수업 60일차 네트워크 와일드카드마스크 , ACL , Standard ACL , Extended ACL
0
■ 와일드카드 마스크
- 특정 IP주소나 네트워크를 추출하기 위해 사용하는 필터값
- 특정 비트와 일치 여부를 지정할 때 사용
- 와일드카드 마스크는 반드시 일치해야하는 비트는 0
- 일치 여부랑 상관없는 비트는 1
- 와일드카드 마스크는 0과 1을 불연속적으로 사용할 수 있다.
- 서브넷 마스크보다 더 자유롭게 범위를 지정할 수 있다.
ex) 10.1.2.0 0.0.1.255
10.1.0000 0010.0000 0000
00.0.0000 0001.1111 1111
10.1.0000 0010.0000 0000 10.1.2.0 ~
10.1.0000 0011.1111 1111 10.1.3.255
=> 10.1.2.0 ~ 10.1.3.255
ex) 10.0.0.0/8 ~ 11.0.0.0/8을 와일드카드 마스크로 나타내면?
0000 1010.0 ~
0000 1011.0
0000 0001.1 ~
10.0.0.0 1.255.255.255
ex) 10.1.1.0/24 ~ 10.1.2.0/24
0000 1010. 0000 0001. 0000 0001. 0000 0000
0000 1010. 0000 0001. 0000 0010. 0000 0000
0000 1010. 0000 0001. 0000 0011. 0000 0000
10.1.1.0 0.0.0.255
10.1.2.0 0.0.0.255
ex) 192.168.32.0/24 ~ 192.168.40.0/24
1100 0000 1010 1000 0010 0000 0000
1100 0000 1010 1000 0010 1000 0000
192.168.32.0 ~ 0.0.7.255
192.168.40.0 ~ 0.0.0.255
서브넷 마스크 // 와일드카드마스크
0 => 변화되는 비트 변화되지 않는 비트
1 => 변화되지 않는 비트 변화되는 비트
<와일드카드마스크>
==> EIGRP나 OSPF에서 NETWORK 명령어로 네트워크를 등록할때
==> 0과 1을 혼용해서 사용할 수 있다.
10.100.0.0/16을 C클래스로 나눠서 각 부서에서 사용한다.
이럴 때 각 네트워크의 관리자 IP를 200으로 설정했을 경우
관리자 IP만 묶어서 와일드카드 마스크로 표현하자면?
ex) 10.100.0.200, 10.100.1.200, 10.100.2.200 ~
10.100 0000 0000 1100 1000
10.100 0000 0001 1100 1000
10.100 0000 0010 1100 1000
10.100.0.200/24 ~ 10.100.255.200/24
10.100.0.0/16 -> C클래스로 나눠서 각각의 부서에서 사용
각 부서의 IP 0 ~ 15번까지의 IP
10.100.0.0000 0000
10.100.0.0000 1111
10.100.1.0000 0000
10.100.1.0000 1111
10.100.0.0 ~ 10.100.255.15=====================================
■ ACL (Access Control List)
1. Access List
- 원하지 않는 트래픽이 네트워크를 경유하거나 접근하는것을 차단한 필요가 있을 때
사용하는 트래픽 필터링 기법
- IP 기반의 패킷 필터링 : IP, 네트워크 대역, 포트, 프로토콜 등
- 각종 인터페이스를 지나가는 데이터 제어에 사용
- 라우팅 프로토콜, 가상 터미널, NAT등에 사용
2. ACL의 종류
- Standard ACL (표준형)
- Extended ACL (확장형)
- Named Standard ACL
- Named Extended ACL
3. ACL의 규칙
- 좁은 범위의 정책을 먼저 설정
- 자주 쓰이는 정책을 먼저 설정
- ACL 설정을 완료한 후 인터페이스에 적용
- 정의되지 않은 ACL을 적용하면 Permit Any로 동작
- 기본적으로 ACL의 마지막 정책은 Deny Any 하지만 마지막에
deny any를 명시를 해주면 페기되는 패킷을 수량을 확인가능
4. ACL에서 와일드카드 마스크를 사용하는 이유
- ACL을 구현할 때는 효율적이어야 한다.
- 정책이 많아질수록 패킷과 비교하는 횟수가 많아지고, CPU가 처리해야할 양이 늘어나고,
비교하는 시간이 길어지고, 그러면 당연히 트래픽이 몰려 네트워크의 성능이 저하됨,
라우터의 자원을 많이 소모 -> 다른 기능에 영향을 미칠 수 있음
- 여러 네트워크를 표현할 수 있는 와일드카드 마스크를 사용■ Standard ACL
- IP 필터링
- 패킷의 Source Address로 필터링
- 번호 : 1 ~ 99, 범위 확장 시 1300 ~ 1999
- 패킷 허용 : permit
- 패킷 차단 : deny
- any : 모든 IP◇ Standard ACL 제어문
# access-list [1~99] [permit/deny] [Source Address] [Wildcardmask]
ex)
R1(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
Router(config)#access-list 1 permit host 192.168.10.1
혹은
Router(config)#access-list 2 permit 192.168.10.1 0.0.0.0
혹은
Router(config)#access-list 3 permit 192.168.10.0 0.0.0.255◇ ACL 적용
- 네트워크 장비(라우터 등)을 기준으로 in/out 을 적용
▷ Incoming Traffic
Router(config-if)#ip access-group 1 in
▷ Outgoing Traffic
Router(config-if)#ip access-group 1 out
▷ 원격 접속
Router(config)#line vty 0 4
Router(config-line)#access-class 1 in
ex) 1. 192.168.10.1과 192.168.0.1은 웹 서버에 접근 가능,
192.168.10.2는 접근 불가
2. 192.168.10.2 제외 모두 웹서버에 접근 가능
Standard IP access list 1
10 permit host 192.168.10.1 (4 match(es))
20 permit host 192.168.0.1
Standard IP access list 2
10 deny host 192.168.10.2
20 deny any
<명령어>
sh int f1/0 : 1계층
sh ip int f1/0 : 3계층■ Extended ACL(확장형 ACL)
- 표준형보다 더 디테일하게 필터링 가능
- 번호 100 ~ 199, 2000 ~ 2699
- 출발지, 목적지 주소 및 프로토콜 제어 가능
▷ 제어문
# access-list [100~199] [permit/deny] [Protocol(IP, udp, tcp)] [Source Address] [Destination Address] [Protocol Options]
ex) 192.168.10.0/24에서만 웹서버로 웹 접속 허용
<연습문제>
다음을 만족하도록 ACL을 설정하여 적용하세요.
1. PC 0에서만 웹서버로 ssh 허용
2. PC 0에서만 라우터로 원격접속 허용
3. 192.168.0.0/24 대역을 제외하고 나머지는 웹서버의 웹으로 접속 허용
목적지 : 라우터
Router(config)#access-list 1 permit host 192.168.10.1
Router(config)#line vty 0 4
Router(config-line)#access-class 1 in
목적지 : 웹서버
Router(config)#access-list 100 permit tcp host 192.168.10.1 host 172.16.31.100 eq 22
// PC0에서만 웹서버 SSH허용
Router(config)#access-list 100 deny tcp 192.168.0.0 0.0.0.255 host 172.16.31.100 eq 80
// 192.168.0.0/24 대역 웹서버 차단
Router(config)#access-list 100 permit tcp any host 172.16.31.100 eq 80
// 나머지 웹접속 허용
Router(config)#int f1/0
Router(config-if)#ip access-group 100 out
클라우드 엔지니어가 되고싶은 클린이