[ACL] Standard 와 extended
Standard ACL
ACL Number 1~99, 1300~1999 사용
필수조건 -> source IP
PC0(192.168.241.100)만 거부하는 Acess-list 정책 생성하여 적용하기 실습
192.168.241.100만 거부하고 192.168.241.110은 통과되어야 한다.
[standard ACL: source IP 주소로만 permit/deny 한다]
적용된 ACL 목록 확인 명령어
R1#sh ip access-lists |
Access List 생성
R1(config)#access-list 1 deny 192.168.241.100 R1(config)#do sh ip access-list Standard IP access list 1 10 deny host 192.168.241.100 |
인터페이스에 ACL 적용(=생성한 ACL을 이용할 위치(interface)에 적용)
R1(config)#int f0/0 R1(config-if)#ip access-group 1 in //inbound에 적용 |
PC0과 Laptop0 --> 200.200.200.242로 통신 체크
==> 이유 : 보이진 않지만 ALL Deny가 적용되어 있기 때문이다 !
(192.168.241.110은 별다른 언급이 없다 => ACL정책중 해당 사항이 없어서 ALL Deny에 해당)
Standard IP access list 1 10 deny host 192.168.241.100 All deny (보이지 않지만 적용되어있음) |
192.168.241.100만 거부하고 192.168.241.110은 통과되어야 한다. ( == 192.168.241.100을 제외한 나머지는 모두 허가)
R1(config)#access-list 1 permit any R1#sh ip access-lists Standard IP access list 1 10 deny host 192.168.241.100 20 permit any |
인터페이스에 적용한 ACL 제거
R1(config)#int f0/0 R1config-if)#no ip access-group 1 in |
Extended ACL
ACL Number 100~199, 2000~2699 사용
필수 조건 -> protocol, Source IP, Destination IP
Access-List를 사용할 때 WildCard Mask 사용 이유 : 범위 지정 시 유연
Router(config)#
access-list <acl number> <permit|deny> <protocol> <source IP> [wildcard mask] [source port] <destination IP> [wildcard mask] [destination port] [option]
192.168.241.0/24 네트워크에서 192.168.241.110만 웹서버(http, 80)에 접근하는 것을 허가하는 실습
(192.168.241.110(src) -> 192.168.242.110(dst) 으로 설정)
R1 intferface f0/0 에 적용되어 있는 게 없는지 확인
R1#sh ip int f0/0 |
ACL 생성
R1(config)#access-list 101 permit tcp host 192.168.241.110 host 192.168.242.110 eq 80 protocol src dst dstport |
host가 붙는 이유 :
특정 키워드를 이용해 범위 지정 가능
모든 IP(0.0.0.0 255.255.255.255) = any
특정 IP 하나(10.10.10.1 0.0.0.0) = host 10.10.10.1 )R1(config)#int f0/0
인터페이스에 적용
R1(config)#int f0/0 R1(config-if)#ip access-group 101 in |
sh ip access-list로 확인
R1#sh ip access-lists Extended IP access list 101 10 permit tcp host 192.168.241.110 host 192.168.242.110 eq www (밑에 deny any any any any가 암묵적으로 적용되어 있음) |
인터페이스에 적용한 ACL 제거
R1(config)#int f0/0 R1(config-if)#no ip access-group 101 in |
192.168.241.0 네트워크 전체를 http 접속 거부하고 나머지는 허용하는 실습
(R2에서 설정)
ACL 생성
R2(config)#access-list 102 deny tcp 192.168.241.0 0.0.0.255 host 192.168.242.110 eq 80 //ACL에서 네트워크를 표시할 때 WildCardMask로 표시 R2(config)#access-list 102 permit ip any any //나머지는 모두 허용 |
ACL 목록 확인
R2#sh ip access-lists Extended IP access list 102 10 deny tcp 192.168.241.0 0.0.0.255 host 192.168.242.110 eq www 20 permit ip any any |
인터페이스에 적용
R2(config)#int f1/0 R2(config-if)#ip access-group 102 in |