*ACL
1) ACL 사용 목적
- 트래픽 필터링
- 방화벽 구성
- IP 주소 및 서브넷 정의
2) ACL 설정시 파악할 요소
- 출발지 / 목적지
- 허용(permit) / 차단(deny)
- in / out
3) ACL 처리 과정 및 주의 사항
#서브넷 범위가 작은 항목부터 설정해야 한다.
- ACL를 설정하면 설정된 순서대로 순서 번호를 할당 받는다.
- 순서 번호대로 검사하여 조건에 만족된 항목이 있으면, ACL 동작을 실시한다.
- 그 다음 항목은 검사하지 않는다.
Ex)잘못된 예
#R1
Ex)잘된 예
#R1
#ACL 마지막 항목에는 deny any가 동작한다.
Ex)잘못된 예
#Ex)잘된 예
2. 항목 부분 추가 및 부분 삭제 불가능 (현재는 부분추가 및 삭제가 가능하다.)
Ex)부분 추가 , 부분 삭제 불가능
3. Standard ACL
- ACL 번호 : 1~99
- 검사 항목 : 출발지
Ex1)13.13.10.0/24 사용자들이 172.16.1.1 서버에 접근하는 것을 차단
access-list 10 deny 13.13.10.0 0.0.0.255
access-list 10 permit any
int fa0/1
ip access-group 10 out
Ex2) 13.13.10.0/24 사용자들이 인터넷을 사용하는 것을 제한하며, 172.16.1.1/24 서버로는 접근이 가능한 ACL 설정
access-list 10 deny 13.13.10.0 0.0.0.255
access-list 10 permit any
int s1/0
ip access-group 10 out
Ex3) 172.16.1.1/24 서버는 인터넷과 연결된 외부 사용자들에게 서비스가 되지 않도록 하며, 오직 13.13.10.0/24 사용자들에게만 서비스가 가능한 ACL 설정
access-list 10 deny 172.16.1.1 0.0.0.0
access-list 10 permit any
int s1/0
ip access-group 10 out
Ex4)출발지가 13.13.30.0/24인 패켓만 13.13.10.0/24 서브넷으로 접근하는 것을 차단하며, ACL 필터가
동작하면 로그 메시지를 출력하는 예
access-list 10 deny 13.13.30.0 0.0.0.255 log
access-list 10 permit any
int s1/0
ip access-group 10 in
4. Extended ACL
- ACL 번호 : 100~199
- 검사 항목 : 출발지/목적지, 프로토콜(ip, tcp, udp, icmp, eigrp, ospf), 포트 번호
Ex1) 출발지가 13.13.30.1인 PC가, FTP 서버 13.13.10.1로 접근하는 트래픽 허용
프로토콜 출발지 IP 주소 출발지 포트 목적지 IP 주소 목적지 포트
tcp 13.13.30.1 any 13.13.10.1 20, 21
access-list 110 permit tcp host 13.13.30.1 host 13.13.10.1 eq 20
access-list 110 permit tcp host 13.13.30.1 host 13.13.10.1 eq 21
Ex2) 출발지가 13.13.30.1인 PC가, 13.13.10.1로 Ping 되는 것을 차단
프로토콜 출발지 IP 주소 출발지 포트 목적지 IP 주소 목적지 포트
icmp 13.13.30.1 X 13.13.10.1 X
access-list 110 deny icmp host 13.13.30.1 host 13.13.10.1 echo
Ex3) 출발지가 13.13.30.1인 PC가, 13.13.10.1로 접근하는 트래픽 차단
프로토콜 출발지 IP 주소 출발지 포트 목적지 IP 주소 목적지 포트
ip 13.13.30.1 - 13.13.10.1 -
access-list 110 deny ip host 13.13.30.1 host 13.13.10.1
Ex4) 웹-서버 13.13.10.100에서 PC 13.13.20.1로 다운로드 되는 트래픽 차단
프로토콜 출발지 IP 주소 출발지 포트 목적지 IP 주소 목적지 포트
tcp 13.13.10.100 80 13.13.20.1 any
access-list 110 deny tcp host 13.13.10.100 eq 80 host 13.13.20.1
Ex5)Extended ACL
1. 출발지가 13.13.10.1 호스트가 FTP 서버 172.16.1.1로 접근하는 것을 차단
2. 출발지가 13.13.10.0/24 서브넷이 FTP 서버 172.16.1.1로 접근하는 것은 허용
3. 외부 사용자가 인터넷을 통하여 172.16.1.1 서버로 Telnet 접속하는 것을 차단
4. 이외 나머지 트래픽들은 접근이 가능하도록 허용
access-list 110 deny tcp host 13.13.10.1 host 172.16.1.1 eq 20
access-list 110 deny tcp host 13.13.10.1 host 172.16.1.1 eq 21
access-list 110 permit tcp 13.13.10.0 0.0.0.255 host 172.16.1.1 eq 23
access-list 110 deny tcp any host 172.16.1.1 eq 23
access-list 110 permit ip any any
int fa0/1
ip access-group 110 out
Ex6)Extended ACL
1. 출발지가 13.13.10.1~2 호스트가 웹-서버 172.16.1.1로 접근하는 것을 차단
