크 범위에 대한 정의 = policy network group
policy network group "A" source ip A.A.A.A
policy network group "B" source ip any
팁) network group 중 Swtich는 기본적으로 정의되어 있으며 스위치가 가지고 있는 Interface의 IP가 자동적으로 정의된다. 아마도 최신 버전의 OS에서 기본적으로 정의되어 있는 듯.
3. 방향에 대한 정의 = policy condition
policy condition "C1" source network group "A" destination network group "Swtich" service "ssh_10000"
policy condition "C2" source network group "B" destination network group "Switch" service "ssh_10000"
팁) network group를 지정하지 않아도 condition 설정에서 바로 IP를 넣어줄 수 있다.
4. 행동에 대한 정의 = policy action
policy action "permit" disposition accept
policy action "deny" disposition deny
5. 룰에 대한 정의 = policy rule
policy rule precedence 200 "R1" condition "C1" action "permit"
policy rule "R2" condition "C2" action "deny"
팁) preceden xxx(숫자)를 통해서 우선순위를 정할 수 있다. 기본 값은 100.
6. 적용
qos apply
*qos 해제 = qos flush > show config 시 남아있으나 적용은 해제된 상태고 이 상태에서 qos apply를 하게 되면
qos 설정이 사라짐.
컨피그예시) ABC-1, 2, 내부대역은 SSH 20000 접근 허용 및 나머지 대역은 차단
policy service ssh_20000 destination tcp-port 20000
policy condition ABC-1 source ip 1.1.1.1 destination network group Switch service ssh_20000
policy condition ABC-2 source ip 1.1.1.2 destination network group Switch service ssh_20000
policy condition internal_ssh source network group Switch destination network group Switch service ssh_20000
policy condition external_ssh source ip any destination network group Switch service ssh_20000
policy action permit disposition accept
policy action deny disposition deny
policy rule r1 precedence 200 condition ABC-1 action permit
policy rule r2 precedence 200 condition ABC-2 action permit
policy rule r3 precedence 200 condition internal_ssh action permit
policy rule r4 precedence 100 condition external_ssh action deny