[CCNA] ACL

### ACL (Access Control List)

-ACL은 특정 네트워크 트래픽을 허용하거나 차단하는 기능

.특정 트래픽을 허용한후 나머지 모든 트래픽을 차단 [방화벽]

.특정 트래픽을 차단한후 나머지 모든 트래픽을 허용 [Fitering]

-Distribute-list , Offset-list , Route-map등의 Filtering , NAT기능 사용시

네트워크의 범위를 지정시 사용된다.

-ACL은 Numbered ACL , Named ACL , Dynamic ACL

, Reflective ACL , MAC-address ACL등으로 구성이 가능하다.

# ACL구성시 주의사항

-ACL은 Permit/Deny command를 사용하여 특정 네트워크를 허용하거나 차단할수있다.

-ACL의 마지막 Line에는 Deny any가 자동실행된다.

-ACL은 가장 윗줄부터 순서대로 실행되기때문에 작은 범위부터 지정

-ACL은 특정 범위에 대해서 추가 , 삭제가 실시되지 않는다.

====================================================================================================

### Numbered ACL

-ACL을 구성시 Number를 사용하여 구성하는 기능으로 가장 기본적인 ACL이다..

## Standard ACL

-범위 : 1 ~ 99

-특징 : Source address만을 사용한 Filtering을 실시한다.

[목적지는 확인하지 않는다.]

-설정 : access-list [1~99] [Permit/Deny] [Source address] [Source address W/M]

-적용

: ACL의 적용은 Interface , VTY에서 적용할수 있다.

-----------------------------------------------------------------------------------------------------

## Standard ACL

EX1) R1은 출발지 주소가 192.168.3.0/24트래픽이 192.168.1.0/24 네트워크로

접근하는것을을 허용하려고 한다 이외의 나머지 모든 트래픽은 차단해야한다.

S1/0 S 1/1 S 1/0 S 1/1

R1--------------------R2--------------------R3

Fa 0/0 Fa 0/0 Fa 0/0

| | |

192.168.1.0/24 192.168.2.0/24 192.168.3.0/24

---------------------------------------------------------------------------------------------

EX2) R3은 출발지 주소가 192.168.1.0/24트래픽이 192.168.3.0/24 네트워크로

접근하는것을을 차단하려고 한다 이외의 나머지 모든 트래픽은 허용해야한다.

S1/0 S 1/1 S 1/0 S 1/1

R1--------------------R2--------------------R3

Fa 0/0 Fa 0/0 Fa 0/0

| | |

192.168.1.0/24 192.168.2.0/24 192.168.3.0/24

------------------------------------------------------------------------------------------

EX3) 출발지 172.16.0.0/24 ~ 172.16.7.0/24인 네트워크가 210.14.21.0/24네트워크로

접근하는 트래픽에 대해서 차단하고 나머지 모든 네트워크는 허용되어져야한다.

설정은 R1에서 실시

Fa 0/0 Serial 1/0

SW------------R1---------------R2

210.14.21.0/24 172.16.0.0/24

172.16.7.0/24

------------------------------------------------------------------------------------

EX4) RTX는 출발지 주소가 192.168.120.0/24 네트워크가

172.16.110.0/24로 접근하는것을 차단하려고 한다.

나머지 모든 트래픽은 허용

Fa 0/0 Fa 0/1

192.168.120.0/24 |--------RTX--------| 172.16.110.0/24

Fa 0/2

100.123.45.0/24

------------------------------------------------------------------------------------

[Fa 0/0] [S1/0]

190.30.0.0/24-----------RTA-----------------외부 네트워크

~ [Fa 0/1]

190.30.15.0/24 |

190.30.40.0/24

EX5) 190.30.x.0/24의 홀수 네트워크 트래픽이 190.30.40.0/24 네트워크로

접근하는것을 차단하려고 한다 이외의 나머지 트래픽은 허용되어야 한다.

(RTA 에서 설정)

================================================================================================

## Extended ACL

-Standard ACL의 확장형 ACL

-범위 : 100 ~ 199

-특징 : Source Address , Destination Address를 사용하여 트래픽을 통제 [Option포함 가능]

L3 , L4까지 트래픽 통제가 가능하다.

