ACL(Access Control List)
ACL 은 네트워크에서 전송되는 트래픽을 제어한다.
말 그대로 접근을 제어하는 리스트이다.
ACL은 Standard ACL과 Extended ACL
2가지 유형이 있다.
리스트 이름을
숫자나 text 로 설정할 수 있다.
숫자로 할 경우
Standard ACL 은 1~99 까지
Extended ACL 은 100~199 까지
Standard ACL 설정 명령어
① ACL 생성
② Numbered Standard ACL 항목 범위
③ ‘permit’ 패켓을 허용 or 'deny' 패켓을 차단
④ 접근하는 출발지 서브넷 또는 호스트를 정의 (호스트 : host, 전체 : any)
⑤ 출발지 서브넷 또는 호스트의 범위를 표기하는 와일드카드 마스크
⑥ 필터링 될 시 로그출력
인터 페이스에 적용할 때
여기서 13.13.10.0/24 사용자들이
172.16.1.1 서버에 접근하는 것을 R1에서 차단하라! 한다면
이렇게 해주면 된다.
만약 F0/0 에 적용하면 인터넷도 못하게 되므로
Outbound 에 적용한다.
permit any 를 해주는 이유는 기본설정이
deny any 가 되어있기 때문에 넣어주어야
나머지 트래픽이 허용된다.
Standard ACL 은 출발지 서브넷이나 호스트만 검사한다.
Extended ACL 은 출발지/목적지 서브넷과 호스트를 정의하고
패켓이 사용하는 프로토콜과 어플리케이션 프로토콜 포트 번호를 정의함.
말 그대로 확장된 ACL 이다.
Extended ACL 은 출발지/목적지/포트번호 등을
정의할 수 있고 세부옵션도 더 많다.
단일 타겟이면 host 를 붙이고
서브넷이면 서브넷을 써주고 와일드카드 마스크를 써준다.
추가 세부옵션
와일드카드 마스크
서브넷 마스크와 비슷하지만 다른 개념
서브넷마스크는 연속된 비트가 1이어야지만
와일드카드 마스크는 규칙이 없다
서브넷 마스크와 구분하기 위해서
0과 1을 반대로 사용한다.
그래서 공통비트는 0
비공통비트는 1로 처리한다.
불연속이 가능하므로 긴 설정을 짧게 하거나
특정 서브넷만 표기할 수 있는 장점이 있음
서브넷 마스크와 반대로 표기한다.
와일드카드 마스크 활용
‘192.168.1.0/24 ~ 192.168.16.0/24’ 서브넷 범위 중에
짝수 서브넷만 정의하여라~