-
ACL
Access Control List
네트워크에 들어오고 나가는 패킷의 접근을 제어하는 라우터의 방화벽같은것이다.
기본적으로
표준 ACL
확장 ACL
이 두가지가 있는데,
표준 ACL은 IP만 제어한다
1~ 99 번호를 사용해 제어하고
표준 ACL은 IP만 제어한다
1~ 99 번호를 사용해 제어하고
확장 ACL은 IP에 더해 TCP, UDP, 포트번호까지 제어할 수 있다.
100~199 번호를 사용해 제어한다.
이런식으로 배치하게된다.
위의 사진을 보면 R2에 50번 ACL을 설정하고 라우터 1과 통신하는 C2에 설정해놨다.
PC A와 F 를 허용하게 했지만, 설정한 순서대로 먼저 적용이 되기때문에, F pc는 중간의 '모두 거부' 때문에 무시되어 결과적으로 A만 허용되게 된다.
ACL을 생성할 때 보면
만드는 순서대로 적용되는데
기본적으로 acl의 가장 끝에 모든것을 막는 bace가 깔려있다.
순서대로 적용하면 permit 선언 할때는 크게 문제가 되지않는다.
하지만 deny 선언할때는 아래처럼 base 때문에 의미가 없어진다.
그래서 permit any를 선언해주면 아래처럼 deny가 적용된다.
근데 permit any 선언후 deny선언한게 있으면, 의미가 없어진다.
'
실습을 위해 아래처럼 구성해봤다.
아래는 PC4를 라우터를 넘어 2번서버 pc로 가는 법을 막아봤다.
먼저 50번의 설정을 해준다.
10.0.0.2를 막고,
나머지를 허용해준다.
그리고 라우터 2번의 f0/0포트에 ACL을 적용해준다.
access-list 50 deny 10.0.0.2
access-list 50 permit any
int f0/1
ip access-group 50 in
서버 pc에서는 서버 2까지 잘 넘어간다
하지만 pc4에서는 넘어가지않는다
1. L3, L4 필터링
2. 위에서 부터 아래로 적용
3. deny any any
4. White list : 기본적으로 다 막고 필요한 host에게만 허용
5. black list : 기본적으로 모두 허용하고 필요한 host 차단
Default ACL ( 1~99 )
오로지 Source IP 필터링 L3
Extend ACL ( 1~99 )
출발지,목적지 IP주소,TCP,UDP,포트번호를
참조하여 패킷을 필터링
100~199, 2000~2699 번호 사용
Named ACL ( 1~99 )
표준 ACL과 같음, ACL선언시 번호가 아닌 사용자
설정 값을 이용
Named 확장 ACL
확장 ACL과 같으며,ACL 선언시 번호가 아닌 사용자 설정값 사용
R2>en
R2#conf t
R2(config)#ip access-list extend R2_ACL
R2(config-ext-nacl)#permit tcp any host 1.1.1.1
R2(config-ext-nacl)#deny ip any any
R2(config-ext-nacl)#exit
R2(config)#do show access-list
Extended IP access list R2_ACL
permit tcp any host 1.1.1.1
deny ip any any
R2(config)#ip access-list extended R2_ACL
R2(config-ext-nacl)#15 permit tcp any host 203.230.7.1
R2(config-ext-nacl)#do show access-list