2. 출발지가 13.13.10.0/24 서브넷이 웹-서버 172.16.1.1로 접근하는 것은 허용
3. 외부 사용자가 인터넷을 통하여 172.16.1.1 서버로 ping 하는 것을 차단
4. Ping을 차단할 경우, 라우터에 인터페이스 정보와 함께 로그가 출력
5. 이외 나머지 트래픽들은 접근이 가능하도록 허용
access-list 110 deny tcp host 13.13.10.1 host 172.16.1.1 eq 80
access-list 110 deny tcp host 13.13.10.2 host 172.16.1.1 eq 80
access-list 110 permit icmp 13.13.10.0 0.0.0.255 host 172.16.1.1
access-list 110 deny icmp any host 172.16.1.1 echo log-input
access-list 110 permit ip any any
int fa0/1
ip access-group 110 out
[참고] Named ACL
#R1
ip access-list extended IN_Filter
deny tcp 13.13.30.0 0.0.0.255 13.13.10.0 0.0.0.255 eq 23
deny icmp host 13.13.30.1 host 13.13.10.1 echo log-input
deny tcp 13.13.20.0 0.0.0.255 host 13.13.10.100 eq 80
permit ip any any
int s1/0
ip access-group IN_Filter in
#와일드카드 마스크
- 공통 비트 : 0
- 비공통 비트 : 1
서브넷 마스크 와일드카드 마스크
255.255.255.0 0.0.0.255
255.255.0.0 0.0.255.255
255.0.0.0 0.255.255.255
0.0.0.0 255.255.255.255
255.255.255.255 0.0.0.0
255.255.255.252 0.0.0.3
255.255.255.248 0.0.0.7
255.255.255.224 0.0.0.31
255.255.240.0 0.0.15.255
Ex1) 192.168.1.0/24 ~ 192.168.255.0/24 중에 홀수 서브넷만 정의하여라.
192.168.0000000 1.0
192.168.0000001 1.0
192.168.0000010 1.0
192.168.0000011 1.0
~
192.168.1111111 1.0
--------------------------------------------> 192.168.1.0 0.0.254.255
255.255.0000000 1.0
0. 0.1111111 0.255 <- 0.0.254.255
Ex2) 192.168.1.0/24 ~ 192.168.255.0/24 중에 짝수 서브넷만 정의하여라.
192.168.0000001 0.0
192.168.0000010 0.0
192.168.0000011 0.0
192.168.0000100 0.0
~
192.168.1111111 0.0
---------------------------------------------> 192.168.0.0 0.0.254.255
0. 0.1111111 0.255 <- 0.0.254.255
Ex3) 199.172.1.0/24, 199.172.3.0/24를 한줄로 설정하여라.
199.172.000000 0 1.0
199.172.000000 1 1.0
-----------------------------------------> 199.172.1.0 0.0.2.255
0. 0.000000 1 0.255 <- 0.0.2.255
Ex4) 199.172.5.0/24, 199.172.7.0/24, 199.172.10.0/24, 199.172.14.0/24를 두줄로 설정
199.172.000001 0 1.0
199.172.000001 1 1.0
-----------------------------------------> 199.172.5.0 0.0.2.255
0. 0.000000 1 0.255 <- 0.0.2.255
199.172.00001 0 10.0
199.172.00001 1 10.0
-----------------------------------------> 199.172.10.0 0.0.4.255
0. 0.00000 1 00.255 <- 0.0.4.255
Ex5) 199.172.1.0/24 ~ 199.172.16.0/24 중에 홀수만 설정하여라.
199.172.0000 000 1.0
199.172.0000 001 1.0
199.172.0000 010 1.0
199.172.0000 011 1.0
199.172.0000 100 1.0
199.172.0000 101 1.0
199.172.0000 110 1.0
199.172.0000 111 1.0
-----------------------------------------> 199.172.1.0 0.0.14.255
0. 0.0000 111 0.255 <- 0.0.14.255
'보안 및 네트워크 > Cisco Network' 카테고리의 다른 글
| C/N [VLAN & Inter-VLAN] (0) | 2017.12.16 |
|---|---|
| C/N [DHCP&NAT] (0) | 2017.12.12 |
| C/N [OSPF] (0) | 2017.12.09 |
| C/N [EIGRP] (0) | 2017.12.08 |
| C/N [RIPv2] (0) | 2017.12.05 |