yumyum
[Cisco] ACL (수정중) 본문
ACL
- 라우터는 출발지와 목적지 주소를 참고, 라우팅 테이블에 기초해 패킷을 전달
- ACL은 주소 기반으로 패킷 출입을 통제
- 사용 목적은 보안(침입통제), 트레픽 제어
- 표준 ACL : IP 주소만 필터링
- 확장 ACL : IP, TCP, UDP, 포트번호, 서비스 필터링
- named 표준 ACL : 표준 ACL과 같으나, 선언시 사용자 설정값 사용
- named 확장 ACL : 확장 ACL과 같으나, 선언시 사용자 설정값 사용
- 들어오는 패킷, 나가는 패킷 두가지 종류가 있다
##R1
(config)# host R1
(config)# int f0/0
(config-if)# ip add 1.1.1.1 255.255.255.0
(config-if) no shut
(config)# int s0/0/0
(config-if)# ip add 203.230.7.1 255.255.255.252
(config-if)# no shut
(config) # int s0/0/1
(config-if)# ip addr 203.230.7.10 255.255.255.252
(config)router ospf 1
(config-router)# network 1.1.1.1 0.0.0.0 area 0
(config-router)# network 203.230.7.10 0.0.0.0 area 0
(config-router)# network 203.230.7.1 0.0.0.0 area 0
같은 작업 R2~R3 해주기
표준 ACL
출발지 IP 패킷만 필터링
-특정 IP 밴 : 악성 사용자 차단
대역으로 지정
특정 IP 만 허용 : 인트라넷
서브넷 마스크 <-> 와일드 카드 마스크
255.255.255.0
11111111.11111111.11111111.000000000
0.0.0.255
00000000.00000000.00000000.11111111
203.230.7.0 / 0.0.0.254 => 짝수만 지정
203.230.7.1 / 0.0.0.254 => 홀수만 지정
##R1
[특정 IP 밴]
(정책 만들어주기)
(config)# access-list 1 deny 1.1.1.2 0.0.0.0
(config)# access-list permit any
=> ACL ID 설정 1~99 // 1300~1900 번호 사용, deny 거부할 IP
=> deny 조건을 제외한 모든것 permit
(config)# int f0/0
(config-if)#ip access-group 1 in => 위 정책을 f0/0에 적용 후 테스트
=> 리스트에 적용한 대상만 핑 안나감
#show access-lists
#show access-list 1
=> access-list 확인
(config)# no access-list 1 => 엑세스 리스트 초기화 후 테스트
=> 엑세스 리스트 삭제와 같은 개념
[특정 IP 허용]
(config)# access-list 1 permit 1.1.1.3 0.0.0.0 => 해당 ip만 허용
(config)# access-list deny any => 나머지 밴
(config)#int f0/0
(config-if)#ip access-group 1 in => 위 정책을 f0/0에 적용
[ip 범위 허용]
(config-if)#access-list 1 deny host 1.1.1.2 => 해당 ip만 밴
(config)#access-list 1 permit 1.1.1.0 0.0.0.255 => 범위 허용
(config)#int f0/0
(config-if)#ip access-group 1 in => 위 정책을 f0/0에 적용
[ACL Remark] => ACL 정책에 주석달기
(config)#access-list 1 remark PC0 packet deny and PC1 packet permit
(remark 뒤에는 컴퓨터가 읽을 수 없어서 메모용으로 쓸 수 있음)
[와일드카드 마스크]
와일드카드 마스크는 서브넷 마스크의 반대 되는 값
255.255.255.0 => 0.255.255.255
203.230.7.0 / 0.0.0.254 => 짝수만 지정
203.230.7.1 / 0.0.0.254 => 홀수만 지정
203.230.7.0 /29 => 5개 ip //255.255.255.248 / 0.0.0.7