#ACL( Access Control List)
네트워크 정의 , 트래픽 정의
정의된 내용을 인터페이스에 적용하면 트래픽 필터링이 실시된다.
=인바운드 필터링 : 트래픽이 입력될때 필터링
-아웃바운드 필터링: 트래픽이 출력될때 필터링
#ACL 주의사항
ACL 을 설정하면 설정된 순서대로 추가되며, 라우터는 이 순서를 기반으로
맨위 라인부터 검사를 실시한다.
검사를 실시 했을시에 조건이 만족되면 동작을 실시한다.
access list 33 deny 172.16.0.0 0.0.255.255 <- 172.16.0.0/16
access list 33 permit 172.16.1.0 0.0.0.255 <- 172.16.1.0 /24
access list 33 permit 172.16.2.0 0.0.0.255 <- 172.16.2.0 /24
위에부터 검사를 함. 맨위에 172.16.0.0 인 모든 아이피는 차단
그러므로 아래 2개 아이피도 둘다 차단.
access list 33 permit 172.16.1.0 0.0.0.255 <- 172.16.1.0 /24
access list 33 permit 172.16.2.0 0.0.0.255 <- 172.16.2.0 /24
access list 33 deny 172.16.0.0 0.0.255.255 <- 172.16.0.0/16
1 2 를 제외한 모든 아이피는 차단.
위에서부터 아래로 검사를 실시하기 떄문에 범위가 작은 네트워크
부터 정의 실시
위에서부터 아래로 검사를 실시하기 떄문에 자주사용하는 항목부터 정의실시
access list 33 deny 172.16.1.0 0.0.0.255
access list 33 permit any -> 위에 거만 뺴놓고 나머진 전부 허용
아무런 명시를 하지 않으면 마지막 라인에 deny any 가 처리된다.
경우에 따라서 permit any가 필요하다.
부분 추가, 부분 삭제가 불가능하다.
access list 11 permit 172.16.1.0 0.0.0.255 <- 172.16.1.0 /24
access list 11 permit 172.16.2.0 0.0.0.255 <- 172.16.2.0 /24
access list 11 deny 172.16.0.0 0.0.255.255 <- 172.16.0.0/16
access list 11 permit any
지울떄는
no access list 11 permit 172.16.2.0 0.0.0.255 <- 172.16.2.0 /24
근데 no 가 들어간 순간 리스트 11 자체가 다 사라진다.
부분 수정이 불가능하다. 메모장에 넣고 작업하자.
필터링 용도로 인터페이스에 적용시 인바운드/아웃바운드를 구분해야함
# acl 사용방법
access-list 구문 사용
permit / deny 사용.
네트워크 전체를 정의 방법
access-list 11 permit 0.0.0.0 255.255.255.255
-> access-list 11 permit any
-특정 호스트만 정의방법.
access-list 11 permit 172.16.1.1 0.0.0.0
-> access-list 11 permit host 172.16.1.1
보통 네트워크는 와일드 카드 마스크를 이용하여 정의한다.
#ACL 유형
1) Stnadard ACL
2) Extended ACL
3) Named ACL
# Standard ACL
1) 사용항목 번지: 1~99
2) 접근하는 출발지 네트워크만 정의
access-list {1~99} permit /deny 출발지 네트워크 와일드카드마스크
access-list 33 permit host 172.16.1.1
access-list 33 permit host 172.16.1.2
access-list 33 deny 172.16.1.0 0.0.0.255
access-list 33 permit any
ex)
access-list 33 permit host 192.168.1.34
access-list 33 permit host 192.168.1.35
access-list 33 deny 192.168.1.32/27 0.0.0.31(255.255.255.224->0.0.0.31)
access-list 33 permit 192.168.1.0 0.0.0.255
access-list 33 permit host 172.16.1.1
access-list 33 permit host 172.16.1.2
access-list 33 permit host 172.16.1.3
access-list 33 deny 172.16.1.0 0.0.0.255
access-list 33 permit any
!
interface fa0/0
ip access-group 33 out
!
ex) 다음 조건에 맞게 acl 을 이용한 필터링을 하여라.
R1 fa0/0 내부 로컬 네트워크로 접근하는 출발지가 x.x.2.0/24
네트워크와 x.x.23.3 만 차단하고 나머지는 허용하길 원한다.
-acl 를 정의한 이후 serial 1/0 적용
access-list 11 deny 13.13.2.0 0.0.0.255
access-list 11 deny host 13.13.23.3
access-list 11 permit any
!
int s 1/0
ip access-group 11 in
!
