### ACL (Access Control List) [바탕 / 굵게 / 14]
-Router로 접근하는 특정 트래픽을 제어하거나
Offset-list , Distribute-list , QOS , IPsec등의 Filtering기능 구성시 범위를 지정시 사용한다.
## ACL구성시 주의사항
-ACL은 "Permit/Deny" command를 사용하여 트래픽을 제어한다.
-ACL은 마지막 Line에 "deny any" command가 자동실행된다.
-ACL은 첫번째 Line부터 순서대로 실행되기때문에 작은 범위의 트래픽부터 지정해야 한다.
-ACL은 특정 부분에 대해서 추가 , 삭제가 실시되지 않는다.
=========================================================================================================================
## Numbered Standard ACL
-범위 : 1 ~ 99
-특징 : Source IP address만을 사용하여 트래픽을 제어하는 기능 (특정 트래픽에 대한 제어는 지원하지 않는다.)
(일반적으로 Router에 방화벽 구성시에는 사용되지 않으며 다른 Filtering 기능 구성시 범위 지정시 사용된다.)
-형식 : access-list [1-99] [permit/deny] [Source IP address] [Wilcardmask]
-적용 : Interface , VTY등에 적용 실시 (적용시 "in/out"을 선택하여 적용 실시)
EX1) R1은 출발지 IP 주소가 192.168.3.0/24트래픽이 192.168.1.0/24 네트워크로
접근하는것을을 허용하려고 한다 이외의 나머지 모든 트래픽은 차단해야한다.
S1/0 S 1/1 S 1/0 S 1/1
R1-----------------------------R2-----------------------------R3
| | |
Fa 0/0 Fa 0/0 Fa 0/0
| | |
192.168.1.0/24 192.168.2.0/24 192.168.3.0/24
# R1
access-list 1 permit 192.168.3.0 0.0.0.255
!
interface serial 1/0
ip access-group 1 in
!
--------- OR ---------
# R1
access-list 1 permit 192.168.3.0 0.0.0.255
!
interface fastethernet 0/0
ip access-group 1 out
!
------------------------------------------------------------------------------------------------------------------
EX2) R3은 출발지 주소가 192.168.1.0/24트래픽이 192.168.3.0/24 네트워크로
접근하는것을을 차단하려고 한다 이외의 나머지 모든 트래픽은 허용해야한다.
S1/0 S 1/1 S 1/0 S 1/1
R1-----------------------------R2-----------------------------R3-------R4----| 192.168.4.0/24
Fa 0/0 Fa 0/0 Fa 0/0
| | |
192.168.1.0/24 192.168.2.0/24 192.168.3.0/24
# R3
access-list 2 deny 192.168.1.0 0.0.0.255
access-list 2 permit any
!
interface fastethernet 0/0
ip access-group 2 out
!
------------------------------------------------------------------------------------------------------------------
EX3) R1은 출발지 IP 주소가 "172.16.0.0/24 ~ 172.16.7.0/24"인 네트워크가
210.14.21.0/24네트워크로 접근하는 트래픽에 대해서 차단하고 나머지 모든 네트워크는 허용되어져야한다.
Fa 0/0 Serial 1/0
SW----------------------R1-------------------------Internet
210.14.21.0/24 172.16.0.0/24
~
172.16.7.0/24
# R1
access-list 3 deny 172.16.0.0 0.0.7.255
access-list 3 permit any
!
interface fastethernet 0/0
ip access-group 3 out
!
------------------------------------------------------------------------------------------------------------------
EX4) RTX는 출발지 주소가 192.168.120.0/24 네트워크가 172.16.110.0/24로 접근하는것을 차단하려고 한다.
192.168.120.0/24 네트워크는 나머지 모든 네트워크로 통신이 가능해야한다.
Fa 0/0 Fa 0/1
192.168.120.0/24 |----------------RTX----------------| 172.16.110.0/24
|
Se 1/0
|
|
100.123.45.0/24
# RTX
access-list 4 deny 192.168.120.0 0.0.0.255
access-list 4 permit any
!
interface fastethernet 0/1
ip access-group 4 out
!
==========================================================================================================================
## Numbered Standard ACL 실습
EX1) R1은 13.13.30.0/24 네트워크트래픽이 접근시 차단하고 나머지 모든 트래픽은 허용하려고한다.
