ACL
### ACL (Access Control List)
-ACL은 특정 네트워크 트래픽을 허용하거나 차단하는 기능
.특정 트래픽을 허용한후 나머지 모든 트래픽을 차단 [방화벽]
.특정 트래픽을 차단한후 나머지 모든 트래픽을 허용 [Fitering]
-Distribute-list , Offset-list , Route-map등의 Filtering , NAT기능 사용시 네트워크의 범위를 지정시 사용된다.
-ACL은 Numbered ACL , Named ACL , Dynamic ACL
, Reflective ACL , MAC-address ACL등으로 구성이 가능하다.
# ACL구성시 주의사항
-ACL은 Permit/Deny command를 사용하여 특정 네트워크를 허용하거나 차단할수있다.
-ACL의 마지막 Line에는 Deny any가 자동실행된다.
-ACL은 가장 윗줄부터 순서대로 실행되기때문에 작은 범위부터 지정
-ACL은 특정 범위에 대해서 추가 , 삭제가 실시되지 않는다.
====================================================================================================
### Numbered ACL
-ACL을 구성시 Number를 사용하여 구성하는 기능으로 가장 기본적인 ACL이다..
## Standard ACL
-범위 : 1 ~ 99
-특징 : Source address만을 사용한 Filtering을 실시한다.
[목적지는 확인하지 않는다.]
-설정 : access-list [1~99] [Permit/Deny] [Source address] [Source address W/M]
-적용
: ACL의 적용은 Interface , VTY에서 적용할수 있다.
-----------------------------------------------------------------------------------------------------
## Standard ACL
EX1) R1은 출발지 IP 주소가 192.168.3.0/24트래픽이 192.168.1.0/24 네트워크로
접근하는것을을 허용하려고 한다 이외의 나머지 모든 트래픽은 차단해야한다.
S1/0 S 1/1 S 1/0 S 1/1
R1-----------------------------R2-----------------------------R3
| | |
Fa 0/0 Fa 0/0 Fa 0/0
| | |
192.168.1.0/24 192.168.2.0/24 192.168.3.0/24
# R1
access-list 1 permit 192.168.3.0 0.0.0.255
!
interface serial 1/0
ip access-group 1 in
!
--------- OR ---------
# R1
access-list 1 permit 192.168.3.0 0.0.0.255
!
interface fastethernet 0/0
ip access-group 1 out
!
------------------------------------------------------------------------------------------------------------------
EX2) R3은 출발지 주소가 192.168.1.0/24트래픽이 192.168.3.0/24 네트워크로
접근하는것을을 차단하려고 한다 이외의 나머지 모든 트래픽은 허용해야한다.
S1/0 S 1/1 S 1/0 S 1/1
R1-----------------------------R2-----------------------------R3
Fa 0/0 Fa 0/0 Fa 0/0
| | |
192.168.1.0/24 192.168.2.0/24 192.168.3.0/24
# R3
access-list 2 deny 192.168.1.0 0.0.0.255
access-list 2 permit any
!
interface serial 1/1
ip access-group 2 in
!
--------- OR ---------
# R3
access-list 2 deny 192.168.1.0 0.0.0.255
access-list 2 permit any
!
interface fastethernet 0/0
ip access-group 2 out
!
------------------------------------------------------------------------------------------------------------------
EX3) R1은 출발지 IP 주소가 "172.16.0.0/24 ~ 172.16.7.0/24"인 네트워크가
210.14.21.0/24네트워크로 접근하는 트래픽에 대해서 차단하고 나머지 모든 네트워크는 허용되어져야한다.
Fa 0/0 Serial 1/0
SW----------------------R1-------------------------Internet
210.14.21.0/24 172.16.0.0/24
~
172.16.7.0/24
------------------------------------------------------------------------------------
EX4) RTX는 출발지 주소가 192.168.120.0/24 네트워크가 172.16.110.0/24로 접근하는것을 차단하려고 한다.
192.168.120.0/24 네트워크는 나머지 모든 네트워크로 통신이 가능해야한다.
Fa 0/0 Fa 0/1
192.168.120.0/24 |----------------RTX----------------| 172.16.110.0/24
|
Se 1/0
|
|
100.123.45.0/24
# RTX
access-list 4 deny 192.168.120.0 0.0.0.255
access-list 4 permit any
!
interface fastethernet 0/1
ip access-group 4 out
!
------------------------------------------------------------------------------------
[Fa 0/0] [S1/0]
190.30.0.0/24-----------RTA-----------------외부 네트워크
~ [Fa 0/1]
190.30.15.0/24 |
|
190.30.40.0/24
EX5) 190.30.x.0/24의 홀수 네트워크 트래픽이 190.30.40.0/24 네트워크로
접근하는것을 차단하려고 한다 이외의 나머지 트래픽은 허용되어야 한다.