R1#sh ip access-lists
Standard IP access list 11
20 deny 13.13.23.3
10 deny 13.13.2.0, wildcard bits 0.0.0.255
30 permit any (63 matches)
R1#ping 13.13.1.1 source fa 0/0
ex) 172.16.1.0 /24~ 172.16.255.0 /24 중 짝수 네트워크만 standard acl로
정의하여라. 이떄 acl 은 한줄로 해야한다.
172.16.0000001 0.0
172.16.0000010 0.0
172.16.0000011 0.0
172.16.0000100 0.0
172.16.1111111 0.0
////////////////////////
0.0.1111111 0.11111111 <- 0.0.254.255
access-list 20 permit 172.16.0.0 0.0.254.255
*-------------------------------------*
홀수
172.16.0000000 1.0
172.16.0000001 1.0
172.16.0000010 1.0
172.16.0000011 1.0
172.16.1111111 1.0
---------------------------*
0.0.1111111 0.11111111<- 0.0.254.255
172.16.1.0 0.0.254.255
#Extended ACL (확장 접근 제어리스트)
1) 사용 항목 번지: 100~199
2) 접근하는 출발지 네트워크/트래픽이 도착하는 목적지 네트워크
to A from B
from a to b
to web server from remote router
3) 프로토콜 정의 : TCP, UDP ICMP, OSPF EIGRP IGRP <- IP
4) 출발지 네트워크 & 목적지 네트워크에 대한 어플리케이션 프로토콜
access-list (100~199) permit deny 출발지 네트워크 와일드카드 마스크 eq(어플리케이션)
목적지 네으워크 와일드카드 마스크 eq(어플리케이션)
[log] [log-input ]
ex)
access-list 111 permit ip 172.16.1.0 0.0.0.255 host 13.13.1.1
TCP: HTTP(80), TELNET(23), SSH(22) FTP(20/21) POP3(110)
SMTP(25)
UDP:DNS(53), TFRP(69), DHCP(67/68), RIP(520)
access-list 111 permit tcp 172.16.1.0 0.0.0.255 host 13.13.1.100 eq telnet
access-list 111 deny any host 13.13.1.00 eq telnet
access-list 111 permit ip any any
출발지가 172.16.1.0/24 만 호스트 13.13.1.100 으로 텔넷이 허용되며
나머지 출발지 네트워크는 호스트 13.13.1.100 으로 텔넷이 차단된다. 단 나머지 트래픽은 접근
가능하다.
EX1)
출발지 네트워크가 192.168.1.1/24 ~ 192.168.1.2 /24 호스트만
웹서버 211.243.31.27/24 에 접근이 가능하며 나머지 출발지
네트워크 192.168.1.0 /24 는 웹서버에 접근이 되서는 안됨.
2) 출발지 네트워크가 192.168.1.0/24는 호스트 211.243.31.100/24로
텔넷이가능해야하며 나머지 네트워크는 텔넷이 되서는 안된다.
3) 위의 조건에 해당되지 않는 트래픽은 전체 접근이 가능해야한다.
1)
access-list 11 permit tcp host 192.168.1.1 host 211.243.31.27 eq 80
access-list 11 permit tcp host 192.168.1.2 host 211.243.31.27 eq 80
access-list 11 deny tcp 192.168.1.0 0.0.0.255 host 211.243.31.27 eq 80
2)
access-list 11 permit tcp host 192.168.1.0 0.0.0.255 host 211.243.31.100 eq 23
access-list 11 deny tcp 192.168.1.0 0.0.0.255 host 211.243.31.100 eq 23
access-list 11 permit ip any any
!
int fa 0/0
ip access-group 120 out
!
#R1
access-list 13 deny tcp 13.13.3.0 0.0.0.255 13.13.1.0 0.0.0.255 eq 23
access-list 13 deny icmp 13.13.3.0 0.0.0.255 13.13.1.0 0.0.0.255 eq icmp log-input
access-list 13 deny tcp 13.13.2.0 0.0.0.255 host 13.13.1.100 0.0.0.255 eq 80
access-list 13 permit any any
!
int s 1/0
ip access-group 13 in
네트워크 정의 , 트래픽 정의
정의된 내용을 인터페이스에 적용하면 트래픽 필터링이 실시된다.
