-Router에서는 ACL을 사용하여 트래픽 식별, 필터링, 암호화, 분류, 변환 작업을 수행하여 Router를 경유하는 Packet을 filtering한다.
- ACL 종류
Standard ACL : Source IP 주소를 검사하여 전체 Protocol Suite에 대한 Packet 출력을 허용하거나 거부한다. (Broadcast 형태의 동작)
Extended ACL : Source IP 주소와 목적지 IP 주소 및 특정 Protocol, port 번호, 다른 매개변수 등을 검사하여 제어한다. (Unicast 형태의 동작)
-Standard ACL 설정 및 적용
1. access-list 명령어로 IP Traffic Filter 목록 및 number 생성
| (config)#access-list ‘access-list-number’ {permit / deny} ‘source IP’ ‘wildcard-mask’ |
access-list-number : Entry가 속할 list 번호 설정. 1~99, 1300~1999 사이의 번호 사용
permit / deny / remark : 해당 Entry에 매치되면 적용할 Action
source [wildcard-mask] : 송신지 IP 주소와 wildcard mask
2. IP access-group 명령어로 생성한 ACL을 인터페이스에 적용
| (config)#interface fastEthernet 0/0 (config-if)#ip access-group ‘access-list-number’ {in / out} |
List를 적용할 Interface 지정
inbound 또는 outbound 지정 (Default = outbound)
% ACL 삭제 명령
| (config-if)#no ip access-group ‘access-list-number’ {in / out} |
% ACL 표시 명령
| #show access-list |
(config)#access-list 1 permit 172.16.4.13 0.0.0.0 //특정 host 허가 list 생성
(config)#interface fastEthernet 0/0 //적용 interface
(config-if)#ip access-group 1 out
(config)#access-list 1 deny 172.16.4.13 0.0.0.0 //특정 host 거부 list 생성
(config)#access-list 1 permit 0.0.0.0 255.255.255.255 //모든 host 허가 list 생성
(config)#interface fastEthernet 0/0 //적용 interface
(config-if)#ip access-group 1 out
예제) Static_ACL
192.168.10.2 host가 10.100.1.0 대역의 접근에 대해 R2의 시리얼 인터페이스 inbound에서 거절.
| R1(config)#access-list 1 deny 192.168.10.2 0.0.0.0 R1(config)#access-list 1 permit 0.0.0.0 255.255.255.255 R1(config)#interface serial 0/1 R1(config-if)#ip access-group 1 in |
-Extended ACL
1. access-list 명령어로 IP Traffic Filter 목록 및 number 생성
| (config)#access-list ‘access-list-number’ {permit / deny} protocol Source_IP Source_wildcard_mask [operator port] Destination_IP Destination_wildcard_mask [operator port] |
access-list-number : Entry가 속할 list 번호 설정. 100~199, 2000~269 사이의 번호 사용
permit / deny / remark : 해당 Entry에 매치되면 적용할 action
operator port : lt(less than), gt(greater than), eq(equal to), neq(not equal to)와 port 번호를 명시한다.
2. IP access-group 명령어로 생성한 ACL을 인터페이스에 적용
| (config)interface fastEthernet 0/0 (config-if)#ip access-list ‘access-list-number’ {in / out} |
List를 적용할 Interface 지정
inbound 또는 outbound 지정 (Default = outbound)
(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 20
(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 21
(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 23
(config)#access-list 101 permit ip any any
(config)#interface fastEthernet 0/0
(config)#ip access-group 101 out
ð 172.16.4.0 대역에서 172.16.3.0 대역으로 Ftp 및 Telnet traffic을 거부.
ð 다른 모든 hosts의 traffic이 fastEthernet 0/0 인터페이스로 나가는 것을 허용.
예제) 03_ACL
작업 1: Basic PC Configurations
PC1, PC2, PC3, Web Server에 그림을 참조하여 IP, Subnet Mask, Default Gateway 설정
작업 2: Basic Router Configurations
토폴로지에 있는 라우터 이름으로 Hostname 설정 #hostname R1
Enable 패스워드 설정 : cisco #password cisco
Console 메시지 동기화 설정 #logging synchronous
Console Session Timeout 설정 : 무한대 #exec-timeout 0 0
VTY설정(0~4) : 암호 없이 접속할 수 있도록 설정 #line vty 0 4
작업 3: Serial and Ethernet Interface에 IP Address 설정
Serial 및 FastEthernet Interface의 IP설정은 표를 참고한다.
Serial 구간의 Bandwidth는 모든 구간에 1024kbps로 설정한다.
Encapsulation은 HDLC로 설정한다.
clock rate는 다음 명령어를 사용하여 DCE인터페이스를 찾은 뒤 적당한 값으로 설정한다.
작업 4: Next Hop Device와의 연결 확인
Step 1 각 라우터에서 next hop라우터의 interface로 ping 시도.
Step 2 End Device(PC1, PC2, PC3, Web Server)에서 각각의 Default Gateway로 Ping 시도.
Step 3 라우터에서 인터페이스에 설정된 IP와 인터페이스 상태 확인.
작업 5: Configure OSPF
Step 1 각 라우터에서 ProcessID를 1로 설정하여 OSPF를 구동시킨다.
Step 2 Interface에 설정된 IP주소를 사용하여 OSPF로 광고할 네트워크를 설정한다.
