Router ACL(Access Control List)

Router ACL(Router Access Control List)

- 특정 트래픽의 접근을 허용 또는 차단을 결정하는 리스트 (Filtering, 보안을 위한 기능)

- 크게 Numbered와 Named 두 종류가 있음 (Standard 1~99, Extended 100~199)

​

​

Standard Access list

: source address만 참조해서 허용 또는 거부 filtering 여부를 결정

​

1. (config)#access-list [list-number] [permit | deny] [source] [mask]

2. (config)#interface serial 0/0

(config-if)#ip access-group [access-list-number] [in | out]

​

​

Extended Access list

: source address 외에도 destination address, protocol, port number 등 좀 더 자세한 저옵를 참조해서 filtering 여부를 결정

​

1. (config)#access-list [list-number] [permit | deny] [protocol] [source] [mask] [destination] [mask] [operator port]

2. (config)#interface serial 0/0

(config-if)#ip access-group [access-list-number] [in | out]

​

​

* Inbound : 인터페이스로 Packet이 들어오는 경우, Outbound : 인터페이스에서 Packet이 나가는 경우

** ACL은 윗 줄부터 순서대로 수행한다. (좁은 범위 설정이 먼저 되어야 함)

*** ACL의 마지막은 deny any가 생략되어 있다. (마지막에 permit any가 없을 경우 ACL 조건에 없는 모든 address deny)

​

​

*이 외에도

Ethernet type code ACL, Extended 48bit Ethernet ACL, DECnet ACL, XNS ACL, Extended XNS ACL, Apple ACL, 48bit Ethernet ACL, Standard IPX ACL, Extended IPX ACL

​

​

​

​

​

ACL Standard, Extendard 실습 예제

​

Standard ACL

​

1. R2 source가 10.10.10.0/24인 트래픽만 fa0/1로 들어올 수 있게 해보자

(config)#access-list 1 permit 10.10.10.0 0.0.0.255

(config)#interface fa0/1

(config-if)#ip access-group 1 in

왼쪽 - Client 1, 오른쪽 - Client 2

​

2. R2 source가 10.10.10.0/24인 트래픽이 fa0/1로 들어오는 것 차단 해보자

(config)#access-list 1 deny 10.10.10.0 0.0.0.255

(config)#access-list 1 permit any

(config)#interface fa0/1

(config-if)#ip access-group 1 in

왼쪽 - Client 1, 오른족 - Client 2

​

3. R1 source가 20.20.20.0/24인 트래픽이 fa0/0로 나가는 것을 차단

(config)#access-list 1 deny 20.20.20.0 0.0.0.255

(config)#access-list 1 permit any

(config)#interface fa0/0

(config-if)#ip access-group 1 out

​

정상적으로 차단이 되는 것을 확인

​

4. R1 source가 10.10.10.10/32인 트래픽만 fa0/0으로 나가도록 허용

(config)#access-list 1 permit 10.10.10.10 0.0.0.0, host 10.10.10.10

(config)#interface fa0/0

(config-if)#ip access-group 1 out

​

정상적으로 차단이 되는 것을 확인, 그러나 R1에서는 핑이 나간다. (ACL의 적용 시점의 문제점)

​

Extendard ACL

​

1. R2에 30.30.30.0/24에는 외부에서 출발지가 10.10.10.0/24와 목적지의 주소가 30.30.30.30/32인 트래픽만 접속 가능하도록 해라.

(config)#access-list 101 permit ip 10.10.10.0 0.0.0.255 30.30.30.30 0.0.0.0 //ip(모든 프로토콜?)

(config)#access-list 101 deny ip any any

(config)#interface fa0/1

(config-if)#ip access-group 101 in

​

- 30.30.30.30/32의 목적지로 향하는 ICMP 10.10.10.0/24의 출발지를 차단하고 나머지를 허용, ICMP 20.20.20.0/24의 출발지만을 허용하고 나머지는 차단.

(config)#access-list 101 deny icmp 10.10.10.0 0.0.0.255 host 30.30.30.30

(config)#access-list 101 permit icmp 20.20.20.0 0.00.255 host 30.30.30.30

(config)#access-list 101 permit ip 10.10.10.0 0.0.0.255 host 30.30.30.30

​

2. R1에서 외부에 나가는 트래픽 중 목적지의 주소가 30.30.30.0/24인 트래픽만 차단하고 나머지는 전송이 가능하도록 허용하시오. (config)#access-list 101 deny ip any 30.30.30.0 0.0.0.255

(config)#access-list 101 permit ip any any

​

3. R2에 외부에서 들어오는 트래픽 중 목적지가 tFTP 서버(IP 주소:30.30.30.30, 포트번호 69)인 것만 차단하고 나머지는 트래픽은 허용하시오.

(config)#access-list 101 deny udp any host 30.30.30.30 eq tftp

(config)#access-list 101 permit ip any any

​

4. R1에서 20.20.20.0/24 네트워크에서 외부로 나가는 트래픽 중에 TFTP(69), HTTP(80)만 허용하고 나머지 트래픽은 차단하시오.

(config)#access-list 101 permit udp 20.20.20.0 0.0.0.255 any eq 69

(config)#access-list 101 permit tcp 20.20.20.0 0.0.0.255 any eq 80