ACL Type - ( Standard, Extended, Named )
★ SubNet Mask & Wildcard Mask
SubNet Mask -> 0 : 무엇이 오든 무시해라
-> 1 : 무엇이 오든 검사해라
Wildcard Mask -> 0 : 무엇이 오든 검사해라
-> 1: 무엇이 오든 무시해라
1. Standard Access-List(Route Filter, NAT)
1) Standard Access-List 구문 :
목록작성: # access-list <list number> { permit|deny } source-address wildcard-mask
정책적용 : # ip access-group{list number |name{ in | out } }
암묵적으로존재 :( access-list 1deny 0.0.0.0 255.255.255.255 )
2) 주의 할 점:
-List Number : 1~99, 1300~1999 번호만 사용해서 생성.
-주소 지정은 WildcardMask로 선언한다.
- Default 조건이 Deny로 설정 되어 있다.
-좁은 범위에 설정부터 선언한다.
- 한번 적용시수정이 불가능 함으로 편집기를사용해서 정책을 세우고 검토 후 적용할 것.
- 적용시에는 Inbound , Outbound 를상황에 맞게 잘 선택하여 적용한다.
3)예제들).....
ex0) 출발지 192.168.10.0/24주소를 거부하고 나머지는 모두 허용하는list 설정
Router# configure terminal
Router(config)# access-list 1 deny 192.168.10.0 0.0.0.255
Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255
( = access-list 1 permit any )
Router(config) interface serial1/0
Router(config-if)# ip access-group 1 in
Route(config)# exit
ex1) 10.10.10.10차단해라~~
Router(config)#access-list 1deny 10.10.10.10 0.0.0.0
( = host 10.10.10.10)
ex2) 172.16.0.0대를 E0,E1 인터페이스를 허용해라~~
Router(config)# access-list 1 permit 172.16.0.0 0.0.255.255
( access-list 1deny 0.0.0.0 255.255.255.255 ) ->암묵적으로 존재한다
Router(config)# interface ethernet 0
Router(config-if)# ip access-group 1 out
Router(config)# interface ethernet 1
Router(config-if)#ip aacess-group 1 out
ex3) E0쪽으로 가는 출발지172.16.0.0대는 허용하고 출발지 172.16.4.13은 차단해라~
Router(config)# access-list 1 deny 172.16.4.13 0.0.0.0
Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255
(모든걸 허용해라 단 위의 조건만 빼고)
( access-list 1deny 0.0.0.0 255.255.255.255 )
->암묵적으로 존재(모든걸 차단해라 단 위의 조건들만 빼고)
Router(config)# interface ethernet 0
Router(config-if)# ip access-group 1 out
ex4) E0쪽으로 가는 출발지 172.16.0.0대는허용하고 출발지 172.16.4.0 대는 차단해라~
Router(config)# access-list 1 deny 172.16.4.0 0.0.0.255
Router(config)# access-list 1 permit0.0.0.0 255.255.255.255 (=any )
Router(config)# interface ethernet 0
Router(config-if)# ip access-group 1 out
2. Extended Access-List (특정 Protocal, Port, 다른매개변수 등등 유연한 제어)
1) Extended Access-List 구문 :
목록작성: # access-list <list number> { permit|deny }
protocol source-address wildcard-mask [port]
destination destination-wildcard-mask[prot][established] [log]
정책적용 : # ip access-group{list number |name{ in | out } }
암묵적으로존재 :( access-list 1deny 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)
2) 주의 할 점:
-List Number : 100~199, 20~2699 번호만 사용해서 생성.
-주소 지정은 WildcardMask로 선언한다.
- Default 조건이 Deny로 설정 되어 있다.
-좁은 범위에 설정부터 선언한다.
- Port는lt, gt, eq, neq등의비교연산자와Port 번호를 명시한다.
- 한번 적용시수정이 불가능 함으로 편집기를사용해서 정책을 세우고 검토 후 적용할 것.
- 적용시에는 Inbound , Outbound 를상황에 맞게 잘 선택하여 적용한다.
3)예제들).....
ex)출발지 172.16.4.0 서브넷에서 172.16.3.0 서브넷으로 가는FTP Traffic을 거부한다.
그외 172.16.0.0 서브넷은 E0인터페이스로 가는걸 허용한다.
Router(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
Router(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
Router(config)# access-list 101 permit ip any any
( access-list 1deny 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)암묵적인 존재
Router(config)# interface ethernet 0
Router(config-if)# ip access-group 101 out
ex)172.16.4.0 서브넷에서 172.16.3.0 서브넷으로 가는Telnet Traffic을 거부한다.
그외 172.16.0.0 서브넷은 E0인터페이스로 가는걸 허용한다.
Router(config)# access-list 101 denytcp 172.16.4.0 0.0.0.255 any eq 23
Router(config)# access-list 101 permit ip any any
( access-list 1deny 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)암묵적인 존재
Router(config)# interface ethernet 0
Router(config-if)# access-group 101 out
ex) 192.168.1.100/24네트웍에서Internet에 Web Server/Ftp server/Telnet에 접근허용한다.
Router(config)#access-list 100 permithost 192.168.1.100eq 80
Router(config)# access-list 100 permit host 192.168.1.100 eq 21
Router(config)# access-list 100 permit host 192.168.1.100 eq 20
Router(config)# access-list 100 permit host192.168.1.100 eq 23
Router(config)# interface ethernet0
Router(config-if)# access-group 100 out
3. Named IP Access-List
1)특징
- 중간에Seqence를 이용해 삽입이나 수정,삭제가 가능하다
-IOS 11.2 이전 version에서는 호환되지 않는다.
-여러 개의 액세스 리스트에 같은 이름을 사용할 수 없다.
2) 구문:
- Named IP Access-list Mode로 이동
Router(config)# ip access-list {standard | extended }name
- Test 조건을 입력
Router(config-{std|ext})# {permit|deny} {test conditions}
- 해당 Access-list를 Interface에 적용하기
Router(config-if)# ip access-group name {in | out}
3)예제...
ex) 서브넷 172.16.4.0 에서 E0 Interface로 나가는 Telnet Traffic을 거부한다.
그 외 다른 모든IP Traffic이E0 Interface로 나가는 것을 허용한다.
Router(config)#access-list extended screen
Router(configext-nacl)# deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23
Router(configext-nacl)# permit ip any any
Router(config)# interface ethernet 0
Router(config-if)# access-groupscreen out
