Download presentation
Presentation is loading. Please wait.
1
ACL(Access Control List)
Wed_10.31 ACL(Access Control List) 표준 ACL 명령어 구문 access-list 1 : 표준 ACL번호는 1~99번, 1300~1999번 사이의 번호를 사용 deny : 조건에 맞는 트래픽을 전달(permit)할 것인지 버릴(deny)것인지 결정 : ACL이 적용될 출발지 주소 : ACL이 적용될 주소의 와일드카드 마스크 access-list 1 permit any : ACL이 deny 구문으로 이루어져 잇을 경우에는 deny 된 트래픽을 제외한 다른 모든 트래픽을 전달시키겟다는 의미,꼭 설정 ip access-group 1 in : 위에서 작성한 ACL 1번을 적용하는데 들어오는 트래픽(in)에 적용할 것인지 나가는 트래픽(out)에 적용할 것인지 결정 -> 패킷 필터링 1. 표준 IP ACL 2. 확장 IP ACL 3. Named IP ACL 1) 위에서 부터 순차적으로 진행 2) 일치할 경우 ACL의 구문(Deny or Permit) 수행 3)맨끝에는 Deny any 묵시적으로 존재 표준 ACL 출발지 IP주소만 참조하여 패킷을 필터링 1~99, 1300~1999 번호 사용 확장 ACL 출발지,목적지 IP주소,TCP,UDP,포트번호를 참조하여 패킷을 필터링 100~199, 2000~2699 번호 사용 Named 표준 ACL 표준 ACL과 같음, ACL선언시 번호가 아닌 사용자 설정 값을 이용 Named 확장 ACL 확장 ACL과 같으며,ACL 선언시 번호가 아닌 사용자 설정값 사용
2
ACL(Access Control List)
Wed_10.31 ACL(Access Control List) 표준 ACL 명령어 구문 access-list 1 : 표준 ACL번호는 1~99번, 1300~1999번 사이의 번호를 사용 deny : 조건에 맞는 트래픽을 전달(permit)할 것인지 버릴(deny)것인지 결정 : ACL이 적용될 출발지 주소 : ACL이 적용될 주소의 와일드카드 마스크 access-list 1 permit any : ACL이 deny 구문으로 이루어져 잇을 경우에는 deny 된 트래픽을 제외한 다른 모든 트래픽을 전달시키겟다는 의미,꼭 설정 ip access-group 1 in : 위에서 작성한 ACL 1번을 적용하는데 들어오는 트래픽(in)에 적용할 것인지 나가는 트래픽(out)에 적용할 것인지 결정 * 확장 ACL 표준 ACL같은 경우 맨 처음 ACL의 조건에만 맞는다면 그 뒤 조건은 무시하고 패킷을 통과 이런 표준 ACL의 단점을 보완한 것이 확장 ACL 확장 ACL은 위의 ACL종류 표에서 말했듯이 출발지 주소와 목적지 주소를 모두 고려 그래서 표준 ACL보다 훨씬 넓은 범위의 제어 기능을 제공 예) R1(config)#access-list 100 deny icmp host host echo access-list 100 : 확장 ACL의 경우 100~199번, 2000~2699번의 번호를 사용 icmp : 확장 ACL을 통해 제어하고자 하는 프로토콜을 입력 host : 관찰 대상의 출발지 주소 host : 관찰 대상의 목적지 주소 echo : 옵션 항목으로 프로토콜을 선택 access-list 100 permit ip any any : ACL이 deny 구문들로 이루어져 있으므로 deny로 설정된 항목 이외에 모든 통신이 가능하도록 설정해야 한다는 구문 Named 표준 ACL을 정의하는 명령어 구문 ip access-list standard babo ip access-list : 표준이나 확장 ACL과 달리 named ACL을 시작할때 사용 standard : named 표준 ACL의 경우 standard 사용하고, named 확장 ACL의 경우 extended 사용 babo : named ACL에 사용되는 ACL의 이름을 정의
3
ACL(Access Control List)
Wed_10.31 Router1 host seoul_R1 ena se babo no ip domain-l ser p line con 0 pass babo1 login exec 0 0 logg synchronous exit line vty 0 4 pass babo2 int f0/0 ip add no shutdown int f0/1 ip add do write router ei 100 network network pass f0/0 no access-list 1 access-list 1 permit line vty 0 5 access-class 1 in ACL(Access Control List) Router2 host Busan_R1 ena se babo no ip domain-l ser p line con 0 exec 0 0 pass babo1 login logg syn line vty 0 4 pass babo2 exit int f0/0 ip add no shuwdown int f0/1 ip add no shutdown do ping Router2(특정 포트에 특정 IP 허용 안함) access-list 100 deny tcp host host eq 80 access-list 100 permit ip any any do write interface f0/1 (들어오는것 막음) ip access-group 100 in
4
ACL(Access Control List)
Wed_10.31 ACL(Access Control List) Switch1 host Seoul_S1 ena se babo no ip domain-l ser p line con 0 exec 0 0 logg syn pass babo1 login line vty 0 4 logg sy pass babo2 do write int vlan 1 ip add no shutdown exit ip default-gateway Switch2 host Busan_S1 ena se babo no ip domain-l ser p line con 0 exec 0 0 logg syn pass babo1 login line vty 0 4 pass babo2 exit int vlan 1 ip add no shutdown ip default-gateway do write
Similar presentations