(설정은 R1에서 실시하며 Serial interface에적용 실시)
Loopback 0 Loopback 0 Loopback 0
1.1.1.0/24 2.2.2.0/24 3.3.3.0/24
S1/0 13.13.12.0/24 S 1/1 S1/0 13.13.23.0/24 S 1/1
R1------------------------------R2-------------------------------R3
| | |
| | |
13.13.10.0/24 13.13.20.0/24 13.13.30.0/24
# R1
access-list 1 deny 13.13.30.0 0.0.0.255
access-list 1 permit any
!
interface serial 1/0
ip access-group 1 in
!
정보 확인
R1# show access-list
Standard IP access list 1
10 deny 13.13.30.0, wildcard bits 0.0.0.255
20 permit any
R1# show ip interface serial 1/0
Serial1/0 is up, line protocol is up
Internet address is 13.13.12.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.9
Outgoing access list is not set
Inbound access list is 1 <----- access-list 1 적용 확인
Proxy ARP is enabled
--------- 중간 생략 ---------
R3# ping 13.13.10.254 source 13.13.30.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 13.13.10.254, timeout is 2 seconds:
Packet sent with a source address of 13.13.30.254
U.U.U
Success rate is 0 percent (0/5)
#### 정보 확인 실시 후 R1에서 설정한 ACL 삭제 실시 ####
# R1
no access-list 1
!
interface serial 1/0
no ip access-group 1 in
!
-------------------------------------------------------------------------------------
EX2) R3은 13.13.10.0/24 , 1.1.1.0/24 네트워크트래픽이 접근시 차단하고 나머지 모든 트래픽은 허용하려고한다.
(설정은 R3에서 실시하며 Serial interface에적용 실시)
Loopback 0 Loopback 0 Loopback 0
1.1.1.0/24 2.2.2.0/24 3.3.3.0/24
S1/0 13.13.12.0/24 S 1/1 S1/0 13.13.23.0/24 S 1/1
R1------------------------------R2-------------------------------R3
| | |
| | |
13.13.10.0/24 13.13.20.0/24 13.13.30.0/24
# R1
access-list 2 deny 1.1.1.0 0.0.0.255
access-list 2 deny 13.13.10.0 0.0.0.255
access-list 2 permit any
!
interface serial 1/0
ip access-group 2 out
!
정보 확인
R1# ping 13.13.30.254 source 1.1.1.1 [통신 X]
R1# ping 13.13.30.254 source 13.13.10.254 [통신 X]
R2# ping 13.13.30.254 source 2.2.2.2 [통신 O]
R2# ping 13.13.30.254 source 13.13.20.254 [통신 O]
#### 정보 확인 실시 후 R3에서 설정한 ACL 삭제 실시 ####
# R3
no access-list 2
!
interface serial 1/1
no ip access-group 2 in
!
------------------------------------------------------------------------------------------------------------------
EX3) R1은 3.3.3.0/24 , 13.13.30.0/24 네트워크트래픽이 접근시 허용하고 나머지 모든 트래픽은 차단되어야한다.
R1에서 설정을 실시하며 Serial interface에적용 실시
Loopback 0 Loopback 0 Loopback 0
1.1.1.0/24 2.2.2.0/24 3.3.3.0/24
S1/0 13.13.12.0/24 S 1/1 S1/0 13.13.23.0/24 S 1/1
R1------------------------------R2-------------------------------R3
| | |
| | |
13.13.10.0/24 13.13.20.0/24 13.13.30.0/24
# R1
access-list 3 permit 3.3.3.0 0.0.0.255
access-list 3 permit 13.13.30.0 0.0.0.255
access-list 3 permit 13.13.12.2 0.0.0.0 <---- RIP을 수신하기위한 ACL 추가 설정
!
interface serial 1/0
ip access-group 3 in
!