-형식

access-list [100~199] [Permit/Deny] [Protocol Type] [SA] [SA W/M] eq [Source Port number]

[DA] [DA W/M] eq [Destination Port number]

-Protocol Type

<0-255> An IP protocol number

ahp Authentication Header Protocol

eigrp Cisco's EIGRP routing protocol = protocol 88

esp Encapsulation Security Payload

gre Cisco's GRE tunneling

icmp Internet Control Message Protocol : Ping

igmp Internet Gateway Message Protocol

ip Any Internet Protocol

ipinip IP in IP tunneling

nos KA9Q NOS compatible IP over IP tunneling

ospf OSPF routing protocol= protocol 89

pcp Payload Compression Protocol

pim Protocol Independent Multicast

tcp Transmission Control Protocol : Telnet(23) , HTTP(80) , FTP(20,21) , BGP(179)

udp User Datagram Protocol : DNS(53) , TFTP(69) , DHCP (67,68) , RIP(520)

EX1) RTA의 FastEthernet 0/0에 FTP Server인 192.168.100.112가 있다

RTA는 210.114.56.0/24 네트워크가 Telnet접속하는것을 허용하려고 한다.

이외의 나머지 모든 트래픽은 차단

EX1-1) RTA의 FastEthernet 0/0에 FTP Server인 192.168.100.112가 있다

RTA는 210.114.56.0/24 네트워크가 Telnet접속하는것을 차단하려고 한다.

이외의 나머지 모든 트래픽은 허용

----------------------------------------------------------------------------------------

EX2) R1은 자신의 FastEthernet 0/0에 192.168.1.0/24 네트워크가 있다.

R1은 168.112.42.0/24 네트워크에서 출발하는 ICMP트래픽을 차단하려고 한다

이외이 나머지 모든 트래픽은 허용

----------------------------------------------------------------------------------------

EX3-1) RTA의 Fa 0/0의 192.168.11.0/24네트워크로

114.56.79.0/24네트워크의 HTTP , Telnet 트래픽의 접근을 차단하려고 한다.

이외의 나머지 모든 트래픽은 허용되어야 한다 [Telnet = TCP 23 , HTTP = TCP 80]

[Numbered ACL로 구성]

EX3-2) RTA의 Fa 0/0의 192.168.11.0/24네트워크로

114.56.79.0/24네트워크의 ICMP , Telnet 트래픽의 접근을 차단하려고 한다.

이외의 나머지 모든 트래픽은 허용되어야 한다

[Named ACL로 구성]

------------------------------------------------------------------------------------

EX4) R1은 FastEthernet 0/0에 있는HTTP Server인 200.20.11.128로 172.16.22.8 ~ 172.16.22.15 까지만

접속이 가능하며 나머지 모든 HTTP 트래픽은 차단되어저야한다.

이를 제외한 나머지 모든 TCP트래픽은 허용된다 (나머지 모든 트래픽은 차단)

-----------------------------------------------------------------------------------------

162.118.0.0/24 210.174.8.0/24

~ ~

162.118.7.0/24-----------[S 0/0]R1[S 0/1]----------210.174.15.0/24

[Fa 0/0]

Switch

HTTP Server

210.241.167.95

EX5) R1은 162.118.x.0/24 네트워크중 짝수 네트워크만 HTTP Server로 접속이 가능하며

210.174.x.0/24 네트워크중 홀수 네트워크만 HTTP Server로 접속과 Telnet접속이

가능하다 이외의 나머지 모든 트래픽에 대해서는 HTTP Server로 향하는

TCP 트래픽이 차단되어야 한다

(지정하지 않는 나머지 모든 트래픽에 대해서는 모두 허용되어야 한다.)

------------------------------------------------------------------------------

ISP---------------[S1/0]-RTA-[Fa 0/0]--------------SW1 (Host A,B,C,D)

[Fa 0/1]

SW2

K-Web , J-Web , FTP

[조건]

Host A : 192.168.100.10

Host B : 192.168.100.11

Host C : 192.168.100.12

Host D : 192.168.100.13

K-Web : 210.112.40.250

J-Web : 210.112.40.251

FTP : 210.112.40.252

ISP : 220.56.42.254

-오직 Host D만 K-Web로 접속이 가능하다

-모든 Host는 나머지 모든 네트워크로 접속이 가능해야한다.

