12.ACL(Access Control list) - standard

ACL 

-> Router interface에 설정한다. 접근 제어 목록 , 방화벽 ,필터링

 

standard Access List => 출입 통제시 출발지 주소만을 참고 1~99

Extended Access List => 출발지, 목적지 프로토콜, 사용 포트 번호참고 100~199

 

▣ Standard ACL :1~99, 출발지 IP만 검사가능

조건 
access-list [1-99] [permit/deny] [출발지 IP] [Wildcard Mask]

적용
int [지정할 인터페이스 포트이름]
ip access-group [1-99] [in/out]
==> in/out은 지정하는 라우터의 기준으로 설정해준다. 

▣ Wildcard Mask : 조건을 주기 위한 Mask

조건 검사 ==> 1 은 조건검사 하지않는다 / 0 은 조건검사 한다.

192.168.10.1 0.0.0.255 => 192.168.10.x 0인 자리는 모두 검사하겠다.

192.168.10.1 0.0.255.255 = > 192.168.x.x

192.168.10.1 0.255.255.255 => 192.x.x.x

192.168.10. 0.255.0.255 => 192.x.10.x

• 192.168.10.1 0.0.0.0 => 192.168.10.1
  = host 192.168.10.1
  => 192.168.10.1 (특정주소인 경우 host를 사용하여 검사할 수 있다.)
• 192.168.10.1 255.255.255.255 => x.x.x.x
  = 0.0.0.0 255.255.255.255 => x.x.x.x
  = any=> x.x.x.x (모든 주소를 의미할 때 0.0.0.0 또는 any라고 사용한다)

 

<acl에는 순서가 중요하다 >

조건은 위에서 아래로 적용한다.

<유형1> 거부목록 -> 나머지 전부 허용

<유형2> 허용목록 -> 나머지 전부 거부

1.access-list 10 permit 192.168.10.1 0.0.0.0

2.access-list 10 deny 192.168.10.0 0.0.0.255

3.access-list 10 permit host 192.168.10.2

access-list 10 deny 0.0.0.0 255.255.255.255 ( 묵시적 거부) - > 적지않아도 상시 적용된다. 

interface s1/0

ip addcess-group 10 out

1에서 통과

위의 조건에서 아래의 출발지에서 들어가게 된다면

예) 출발지 = 192.168.10.1 → 1번으로 허가되어 통과

예) 출발지 = 192.168.10.2 → 3번에서 허가되어 통과된다.

순서를 바꾸면

1.access-list 10 permit 192.168.10.1 0.0.0.0

2.access-list 10 permit host 192.168.10.2

3.access-list 10 deny 192.168.10.0 0.0.0.255

access-list 10 deny 0.0.0.0 255.255.255.255(묵시적 거부)

2번에서 통과

허가의 조건을 잡을때 위쪽으로 좁은 범위를 먼저 잡아서 걸러지는 것이 많이 없도록 만들어주는것이 좋다.

※만약 조건에 안 맞는 것을 허용하고 싶다면

accesslist 10 permit 0.0.0.0 255.255.255.255을 적어주면 된다.

 

<확인하는 명령어>

show access-list, show ip access-list  = >엑세스된 리스트를 보여준다

show ip interface e0/0 = > 인터페이스에 엑세스리스트 설정 확인

 

 

 

■ ACL은 인터페이스 별(e0/0,e0/1,s1/1), 방향 별(IN/OUT), 프로토콜 별(ip,ipx,등)로 설정 가능함
■ ACL은 위에서 아래로 조건이 맞을 때 까지 검사함 -> 조건에 맞으면 더 이상 아래로 조건 검사x
■ 라우터를 경유하는 패킷만 ACL로 필터링 할 수 있음

<Numbered ACL명령어>

access-list [number] [permit/deny] [ip] [ wildcard mask]

Router(config)#access-list 20 permit host 192.168.10.1
Router(config)#access-list 20 permit 1.1.12.0 0.0.0.255
Router(config)#access-list 30 deny 1.1.12.0 0.0.0.255
Router(config)#access-list 30 deny host 192.168.10.1
Router(config)#access-list 30 permit any
Router(config)#access-list 20 permit 1.1.12.0 0.0.0.255
Router(config)#access-list 20 permit host 192.168.10.1

<Named ACL 명령어>

조건
(config)#ip access-list standard [name] 
(config-std-nacl)# [ permit/deny] [ip] [ wildcard mask] 
적용 
(config)#int [interface이름]
(config-if)# ip access-group [name] [in/out]

Router(config)#ip access-list standard cisco1
Router(config-std-nacl)#deny host 192.168.10.1
Router(config-std-nacl)#deny 1.1.12.0 0.0.0.255
Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit

Router(config)#ip access-list standard cisco2
Router(config-std-nacl)#permit 1.1.12.0 0.0.0.255
Router(config-std-nacl)#permit host 192.168.10.1
Router(config-std-nacl)#exit

Router(config)#int e0/0
Router(config-if)#ip access-group cisco2 out
Router(config-if)#exit

Router(config)#int e0/1
Router(config-if)#ip access-group cisco1 out
Router(config-if)#exit

 

Router#show access-list

Standard IP access list cisco1

10 deny 192.168.10.1 (2 matches)

20 deny 1.1.12.0, wildcard bits 0.0.0.255 (8 matches)

30 permit any (3 matches)

Standard IP access list cisco2

20 permit 192.168.10.1 (3 matches)

10 permit 1.1.12.0, wildcard bits 0.0.0.255 (10 matches)

 

10,20,30번은 순서번호로 자동으로 찍혀진다.

 

 

named는 리스트 선택해서 부분 추가 삭제가 가능하다. (번호가 존재 )

Router(config)#ip access-list standard cisco1

Router(config-std-nacl)#15 deny 1.1.23.0 0.0.0.255

Router(config-std-nacl)#exit

Router#show access-lists

Standard IP access list cisco1

10 deny 192.168.10.1 (2 matches)

15 deny 1.1.23.0, wildcard bits 0.0.0.255  => 추가됨

20 deny 1.1.12.0, wildcard bits 0.0.0.255 (8 matches)

30 permit any (3 matches)

Standard IP access list cisco2

20 permit 192.168.10.1 (3 matches)

10 permit 1.1.12.0, wildcard bits 0.0.0.255 (10 matches)

 

 

 

2022.12.23 - [Network] - 12.ACL(Access Control list) - standard

2022.12.23 - [Network] - 13.ACL-Extended