본문 바로가기
로그 저장소 :)/네트웍.Network

[CCNA] Access List & NAT

은수아빠빠 2012. 11. 3. 17:17

ACL


[설정순서] 

0. 하향식 계산 - 설정순서 상관있음

1. 자주 사용(허용)되는 내용을 먼저

2. 좀더 좁은 범위 (/16보다 /24를 먼저 설정)를 먼저

3. 수정, 삭제 불가능(no ip~~ 불가능)

4. ACL 설정하면 나머지는 ALL Deny

access list의 맨 마지막 line에 "permit any"를 넣지 않을 경우는 default로

  어느 access list와도 match 되지 않은 나머지 모든 address 는 deny 된다.

 

- 즉, access list의 맨 마지막 줄에는, default 값으로 deny all (즉, deny any)이

  지정되어 있는것으로 간주해야 함.


interface에 대한 access list의 정의(define)가 되지 않은 경우

  (즉, interface에 access-group 명령이 들어있지 않은 경우) 결과는 permit any 가 된다.

 

- 즉, access list가 정의 되지 않은 interface는 default 값으로 permit any~



[종류]

 - Standard : Source만 봄

  Access-list (1~99) {permit / deny} source source-wildcard mask (log)

permit ip any


 - Extend : Source, Destination, Protocol, Port, Keyword 등

  Access-list (100~199) {permit / deny} protocol s s.w (s.operator port) destination d.w (d.p) <keyword>

    *protocol 예 : ip, icmp, tcp, udp

    *port 예 : eq, neq, gt, lt, range

permit ip any(source) any(destination)



[적용 = interface]

ip access-group [number / name] [in / out]


*참고 : http://blog.daum.net/knyatom/365



(숙제)

13.13.20.0은 13.13.10.0에 telnet 접속은 가능하고, ping은 불가능

13.13.30.0은 13.13.10.0에 telnet 접속은 불가능하고, ping 가능


R1#>

access-list 100 permit tcp 13.13.20.0 0.0.0.255 13.13.10.0 0.0.0.255 eq 23

access-list 100 deny icmp 13.13.20.0 0.0.0.255 13.13.10.0.0.255

access-list 100 permit icmp 13.13.30.0 0.0.0.255 1313.10.0 0.0.0.255

access-list 100 deny tcp 13.13.30.0 0.0.0.255 13.13.10.0 0.0.0.255 eq 23

access-list permit ip any any


access-list 100 deny icmp 13.13.20.0 0.0.0.255 13.13.10.0 0.0.0.255

access-list 100 deny tcp 13.13.30.0 0.0.0.255 13.13.10.0. 0.0.0.255 eq 23

access-list 100 permit ip any any




NAT / PAT

주소변환 inside local -> inside global


NAT - 단순(1:1)

PAT - 확장(1:다), overload 유무



[설정법]

1. static

ip nat inside source static 10.1.1.1 172.16.1.1




2. dynamic

*pool 이용 : access-list 10 permit 10.1.1.0 0.0.0.255

ip nat pool [NAME] (ip 시작점) (ip 끝 범위) { netmask / prefix-length}

ip nat inside source list 10 [NAME] (overload)



*pool 이용X : access-list 10 permit 10.1.1.0 0.0.0.255

 ip nat inside source list 10 interface s1/1 overload







저작자표시

'로그 저장소 :) > 네트웍.Network' 카테고리의 다른 글

[CCNA] IP Address  (0) 2012.11.04
[CCNA] Interface  (0) 2012.11.04
[CCNA] 라우팅 프로토콜 2  (0) 2012.10.28
[CCNA] Password  (0) 2012.10.28
[CCNA] Router  (0) 2012.10.28

'로그 저장소 :)/네트웍.Network' Related Articles

티스토리툴바