-RIPv2
: 라우팅 업데이트시 Source IP address는 송신하는 Interface에 할당된 주소를 사용하며
목적지 주소는 224.0.0.9를 사용한다 (UDP 520번을 사용 : Source Port = UDP 520 , Destination Port = UDP 520 )
Layer Layer 4 RIP (Routing Information Protocol)
-SA : 13.13.12.2 -SA : UDP 520 -13.13.20.0/24 13.13.30.0/24
-DA : 224.0.0.9 -DA : UDP 520 -13.13.23.0/24 2.2.2.0/24 3.3.3.0/24
정보 확인
R3# ping 13.13.10.254 source 3.3.3.3 [통신 O]
R3# ping 13.13.10.254 source 13.13.30.254 [통신 O]
R2# ping 13.13.10.254 source 2.2.2.2 [통신 X]
R2# ping 13.13.10.254 source 13.13.20.254 [통신 X]
==========================================================================================================================
==========================================================================================================================
==========================================================================================================================
==========================================================================================================================
==========================================================================================================================
## Numbered Extended ACL
-범위 : 100-199
-특징 : Source IP address와 Destination IP address를 사용하여 트래픽을 제어하며
Port number , Protocol Number를 사용하여 특정 어플리케이션에대한 제어가 가능하다.
-형식 :
access-list [100-199] [permit/deny] [protocol] [SA] [W/M] [DA] [W/M]
access-list [100-199] [permit/deny] [protocol] [SA] [W/M] eq [Source Port] [DA] [W/M] eq [Destination Port]
EX1) RTA의 FastEthernet0/0에 192.168.1.112인 Server로 168.120.13.0/24 네트워크가
Server로 Telnet 접속하는것을 허용하고 나머지 모든 트래픽은 차단해야 한다.
RTA-----------------------168.120.13.0/24
|
Fa0/0
|
|
192.168.1.112
access-list [100-199] [permit/deny] [protocol] [SA] [W/M] [DA] [W/M]
access-list [100-199] [permit/deny] [protocol] [SA] [W/M] eq [Source Port] [DA] [W/M] eq [Destination Port]
# RTA
access-list 101 permit tcp 168.120.13.0 0.0.0.255 192.168.1.112 0.0.0.0 eq 23
!
interface fastethernet 0/0
ip access-group 101 out
!
EX2) RTA의 FastEthernet0/0에 192.168.1.112인 Server로 168.120.13.0/24 네트워크가
Server로 Telnet 접속하는것을 차단하고 나머지 모든 트래픽은 허용해야 한다.
RTA-----------------------168.120.13.0/24
|
Fa0/0
|
|
192.168.1.112
access-list [100-199] [permit/deny] [protocol] [SA] [W/M] [DA] [W/M]
access-list [100-199] [permit/deny] [protocol] [SA] [W/M] eq [Source Port] [DA] [W/M] eq [Destination Port]
# RTA
access-list 102 deny tcp 168.120.13.0 0.0.0.255 host 192.168.1.112 eq 23
access-list 102 permit ip any any
!
interface fastethernet 0/0
ip access-group 102 out
!
EX3) RTA의 FastEthernet0/0에 192.168.1.112인 Server로 168.120.13.0/24 네트워크가
Server로의 ICMP 통신을 차단하고 나머지 모든 트래픽은 허용해야 한다.
RTA-----------------------168.120.13.0/24
|
Fa0/0
|
|
192.168.1.112
access-list [100-199] [permit/deny] [protocol] [SA] [W/M] [DA] [W/M]
access-list [100-199] [permit/deny] [protocol] [SA] [W/M] eq [Source Port] [DA] [W/M] eq [Destination Port]
# RTA
access-list 103 deny icmp 168.120.13.0 0.0.0.255 host 192.168.1.112
access-list 103 permit ip any any
!
interface fastethernet 0/0
ip access-group 103 out
!
==============================================================================================================================
## Numbered Extended ACL 실습
EX1) R1은 출발지 IP 주소가 3.3.3.3 이고 목적지 IP 주소 1.1.1.1인 Telnet트래픽을 차단하려고 한다
이외의 나머지 모든 트래픽은 허용해야한다. (R1에서 설정하며 Serial에 적용)
Loopback 0 Loopback 0 Loopback 0
1.1.1.0/24 2.2.2.0/24 3.3.3.0/24
S1/0 13.13.12.0/24 S 1/1 S1/0 13.13.23.0/24 S 1/1
R1------------------------------R2-------------------------------R3
| | |
| | |
13.13.10.0/24 13.13.20.0/24 13.13.30.0/24
access-list [100-199] [permit/deny] [protocol] [SA] [W/M] [DA] [W/M]
access-list [100-199] [permit/deny] [protocol] [SA] [W/M] eq [Source Port] [DA] [W/M] eq [Destination Port]
# R1
access-list 101 deny tcp host 3.3.3.3 host 1.1.1.1 eq 23
access-list 101 permit ip any any
!
interface serial 1/0
ip access-group 101 in
!