[PRE CONFIG]

# R1

ter le 0

conf t

no ip domain-lo

line con 0

logging sy

exec-t 0 0

exit

hostname R1

interface loopback 0

ip address 1.1.1.1 255.255.255.0

interface fa 0/0

no shutdown

ip address 13.13.10.254 255.255.255.0

interface serial 1/0

no shutdown

ip address 13.13.12.1 255.255.255.0

router rip

version 2

no auto-summary

network 1.0.0.0

network 13.0.0.0

line vty 0 4

password cisco

enable secret cisco

# R2

ter le 0

conf t

no ip domain-lo

line con 0

logging sy

exec-t 0 0

exit

hostname R2

interface loopback 0

ip address 2.2.2.2 255.255.255.0

interface fa 0/0

no shutdown

ip address 13.13.20.254 255.255.255.0

interface serial 1/1

no shutdown

ip address 13.13.12.2 255.255.255.0

clock rate 1612800

interface serial 1/0

no shutdown

ip address 13.13.23.2 255.255.255.0

clock rate 1612800

router rip

version 2

no auto-summary

network 2.0.0.0

network 13.0.0.0

line vty 0 4

password cisco

enable secret cisco

# R3

ter le 0

conf t

no ip domain-lo

line con 0

logging sy

exec-t 0 0

exit

hostname R3

interface loopback 0

ip address 3.3.3.3 255.255.255.0

interface fa 0/0

no shutdown

ip address 13.13.30.254 255.255.255.0

interface serial 1/1

no shutdown

ip address 13.13.23.3 255.255.255.0

router rip

version 2

no auto-summary

network 3.0.0.0

network 13.0.0.0

line vty 0 4

password cisco

enable secret cisco

### Standard ACL

EX1) R1은 13.13.30.0/24 네트워크트래픽이 13.13.10.0/24 네트워크로 접근치 차단하고

나머지 모든 트래픽은 허용하려고한다.

(설정은 R1에서 실시하며 Serial interface에적용 실시)

Loopback 0 Loopback 0 Loopback 0

1.1.1.0/24 2.2.2.0/24 3.3.3.0/24

S1/0 13.13.12.0/24 S 1/1 S 1/0 13.13.23.0/24 S 1/1

R1------------------------------R2-------------------------------R3

| | |

13.13.10.0/24 13.13.20.0/24 13.13.30.0/24

-------------------------------------------------------------------------------------

EX2) R3은 13.13.10.0/24 , 1.1.1.0/24 네트워크트래픽이 13.13.30.0/24 네트워크로 접근치 차단하고

나머지 모든 트래픽은 허용하려고한다. (설정은 R3에서 실시하며 Serial interface에적용 실시)

Loopback 0 Loopback 0 Loopback 0

1.1.1.0/24 2.2.2.0/24 3.3.3.0/24

S1/0 13.13.12.0/24 S 1/1 S 1/0 13.13.23.0/24 S 1/1

R1------------------------------R2-------------------------------R3

| | |

13.13.10.0/24 13.13.20.0/24 13.13.30.0/24

-------------------------------------------------------------------------------------

EX3) R1은 2.2.2.0/24 , 3.3.3.0/24 네트워크트래픽이 접근시 허용하고 나머지 모든 트래픽은 차단되어야한다.

R1에서 설정을 실시하며 Serial interface에적용 실시

Loopback 0 Loopback 0 Loopback 0

1.1.1.0/24 2.2.2.0/24 3.3.3.0/24

S1/0 13.13.12.0/24 S 1/1 S 1/0 13.13.23.0/24 S 1/1

R1------------------------------R2-------------------------------R3

| | |

13.13.10.0/24 13.13.20.0/24 13.13.30.0/24

-SA : 13.13.12.2 UDP 520

-DA : 224.0.0.9 UDP 520

==============================================================================================