=인바운드 필터링 : 트래픽이 입력될때 필터링
-아웃바운드 필터링: 트래픽이 출력될때 필터링
#ACL 주의사항
ACL 을 설정하면 설정된 순서대로 추가되며, 라우터는 이 순서를 기반으로
맨위 라인부터 검사를 실시한다.
검사를 실시 했을시에 조건이 만족되면 동작을 실시한다.
access list 33 deny 172.16.0.0 0.0.255.255 <- 172.16.0.0/16
access list 33 permit 172.16.1.0 0.0.0.255 <- 172.16.1.0 /24
access list 33 permit 172.16.2.0 0.0.0.255 <- 172.16.2.0 /24
위에부터 검사를 함. 맨위에 172.16.0.0 인 모든 아이피는 차단
그러므로 아래 2개 아이피도 둘다 차단.
access list 33 permit 172.16.1.0 0.0.0.255 <- 172.16.1.0 /24
access list 33 permit 172.16.2.0 0.0.0.255 <- 172.16.2.0 /24
access list 33 deny 172.16.0.0 0.0.255.255 <- 172.16.0.0/16
1 2 를 제외한 모든 아이피는 차단.
위에서부터 아래로 검사를 실시하기 떄문에 범위가 작은 네트워크
부터 정의 실시
위에서부터 아래로 검사를 실시하기 떄문에 자주사용하는 항목부터 정의실시
access list 33 deny 172.16.1.0 0.0.0.255
access list 33 permit any -> 위에 거만 뺴놓고 나머진 전부 허용
아무런 명시를 하지 않으면 마지막 라인에 deny any 가 처리된다.
경우에 따라서 permit any가 필요하다.
부분 추가, 부분 삭제가 불가능하다.
access list 11 permit 172.16.1.0 0.0.0.255 <- 172.16.1.0 /24
access list 11 permit 172.16.2.0 0.0.0.255 <- 172.16.2.0 /24
access list 11 deny 172.16.0.0 0.0.255.255 <- 172.16.0.0/16
access list 11 permit any
지울떄는
no access list 11 permit 172.16.2.0 0.0.0.255 <- 172.16.2.0 /24
근데 no 가 들어간 순간 리스트 11 자체가 다 사라진다.
부분 수정이 불가능하다. 메모장에 넣고 작업하자.
필터링 용도로 인터페이스에 적용시 인바운드/아웃바운드를 구분해야함
# acl 사용방법
access-list 구문 사용
permit / deny 사용.
네트워크 전체를 정의 방법
access-list 11 permit 0.0.0.0 255.255.255.255
-> access-list 11 permit any
-특정 호스트만 정의방법.
access-list 11 permit 172.16.1.1 0.0.0.0
-> access-list 11 permit host 172.16.1.1
보통 네트워크는 와일드 카드 마스크를 이용하여 정의한다.
#ACL 유형
1) Stnadard ACL
2) Extended ACL
3) Named ACL
# Standard ACL
1) 사용항목 번지: 1~99
2) 접근하는 출발지 네트워크만 정의
access-list {1~99} permit /deny 출발지 네트워크 와일드카드마스크
access-list 33 permit host 172.16.1.1
access-list 33 permit host 172.16.1.2
access-list 33 deny 172.16.1.0 0.0.0.255
access-list 33 permit any
ex)
access-list 33 permit host 192.168.1.34
access-list 33 permit host 192.168.1.35
access-list 33 deny 192.168.1.32/27 0.0.0.31(255.255.255.224->0.0.0.31)
access-list 33 permit 192.168.1.0 0.0.0.255
access-list 33 permit host 172.16.1.1
access-list 33 permit host 172.16.1.2
access-list 33 permit host 172.16.1.3
access-list 33 deny 172.16.1.0 0.0.0.255
access-list 33 permit any
!
interface fa0/0
ip access-group 33 out
!
ex) 다음 조건에 맞게 acl 을 이용한 필터링을 하여라.
R1 fa0/0 내부 로컬 네트워크로 접근하는 출발지가 x.x.2.0/24
네트워크와 x.x.23.3 만 차단하고 나머지는 허용하길 원한다.
-acl 를 정의한 이후 serial 1/0 적용
access-list 11 deny 13.13.2.0 0.0.0.255
access-list 11 deny host 13.13.23.3
access-list 11 permit any
!
int s 1/0
ip access-group 11 in
!
