ACL(Access Control List)
와일드 카드 마스크(Wildcard Mask)
- 공통 비트: 0
- 비공통 비트: 1
- 특징: X
- 장점: 서브넷 마스크로 설정이 불가능한 IP 서브넷을 정의할 수 있다.
- 사용: ACL EIGRP, OSPF
서브넷 vs 와일드카드
- 서브넷 마스크
255.255.255.255
255.255.255.0
255.255.0.0
255.0.0.0
0.0.0.0
255.255.255.252 - 와일드카드 마스크
0.0.0.0
0.0.0.255
0.0.255.5255
0.255.255.255
255.255.255.255
0.0.0.3
EX1) 192.168.1.0/24 ~ 192.168.255.0/24중에 홀수 서브넷만 정의한다.
192.168.1.0/24
192.168.3.0/24
192.168.5.0/24
192.168.7.0/24
...
192.168.255.0/24
------------------
192.168.0000000 1.0
192.168.0000001 1.0
192.168.0000010 1.0
...
192.168.1111111 1.0
-----------------> 192.168.1.0 0.0.254.255
/24이지만 서브넷마스크는 255.255.0.0??
0.0.1111111 0.255 <- 0.0.254.255
EX2) 192.168.2.0/24 ~ 192.168.255.0/24중에 짝수서브넷만 정의
192.168.2.0/24
192.168.4.0/24
192.168.6.0/24
...
192.168.254.0/24
----------------
192.168.00000010.0
192.168.00000100.0
...
192.168.11111110.0
----------------> 192.168.0.0 0.0.254.255
0.0.1111111 0.255 <- 0.0.254.255
EX3) 192.168.112.32 ~ 192.168.112.63
192.168.112.001 00000
192.168.112.001 00001
...
192.168.112.001 11111
------------------->192.168.112.32 0.0.0.31
0.0.0.000 11111<- 0.0.0.31
ACL
(선수지식)
- 와일드 카드 마스크
- 포트 번호
ACL(Access Control List) 목적
- 트래픽 필터링
- 방화벽 구성
- IP 주소 및 서브넷 정의
ACL 설정 시 파악할 요소
- 출발지/목적지 포트,ip등
- 허용(permit)/차단(deny)
- in/out
ACL 처리 과정 및 주의 사항
-
- 서브넷 범위가 작은 항목부터 설정해야 한다.
- ACL을 설정하면 설정된 순서대로 순서 번호를 할당 받는다.
- 순서 번호대로 검사하여 조건에 만족된 항목이 있으면, ACL 동작을 실시한다.
- 그 다음 항목은 검사하지 않는다.
-
Ex1) 잘못된 예제
13.13.0.0 permit
13.13.30.0 deny
R1(config)#access-list 10 permit 13.13.0.0 0.0.255.255
R1(config)#access-list 10 deny 13.13.30.0 0.0.0.255
R1(config)#int s1/0
R1(config)# ip access-group 10 in
R1(config)#end
R1#show ip access-list
Standard IP access list 10
10 permit 13.13.0.0, wildcard bits 0.0.255.255
20 deny 13.13.30.0, wildcard bits 0.0.0.255
-> 차단하고 싶었지만 허용 범위가 더 커 허용됨.
-> 범위가 작은 것 부터 설정하면 해결
(해결 방법)
R1#conf t
R1(config)#no access-list 10
R1(config)#access-list 10 deny 13.13.30.0 0.0.0.255
R1(config)#access-list 10 permit 13.13.0.0 0.0.255.255
- Ex2) 잘못된 예제
ACL 마지막 항목에는 'deny any'가 동작한다.
R1(config)#access-list 10 deny 13.13.30.0 0.0.0.255
R1(config)#end
R1#show ip access-list
Standard IP access list 10
10 deny 13.13.30.0, wildcard bits 0.0.0.255
(마지막에 'deny any' 처리 실시)
(해결 방법)
R1#conf t
R1(config)#access-list 10 permit any
- EX3) 잘못된 예제
항목 부분 추가 및 부분 삭제 불가능
R1#show ip access-list
Standard IP access list 10
10 deny 172.16.3.0, wildcard bits 0.0.0.255 (11 matches)
20 permit any
R1#conf t
R1(config)#access-list 10 deny 13.13.30.0 0.0.0.255
R1(config)#end
R1#show ip access-list
Standard IP access list 10
10 deny 172.16.3.0, wildcard bits 0.0.0.255 (11 matches)
20 permit any
30 deny 13.13.30.0, wildcard bits 0.0.0.255 <- 덮어쓰기되지않고 추가가 된다.
R1#conf t
R1(config)#no access-list 10 deny 13.13.30.0 0.0.0.255
R1(config)#end
R1#show ip access-list
R1# <- 전체 다 사라진다.
ACL 종류
- Standard ACL
- ACL 번호: 1~99
- 검사 항목: 출발지
- Standard ACL 설정 구문
R1(config)# access-list [1-99] permit|deny sourceIP wildcard mask
-> R1(config)# access-list 10 permit 13.13.30.0 0.0.0.255
R1(config)# int f0/0 // 포트 접속
R1(config)# ip access-group [1-99] in|out
-> R1(config)# ip access-group 10 in - VTY 라인에서 Standard ACL 적용
R1(config)# access-list 10 permit 13.13.30.0 0.0.0.255
R1(config)# line vty 0 4
R1(config)# access-class [1-99] in|out
- Extended ACL
- ACL 번호: 100~199
- 검사 항목: 출발지/목적지, 프로토콜(ip, tcp, udp, icmp, eigrp, ospf), 포트 번호, 옵션
- 프로토콜, 출발지/목적지 IP, 출발지/목적지 Port
프로토콜 출발지IP 출발지 Port 목적지IP 목적지Port
--------------------------------------------
- 차단/허용
- 흐름/in/out
포트 번호(참고)
- TCP
http 80
httpa 443
telnet 23
ssh 22
ftp 21
ftp-da 20ta
smtp 25
pop3 110
imap 143- UDP
dns 53
dhcp 67
dhcps 68
tftp 69
syslog 514
ntp 123
snmp 161
snmp-trap 162
- UDP