### Extended ACL 실습

EX1) R1은 출발지 주소가 3.3.3.3 이고 목적지 주소가 1.1.1.1인 Telnet트래픽을 차단하려고 한다

이외의 나머지 모든 트래픽은 허용 R1에서 설정하며 Serial에 적용

Loopback 0 Loopback 0 Loopback 0

1.1.1.0/24 2.2.2.0/24 3.3.3.0/24

S1/0 13.13.12.0/24 S 1/1 S 1/0 13.13.23.0/24 S 1/1

R1------------------------------R2-------------------------------R3

| | |

13.13.10.0/24 13.13.20.0/24 13.13.30.0/24

------------------------------------------------------------------------------------------

EX2) R1은 출발지 주소가 3.3.3.3이고 목적지 주소가 13.13.10.0/24인 ICMP , Telnet를

차단하려고 한다. 나머지 모든 트래픽에 대해서 허용하려고 한다.

설정은 R1에서 설정하며 Serial interface에서 적용하며 Named ACL사용

Loopback 0 Loopback 0 Loopback 0

1.1.1.0/24 2.2.2.0/24 3.3.3.0/24

S1/0 13.13.12.0/24 S 1/1 S 1/0 13.13.23.0/24 S 1/1

R1------------------------------R2-------------------------------R3

| | |

13.13.10.0/24 13.13.20.0/24 13.13.30.0/24

----------------------------------------------------------------------------------------------

EX3) R1은 출발지 주소가 13.13.30.0/24인 트래픽이 1.1.1.1로의

Telnet접속과 ICMP트래픽을 허용하려고 한다 이외의 나머지 트래픽은 차단

설정은 R1에서 설정하며 Serial interface에서 적용

Loopback 0 Loopback 0 Loopback 0

1.1.1.0/24 2.2.2.0/24 3.3.3.0/24

S1/0 13.13.12.0/24 S 1/1 S 1/0 13.13.23.0/24 S 1/1

R1------------------------------R2-------------------------------R3

| | |

13.13.10.0/24 13.13.20.0/24 13.13.30.0/24

------------------------------------------------------------------------------------------

EX4) R3은 출발지 주소가 13.13.10.0/24이고 목적지 주소가 13.13.40.0/24 , 3.3.3.0/24인

ICMP , Telnet를 차단하고 나머지 모든 트래픽에 대해서 허용하려고 한다.

설정은 R3에서 설정하며 Serial interface에서 적용하며 Named ACL사용

Loopback 0 Loopback 0 Loopback 0

1.1.1.0/24 2.2.2.0/24 3.3.3.0/24

S1/0 13.13.12.0/24 S 1/1 S 1/0 13.13.23.0/24 S 1/1

R1------------------------------R2-------------------------------R3

| | |

13.13.10.0/24 13.13.20.0/24 13.13.30.0/24

----------------------------------------------------------------------------------------------

EX5) R5은 출발지 주소가 13.13.10.0/24인 트래픽이 3.3.3.3으로의

Telnet접속과 ICMP트래픽을 허용하려고 한다 이외의 나머지 트래픽은 차단

설정은 R3에서 설정하며 Serial interface에서 적용

Loopback 0 Loopback 0 Loopback 0

1.1.1.0/24 2.2.2.0/24 3.3.3.0/24

S1/0 13.13.12.0/24 S 1/1 S 1/0 13.13.23.0/24 S 1/1

R1------------------------------R2-------------------------------R3

| | |

13.13.10.0/24 13.13.20.0/24 13.13.30.0/24

저작자표시

'로그 저장소 :) > 네트웍.Network' 카테고리의 다른 글

[CCNA] VLSM 문제 (0)	2012.11.04
[CCNA] EIGRP #2 (0)	2012.11.04
[CCNA] OSPF (0)	2012.11.04
[CCNA] RIP Ver2 (0)	2012.11.04
[CCNA] RIP (0)	2012.11.04

Today's L@g!

[CCNA] ACL

'로그 저장소 :) > 네트웍.Network' 카테고리의 다른 글

티스토리툴바

[CCNA] ACL

'로그 저장소 :) > 네트웍.Network' 카테고리의 다른 글

'로그 저장소 :)/네트웍.Network' Related Articles

티스토리툴바