[ACL] 라우터/스위치 원격으로 관리하기

콘솔케이블 연결

-로컬 터미널

- 라우터에는 모니터가 없어서 콘솔케이블을 라우터와 컴퓨터를 연결해서

                                                         putty와 같은 프로그램으로 접속해야함 

 

원격 연결 (네트워크를 통해서 연결)

-telnet

-ssh (ssh는 클라이언트가 있어야 한다)

 

---

문제

192.168.241.100 : 라우터 관리자 그 외는 R2에 원격접근(telnet)이 불가능하게 ACL 설정하기  telnet 외 통신은 잘 이루어져야함

설정 해야 할 두가지 

1.라우터 원격 접근 가능하게 설정

2.해당 라우터에 extended ACL을 설정

 

 

 

1.원격접근 가능하게 설정하기

R2(config)#line vty 0 4    //4개까지 접근 가능하다 R2config-line)#password P@ssw0rd   //비밀번호 설정

 

PC0에서 원격접근은 됐지만 모드변경 X

 

 

 

해당 라우터에 가서 enable 비밀번호 설정

R2(config)#enable password cisco

원격을 할 때는 enable password가 있어야 한다 없으면 XXX
(콘솔에선 상관없지만 로컬에서는 필요)  

 

모드변경까지 완료 

 

원격 접근은 이제 됨 !!

 

 

 

2.해당 라우터에 extended ACL 설정 (192.168.241.100만 원격접근 가능) 

==> 200.200.200.242 telnet(TCP 23)에 192.168.241.100만 접근 

 

 

ACL 설정

R2(config)#access-list 103 permit tcp host 192.168.241.100 host 200.200.200.242 eq 23 //192.168.241.100만 200.200.200.242에 tcp:23으로 접근 허가   R2(config)#access-list 103 deny tcp any host 200.200.200.242 eq 23  //그 외에는 tcp:23으로 접근 거부 R2(config)#access-list 103 permit ip any any  //다른 통신은 모두 허가

 

 

인터페이스에 적용 

R2(config)#int f1/0  R2(config-if)#ip access-group 103 in  R2(config-if)#int f0/0  R2(config-if)#ip access-group 103 in

 

!!!!여기서 부족한 점!!!!

telnet이 200.200.200.242에서는 관리자만 가능하게 되었으나 

192.168.241.100부분으로는 누구든 원격접속이 가능하다 !!

 

 

리스트 목록 확인 

R2#sh ip access-lists 103  Extended IP access list 103      10 permit tcp host 192.168.241.100 host 200.200.200.242 eq telnet (73 match(es))      permit tcp host 192.168.241.100 host 192.168.242.254 eq telnet -- 추가해야함     20 deny tcp any host 200.200.200.242 eq telnet (36 match(es))      deny tcp any host 192.168.242.254 eq telnet                  -- 추가해야함     30 permit ip any any (12 match(es))

 

 

!!!!!!! 15번과 25번에 192.168.242.254 접근제어를 추가적으로 설정해준다 !!!!!!

 

ACL 편집 모드 

R2(config)#ip access-list extended 103 R2(config-ext-nacl)#15 permit tcp host 192.168.241.100 host 192.168.242.254 eq 23  R2(config-ext-nacl)#25 deny tcp any host 192.168.242.254 eq 23

 

 

추가 되었는 지 리스트 확인

R2(config-ext-nacl)#do sh ip access-list  Extended IP access list 103      10 permit tcp host 192.168.241.100 host 200.200.200.242 eq telnet (73 match(es))      15 permit tcp host 192.168.241.100 host 192.168.242.254 eq telnet      20 deny tcp any host 200.200.200.242 eq telnet (36 match(es))      25 deny tcp any host 192.168.242.254 eq telnet      30 permit ip any any (12 match(es))

 

 

ACL 목록 중 하나 삭제 (편집모드에서 삭제해야함)

R2(config-ext-nacl)#no 10

리스트 확인하면 10번이 지워진 것을 볼 수 있다.