ACL 액세스 리스트

액세스 리스트

액세스 리스트 생성 후 특정 인터페이스에 적용해야함

• 다만 이는 정해진 규칙이 없으며 트래픽의 움직임에 따라 인터페이스에 적용
• 들어오는, 나가는 트래픽에 필요 시 적용

액세스 리스트 타입

네트워크 장비에 대한 접근 권한 설정

 Numbered(standard-1~99|1300~1999, extended-100~199|2000~2699)
 Named(standard-Standard, extended-Extended)
//스탠다드: 출발지 아이피만 검사
//나머지: 출발지/목적지 IP 주소 포트 번호, 프로토콜 종류 등

//tcp, icmp
//sh ip acccess-list로 확인
access-list 1 remark ## NAT config ##
sh run | s access-list

permit 설정

네트워크 접근 권한 설정

permit 10.1.1.242 //해당 인터페이스 허용
deny any //나머지 다 차단
int g0/0 //허용한 인터페이스
ip access-group PERMIT in //들어오는 패킷 허용
//no하면 설정 취소 가능

resequence

ip access-list resequence PERMIT 100 50

100번부터 50씩 증가
디폴트는 10에서 시작해서 10씩 증가
리스트 지우고싶으면 no 10

10 permit host 10.1.1.242 log //명령 실행 시 로그 보이기
20 deny log

//telnet 설정
username ccnp privilege 15 password cisco
line vty 4 0
acces-class PERMIT in
login local 
tranceport input all

• ACL은 아무튼 방화벽 또는 트래픽 제어용으로 사용가능한듯
• 사실 이해를 잘 못했다
• access list에 관한 설정이라는 건 알겠지만..

ACL 설정

ip access-list Extended PERMIT

ext-nacl) 10 permit ip 10.1.1.240 0.0.0.3 host 10.1.1.241
//해당 아이피가 호스트로 향하는 것을 허용

)20 permit ip 10.1.1.192 0.0.0.31 host 10.1.1.241
)30 permit ip host 10.1.1.222 host 10.1.1.126 log
//해당 호스트가 특정 호스트로 향하는 트래픽 허용

)40 deny ip any any log //이 외는 출발, 목적지에 해당하는 모든 트래픽 차단

모든 ACL 목록의 마지막에는 묵시적 차단이 있다

 standard: deny any
 extended: deny ip any any
//ACL 목록과 일치 하지 않는 모든 트래픽 차단

//차단하고 싶은 아이피를 올리고 이 외는 모두 허용하는
30 permit ip any any도 가능
//숫자는 deny any보다 우선으로 설정

ip access-list Extended [name] //ACL 확장 만들기 
ip access-group [name] in //으로 인터페이스에 적용 가능
//서브넷 마스크가 아닌 와일드카드 마스크를 사용함

//확장 시 특정 프로토콜과 포트 차단 가능
deny [tcp, icmp, ssh 등 지정가능] ip [ip] [와일드카드] host [ip]