(RTA 에서 설정)
================================================================================================
## Extended ACL
-Standard ACL의 확장형 ACL
-범위 : 100 ~ 199
-특징 : Source Address , Destination Address를 사용하여 트래픽을 통제 [Option포함 가능]
L3 , L4까지 트래픽 통제가 가능하다.
-형식
access-list [100~199] [Permit/Deny] [Protocol Type] [SA] [SA W/M] eq [Source Port number]
[DA] [DA W/M] eq [Destination Port number]
-Protocol Type
<0-255> An IP protocol number
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol = protocol 88
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol : Ping
igmp Internet Gateway Message Protocol
ip Any Internet Protocol
ipinip IP in IP tunneling
nos KA9Q NOS compatible IP over IP tunneling
ospf OSPF routing protocol= protocol 89
pcp Payload Compression Protocol
pim Protocol Independent Multicast
tcp Transmission Control Protocol : Telnet(23) , HTTP(80) , FTP(20,21) , BGP(179)
udp User Datagram Protocol : DNS(53) , TFTP(69) , DHCP (67,68) , RIP(520)
EX1) RTA의 FastEthernet 0/0에 FTP Server인 192.168.100.112가 있다
RTA는 210.114.56.0/24 네트워크가 Telnet접속하는것을 허용하려고 한다.
이외의 나머지 모든 트래픽은 차단
EX1-1) RTA의 FastEthernet 0/0에 FTP Server인 192.168.100.112가 있다
RTA는 210.114.56.0/24 네트워크가 Telnet접속하는것을 차단하려고 한다.
이외의 나머지 모든 트래픽은 허용
----------------------------------------------------------------------------------------
EX2) R1은 자신의 FastEthernet 0/0에 192.168.1.0/24 네트워크가 있다.
R1은 168.112.42.0/24 네트워크에서 출발하는 ICMP트래픽을 차단하려고 한다
이외이 나머지 모든 트래픽은 허용
----------------------------------------------------------------------------------------
EX3-1) RTA의 Fa 0/0의 192.168.11.0/24네트워크로
114.56.79.0/24네트워크의 HTTP , Telnet 트래픽의 접근을 차단하려고 한다.
이외의 나머지 모든 트래픽은 허용되어야 한다 [Telnet = TCP 23 , HTTP = TCP 80]
[Numbered ACL로 구성]
EX3-2) RTA의 Fa 0/0의 192.168.11.0/24네트워크로
114.56.79.0/24네트워크의 ICMP , Telnet 트래픽의 접근을 차단하려고 한다.
이외의 나머지 모든 트래픽은 허용되어야 한다
[Named ACL로 구성]
------------------------------------------------------------------------------------
EX4) R1은 FastEthernet 0/0에 있는HTTP Server인 200.20.11.128로 172.16.22.8 ~ 172.16.22.15 까지만
접속이 가능하며 나머지 모든 HTTP 트래픽은 차단되어저야한다.
이를 제외한 나머지 모든 TCP트래픽은 허용된다 (나머지 모든 트래픽은 차단)
-----------------------------------------------------------------------------------------
162.118.0.0/24 210.174.8.0/24
~ ~
162.118.7.0/24-----------[S 0/0]R1[S 0/1]----------210.174.15.0/24
[Fa 0/0]
|
|
Switch
HTTP Server
210.241.167.95
EX5) R1은 162.118.x.0/24 네트워크중 짝수 네트워크만 HTTP Server로 접속이 가능하며
210.174.x.0/24 네트워크중 홀수 네트워크만 HTTP Server로 접속과 Telnet접속이
가능하다 이외의 나머지 모든 트래픽에 대해서는 HTTP Server로 향하는
TCP 트래픽이 차단되어야 한다
(지정하지 않는 나머지 모든 트래픽에 대해서는 모두 허용되어야 한다.)
------------------------------------------------------------------------------
ISP---------------[S1/0]-RTA-[Fa 0/0]--------------SW1 (Host A,B,C,D)
|
[Fa 0/1]
|
|
SW2
K-Web , J-Web , FTP
[조건]
Host A : 192.168.100.10
Host B : 192.168.100.11
Host C : 192.168.100.12
Host D : 192.168.100.13
K-Web : 210.112.40.250
J-Web : 210.112.40.251
FTP : 210.112.40.252
ISP : 220.56.42.254
-오직 Host D만 K-Web로 접속이 가능하다
-모든 Host는 나머지 모든 네트워크로 접속이 가능해야한다.