정보 확인
R3# telnet 1.1.1.1 /source-interface loopback 0 [접속 X]
Trying 1.1.1.1 ...
% Destination unreachable; gateway or host down
R3# ping 1.1.1.1 source 3.3.3.3 [통신 O]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3
!!!!!
-출발지 IP address가 3.3.3.3이고 목적지 IP address가 1.1.1.1인 Telnet인 트래픽을 차단하고
나머지 모든 트래픽을 허용했기때문에 ICMP트래픽은 통신이 가능하다.
------------------------------------------------------------------------------------------
EX2) R1은 출발지 IP 주소가 3.3.3.3이고 목적지 IP 주소가 13.13.10.0/24인 ICMP , Telnet 트래픽을 차단하고
나머지 모든 트래픽에 대해서 허용해야 한다. (R1에서 설정하며 Serial interface에 적용)
Loopback 0 Loopback 0 Loopback 0
1.1.1.0/24 2.2.2.0/24 3.3.3.0/24
S1/0 13.13.12.0/24 S 1/1 S1/0 13.13.23.0/24 S 1/1
R1------------------------------R2-------------------------------R3
| | |
| | |
13.13.10.0/24 13.13.20.0/24 13.13.30.0/24
access-list [100-199] [permit/deny] [protocol] [SA] [W/M] [DA] [W/M]
access-list [100-199] [permit/deny] [protocol] [SA] [W/M] eq [Source Port] [DA] [W/M] eq [Destination Port]
# R1
access-list 102 deny icmp host 3.3.3.3 13.13.10.0 0.0.0.255
access-list 102 deny tcp host 3.3.3.3 13.13.10.0 0.0.0.255 eq 23
access-list 102 permit ip any any
!
interface serial 1/0
ip access-group 102 in
!
정보 확인
R3# ping 13.13.10.254 source 3.3.3.3 [통신 X]
R3# telnet 13.13.10.254 /source-interface loopback 0 [접속 X]
R2# ping 13.13.10.254 source 2.2.2.2 [통신 O]
R2# telnet 13.13.10.254 /source-interface loopback 0 [접속 O]
----------------------------------------------------------------------------------------------
EX3) 아래의 조건에 맞게 ACL을 구성하시오
.R3은 출발지 주소가 1.1.1.0/24이고 목적지 주소가 13.13.30.0/24인 ICMP , Telnet트래픽을 차단해야한다.
.R3은 출발지 주소가 13.13.10.0/24이고 목적지 주소가 3.3.3.0/24인 HTTP 트래픽을 차단해야한다.
.나머지 모든 트래픽은 허용하며 R3에서 설정하며 Serial interface에서 적용)
Loopback 0 Loopback 0 Loopback 0
1.1.1.0/24 2.2.2.0/24 3.3.3.0/24
S1/0 13.13.12.0/24 S 1/1 S1/0 13.13.23.0/24 S 1/1
R1------------------------------R2-------------------------------R3
| | |
| | |
13.13.10.0/24 13.13.20.0/24 13.13.30.0/24
# R1
access-list 103 deny icmp host 1.1.1.0 0.0.0.255 13.13.30.0 0.0.0.255
access-list 103 deny tcp host 1.1.1.0 0.0.0.255 13.13.30.0 0.0.0.255 eq 23
access-list 103 deny tcp host 13.13.10.0 0.0.0.255 3.3.3.0 0.0.0.255 eq 80
access-list 103 permit ip any any
!
interface serial 1/0
ip access-group 103 in
!
