yumyum

[Cisco] ACL (수정중) 본문

카테고리 없음

[Cisco] ACL (수정중)

yumyum0603 2023. 8. 21. 18:11

ACL 
- 라우터는 출발지와 목적지 주소를 참고, 라우팅 테이블에 기초해 패킷을 전달
- ACL은 주소 기반으로 패킷 출입을 통제
- 사용 목적은 보안(침입통제), 트레픽 제어
- 표준 ACL : IP 주소만 필터링
- 확장 ACL : IP, TCP, UDP, 포트번호, 서비스 필터링
- named 표준 ACL : 표준 ACL과 같으나, 선언시 사용자 설정값 사용
- named 확장 ACL : 확장 ACL과 같으나, 선언시 사용자 설정값 사용
- 들어오는 패킷, 나가는 패킷 두가지 종류가 있다

 

##R1

(config)# host R1

(config)# int f0/0

(config-if)# ip add 1.1.1.1 255.255.255.0

(config-if) no shut

 

(config)# int s0/0/0

(config-if)# ip add 203.230.7.1 255.255.255.252

(config-if)# no shut

 

(config) # int s0/0/1

(config-if)# ip addr 203.230.7.10 255.255.255.252

 

(config)router ospf 1

(config-router)# network 1.1.1.1 0.0.0.0 area 0

(config-router)# network 203.230.7.10 0.0.0.0 area 0

(config-router)# network 203.230.7.1 0.0.0.0 area 0

 

같은 작업 R2~R3 해주기

 

표준 ACL

출발지 IP 패킷만 필터링

 

 

-특정 IP 밴 : 악성 사용자 차단

                    대역으로 지정

특정 IP 만 허용 : 인트라넷

 

서브넷 마스크 <-> 와일드 카드 마스크

 

255.255.255.0

11111111.11111111.11111111.000000000

 

0.0.0.255

00000000.00000000.00000000.11111111

203.230.7.0 / 0.0.0.254 => 짝수만 지정

203.230.7.1 / 0.0.0.254 => 홀수만 지정

 

##R1

[특정 IP 밴]

(정책 만들어주기)

(config)# access-list 1 deny 1.1.1.2 0.0.0.0

(config)# access-list permit any

 

=> ACL ID 설정 1~99 // 1300~1900 번호 사용, deny 거부할 IP

=> deny 조건을 제외한 모든것 permit

 

(config)# int f0/0

(config-if)#ip access-group 1 in => 위 정책을 f0/0에 적용 후 테스트

=> 리스트에 적용한 대상만 핑 안나감

 

#show access-lists

#show access-list 1

=> access-list 확인

 

(config)# no access-list 1 => 엑세스 리스트 초기화 후 테스트

=> 엑세스 리스트 삭제와 같은 개념

 

[특정 IP 허용]

(config)# access-list 1 permit 1.1.1.3 0.0.0.0 => 해당 ip만 허용

(config)# access-list deny any => 나머지 밴

 

(config)#int f0/0

(config-if)#ip access-group 1 in => 위 정책을 f0/0에 적용

 

[ip 범위 허용]

(config-if)#access-list 1 deny host 1.1.1.2 => 해당 ip만 밴

(config)#access-list 1 permit 1.1.1.0 0.0.0.255 => 범위 허용

 

(config)#int f0/0

(config-if)#ip access-group 1 in => 위 정책을 f0/0에 적용

 

[ACL Remark] => ACL 정책에 주석달기

 

(config)#access-list 1 remark PC0 packet deny and PC1 packet permit 

(remark 뒤에는 컴퓨터가 읽을 수 없어서 메모용으로 쓸 수 있음)

 

[와일드카드 마스크]

와일드카드 마스크는 서브넷 마스크의 반대 되는 값

 

255.255.255.0 => 0.255.255.255

203.230.7.0 / 0.0.0.254 => 짝수만 지정

203.230.7.1 / 0.0.0.254 => 홀수만 지정

203.230.7.0 /29 => 5개 ip //255.255.255.248 / 0.0.0.7