그리고 모든 라우터는 AREA 0에서 구동.
작업 6: Verify Configure OSPF
Step 1 OSPF Routing Table 확인
각 라우터에서 "show ip route"명령어를 사용하여 라우팅 테이블을 확인.
모든 라우터에서 토폴로지에 있는 모든 네트워크 정보가 있는지 확인.
Step 2 통신확인
각 PC에서 Web Server 및 모든 구간에 통신이 되는지 ping 시도.
작업 7: Standard ACL 설정
Standard ACL은 packet의 source IP를 기준으로 packet filtering을 수행한다.
작업 7에서는 192.168.11.0/24 네트워크를 filtering하는 standard ACL을 구성하고
이것을 R3의 serial interface에서 packet이 inbound될 때 적용을 시킬 것이다.
ACL을 설정할 때 주의할 점은 기본 설정이 "deny all"이라는 것이다.
만약 관리자가 설정한 ACL에 match되는 조건이 없다면 해당 packet은 무조건 버려진다.
따라서 ACL을 설정할 때는 마지막에 "permit any"를 설정해주는 것을 잊으면 안된다.
Step 1 Standard Access Control List 조건 생성
- Global Configuration Mode에서 access-list 명령어를 사용해서 조건 생성
- Standard Access Control List는 기본 ACL Number를 1~99까지 사용할 수 있다.
- 192.168.11.0/24를 filtering하려면 다음과 같이 설정하면 된다.
R3(config)#access-list 1 deny 192.168.11.0 0.0.0.255
- 192.168.11.0/24를 제외한 모든 traffic을 허용을 위해 다음 조건은 입력한다.
R3(config)#access-list 1 permit any
Step 2 Standard Access Control List 적용
- 위에서 만든 ACL를 해당 interface에 적용시키려면 다음 명령어를 사용.
R3(config)#interface serial 0/1
R3(config-if)#ip access-group 1 in
Step 3 ACL 확인
- PC2에서 PC3으로 ping test가 성공하는지 확인한다.
- R3라우터에서 192.168.11.0/24네트워크를 deny시켰기 때문에
PC2(IP:192.168.11.10)이 보낸 icmp packet은 deny되어 ping 실패한다.
- 설정한 ACL를 확인하려면 show access-lists 명령어를 사용하면 된다.
R3#show access-lists
Standard IP access list 1
deny 192.168.11.0 0.0.0.255 (3 match(es))
permit any
작업 8: Extended ACL 설정
Extended Access Control List(ACL)은 Stand Access List와 달리 packet의 source IP만 검사하는 것이 아니라 Protocol, Source IP, Destination IP, Port Number도 검사를 하는 확장형 Access List이다.
작업 8에서는 R1의 LAN구간인 192.168.10.0/24 네트워크는 내부 네트워크로만 접근이 가능하도록 만들려고 한다. 그리고 Internet Network 구간인 R2의 209.165.200.225 구간으로는 못 나가게 설정할 것이다.
192.168.10.0/24 네트워크는 내부에 있는 모든 네트워크에는 접근이 가능하고, 외부로 나가는 209.165.200.225에만 접근을 못하게 하면 된다.
이런 경우에는 Extended Access List를 사용해서 설정해야 가능하다.
정책 적용은 R1라우터의 s0/0인터페이스에서 packet이 outbound될 때 적용시킬 것이다.
Step 1 Extended Access Control List 조건 생성
- Global Configuration Mode에서 access-list 명령어를 사용해서 조건을 생성.
- Extended Access Control List는 기본 ACL Number를 100~199까지 사용.
- 192.168.10.0/24가 209.165.200.225에 접근하는 것을 차단 Entry 생성.
R1(config)#access-list 101 deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225
- 목적지가 209.165.200.225인 패킷을 제외한 모든 traffic 허용 Entry 생성.
R1(config)#access-list 101 permit ip any any
Step 2 Extended Access Control List 적용
- 위에서 만든 ACL를 해당 interface에 적용.
R1(config)#interface serial 0/0
R1(config-if)#ip access-group 101 out
- interface serial 0/0설정 모드에서 packet이 outbound될 때 적용시켰다.
Step 3 ACL 확인
- PC1에서 R2의 Loopback interface로 ping test가 성공하는지 확인한다.
- R1라우터에서 192.168.10.0/24네트워크를 출발하여 209.165.200.225를 목적지로 하는 packet은 deny 시켰기 때문에 PC1(IP:192.168.10.10)이 보낸 icmp packet은 deny되어 ping test에 성공하지 못한다.
- 설정한 ACL를 확인하려면 show access-lists 명령어를 사용하면 된다.
R1#show access-lists
Extended IP access list 101
deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 (4 match(es))
permit ip any any (4 match(es))
'네트워크 > Cisco' 카테고리의 다른 글
| [네트워크] Cisco Nexus HSRP/VRRP 설정 (0) | 2023.06.30 |
|---|---|
| [네트워크] Cisco Nexus에서 wr 명령어 사용 방법 (0) | 2023.06.30 |
| [네트워크] Cisco Nexus 계정 (0) | 2023.06.30 |
| [네트워크] Cisco Nexus 9000 telnet, ssh 설정 (0) | 2023.06.30 |
| [네트워크] Cisco 3560 스위치 패스워드 복구 Password recovery (0) | 2023.05.31 |