정보 확인
R1# ping 13.13.30.254 source 1.1.1.1 [통신 X]
R1# telnet 13.13.30.254 /source-interface loopback 0 [Telnet 접속 X]
R1# telnet 3.3.3.3 80 /source-interface fastethernet 0/0 [HTTP 접속 X]
R2# ping 13.13.30.254 source 2.2.2.2 [통신 O]
R2# telnet 13.13.30.254 /source-interface loopback 0 [접속 O]
----------------------------------------------------------------------------------------------
EX4) R1은 출발지 주소가 13.13.30.0/24인 트래픽이 1.1.1.1으로의 Telnet접속과 ICMP트래픽을 허용하며
이외의 나머지 트래픽은 차단해야 한다. (설정은 R1에서 설정하며 Serial interface에서 적용)
Loopback 0 Loopback 0 Loopback 0
1.1.1.0/24 2.2.2.0/24 3.3.3.0/24
S1/0 13.13.12.0/24 S 1/1 S1/0 13.13.23.0/24 S 1/1
R1------------------------------R2-------------------------------R3
| | |
| | |
13.13.10.0/24 13.13.20.0/24 13.13.30.0/24
access-list [100-199] [permit/deny] [protocol] [SA] [W/M] [DA] [W/M]
access-list [100-199] [permit/deny] [protocol] [SA] [W/M] eq [Source Port] [DA] [W/M] eq [Destination Port]
-RIPv2
: 라우팅 업데이트시 Source IP address는 송신하는 Interface에 할당된 주소를 사용하며
목적지 주소는 Multicast 주소 224.0.0.9를 사용한다
(UDP 520번을 사용 : Source Port = UDP 520 , Destination Port = UDP 520 )
Layer Layer 4 RIP (Routing Information Protocol)
-SA : 13.13.12.2 -SA : UDP 520 -13.13.20.0/24 13.13.30.0/24
-DA : 224.0.0.9 -DA : UDP 520 -13.13.23.0/24 2.2.2.0/24 3.3.3.0/24
# R1
access-list 104 permit icmp 13.13.30.0 0.0.0.255 host 1.1.1.1
access-list 104 permit tcp 13.13.30.0 0.0.0.255 host 1.1.1.1 eq 23
access-list 104 permit udp host 13.13.12.2 eq 520 host 224.0.0.9 eq 520 <---- RIPv2를 수신하기위한 ACL
!
interface serial 1/0
ip access-group 104 in
!
정보 확인
R3# ping 1.1.1.1 source 13.13.30.254 [통신 O]
R3# telnet 1.1.1.1 /source-interface fastethernet0/0 [접속 O]
R2# ping 1.1.1.1 source 13.13.20.254 [통신 X]
R2# telnet 1.1.1.1 /source-interface fastethernet0/0 [접속 X]
------------------------------------------------------------------------------
ISP---------------[S1/0]-RTA-[Fa 0/0]--------------SW1 (Host A,B,C,D)
|
[Fa 0/1]
|
|
SW2
K-Web , J-Web , FTP
[조건]
Host A : 192.168.100.10
Host B : 192.168.100.11
Host C : 192.168.100.12
Host D : 192.168.100.13
K-Web : 210.112.40.250
J-Web : 210.112.40.251
FTP : 210.112.40.252
ISP : 220.56.42.254
-오직 Host D만 K-Web로 접속이 가능하다
-모든 Host는 나머지 모든 네트워크로 접속이 가능해야한다.
access-list 100 permit tcp host 192.168.100.13 host 210.112.40.250 eq 80
access-list 100 deny tcp any host 210.112.40.250 eq 80
access-list 100 permit ip any any
!
interface fastethernet 0/1
ip access-group 100 out
!
S1/0 13.13.12.0/24 S 1/1 S1/0 13.13.23.0/24 S 1/1
R1------------------------------R2-------------------------------R3
12.1 12.2
Routing Protocol (EIGRP)
# R1
access-list 104 permit icmp 13.13.30.0 0.0.0.255 host 1.1.1.1
access-list 104 permit tcp 13.13.30.0 0.0.0.255 host 1.1.1.1 eq 23
access-list 104 permit eigrp host 13.13.12.2 host 224.0.0.10
access-list 104 permit eigrp host 13.13.12.2 host 13.13.12.2
!
interface serial 1/0
ip access-group 104 in
!
Routing Protocol (OSPF)
# R1
access-list 104 permit icmp 13.13.30.0 0.0.0.255 host 1.1.1.1
access-list 104 permit tcp 13.13.30.0 0.0.0.255 host 1.1.1.1 eq 23
access-list 104 permit ospf host 13.13.12.2 host 224.0.0.5
!
interface serial 1/0
ip access-group 104 in
!
반응형
반응형