R1#sh ip access-lists
Standard IP access list 11
20 deny 13.13.23.3
10 deny 13.13.2.0, wildcard bits 0.0.0.255
30 permit any (63 matches)
R1#ping 13.13.1.1 source fa 0/0
ex) 172.16.1.0 /24~ 172.16.255.0 /24 중 짝수 네트워크만 standard acl로
정의하여라. 이떄 acl 은 한줄로 해야한다.
172.16.0000001 0.0
172.16.0000010 0.0
172.16.0000011 0.0
172.16.0000100 0.0
172.16.1111111 0.0
////////////////////////
0.0.1111111 0.11111111 <- 0.0.254.255
access-list 20 permit 172.16.0.0 0.0.254.255
*-------------------------------------*
홀수
172.16.0000000 1.0
172.16.0000001 1.0
172.16.0000010 1.0
172.16.0000011 1.0
172.16.1111111 1.0
---------------------------*
0.0.1111111 0.11111111<- 0.0.254.255
172.16.1.0 0.0.254.255
#Extended ACL (확장 접근 제어리스트)
1) 사용 항목 번지: 100~199
2) 접근하는 출발지 네트워크/트래픽이 도착하는 목적지 네트워크
to A from B
from a to b
to web server from remote router
3) 프로토콜 정의 : TCP, UDP ICMP, OSPF EIGRP IGRP <- IP
4) 출발지 네트워크 & 목적지 네트워크에 대한 어플리케이션 프로토콜
access-list (100~199) permit deny 출발지 네트워크 와일드카드 마스크 eq(어플리케이션)
목적지 네으워크 와일드카드 마스크 eq(어플리케이션)
[log] [log-input ]
ex)
access-list 111 permit ip 172.16.1.0 0.0.0.255 host 13.13.1.1
TCP: HTTP(80), TELNET(23), SSH(22) FTP(20/21) POP3(110)
SMTP(25)
UDP:DNS(53), TFRP(69), DHCP(67/68), RIP(520)
access-list 111 permit tcp 172.16.1.0 0.0.0.255 host 13.13.1.100 eq telnet
access-list 111 deny any host 13.13.1.00 eq telnet
access-list 111 permit ip any any
출발지가 172.16.1.0/24 만 호스트 13.13.1.100 으로 텔넷이 허용되며
나머지 출발지 네트워크는 호스트 13.13.1.100 으로 텔넷이 차단된다. 단 나머지 트래픽은 접근
가능하다.
EX1)
출발지 네트워크가 192.168.1.1/24 ~ 192.168.1.2 /24 호스트만
웹서버 211.243.31.27/24 에 접근이 가능하며 나머지 출발지
네트워크 192.168.1.0 /24 는 웹서버에 접근이 되서는 안됨.
2) 출발지 네트워크가 192.168.1.0/24는 호스트 211.243.31.100/24로
텔넷이가능해야하며 나머지 네트워크는 텔넷이 되서는 안된다.
3) 위의 조건에 해당되지 않는 트래픽은 전체 접근이 가능해야한다.
1)
access-list 11 permit tcp host 192.168.1.1 host 211.243.31.27 eq 80
access-list 11 permit tcp host 192.168.1.2 host 211.243.31.27 eq 80
access-list 11 deny tcp 192.168.1.0 0.0.0.255 host 211.243.31.27 eq 80
2)
access-list 11 permit tcp host 192.168.1.0 0.0.0.255 host 211.243.31.100 eq 23
access-list 11 deny tcp 192.168.1.0 0.0.0.255 host 211.243.31.100 eq 23
access-list 11 permit ip any any
!
int fa 0/0
ip access-group 120 out
!
#R1
access-list 13 deny tcp 13.13.3.0 0.0.0.255 13.13.1.0 0.0.0.255 eq 23
access-list 13 deny icmp 13.13.3.0 0.0.0.255 13.13.1.0 0.0.0.255 eq icmp log-input
access-list 13 deny tcp 13.13.2.0 0.0.0.255 host 13.13.1.100 0.0.0.255 eq 80
access-list 13 permit any any
!
int s 1/0
ip access-group 13 in
반응형
'Net' 카테고리의 다른 글
| LPIC Level 1 48가지 팁 (0) | 2008.06.20 |
|---|---|
| IPv6 (허접) (0) | 2008.06.19 |
| 아주 기초적이면서 중요한 라우팅 기초 (0) | 2008.06.19 |
| ipv4 주소의 총괄정리(?) (0) | 2008.06.19 |
| 허브,스위치,라우터(햏;) (0) | 2008.06.19 |