CCNA - ACL

TAM K
|2024. 9. 15. 23:53

A. ACL

1. 개요

출발지 아이피, 목적지 아이피, 포트번호와 같은 라우터를 통과할 패킷의 특성을 기반으로하여 트래픽을 식별한다.

 

라우터 또는 스위치는 ACL 결과를 토대로 조치를 취하게 된다. ACL은 라우터와 스위치 모두 지원한다. (이 강의에서는 라우터란 뜻이 라우터와 스위치 모두를 뜻한다.)

 

ACL은 본래 트래픽이 라우터를 통과하는 것이 허용되는지의 여부를 결정하는데 도움을 주는 보안용도로 사용한다. 오늘날엔 트래픽의 식별이 필요한 다른 많은 소프트웨어 정책에서도 사용된다.

 

ACL은 일련의 차단 또는 허용의 액세스제어 항목인 ACE로 구성된다. 각 ACE는 ACL을 구성하는 별도의 라인으로 작성된다.

 

2. ACE 구조

access list NO. Action Protocol IP Wildcard Qual Port IP Wildcard Qual Port

 

예시

 

 

Action = Permit 또는 Deny

 

Protocol = TCP, UDP, ICMP, IP 등등

IP 프로토콜을 입력하게되면 TCP/UDP 구분없이 소스,타겟의 주소로만 트래픽을 제어한다.

 

Source & Destination : IP wildcard Qual Port 심화

 

Source와 Destination의 IP, Wildcard는 아래와 같이 쓸수도 있다.

 

첫번째로, 위의 예시처럼 십진법의 수를 X.X.X.X로 표기하는 방법이다. 두번째는, any 0.0.0.0 255.255.255.255를 생략하여 표기하는 방법이다. 마지막으로 host X.X.X.X로 표기하여 와일드카드 0.0.0.0를 생략하는 방식이다. 예를들어 10.10.10.10 0.0.0.0을 host 10.10.10.10으로 생략할수있다.

 

Source와 Destination의 Qual, Port는 선택값이며 생략이 가능하다. 기본값으로 포트 Any로 지정되어있다. 다만, 목적지 포트는 특정하여 지정하는게 좋다.

 

Window7 이상에서는 트래픽을 보낼때 49151보다 높은값을 출발지 포트로 사용한다. XP에서는 1024보다 높은값.

 

 

3. 표준, 확장 및 이름지정 ACL

 

Access-list의 숫자들

<1 - 99> = IP Standard List

<100 - 199> = IP Extended List

<1300 - 1999> = IP Standard List (Expanded range, Cisco 범위 개선)

<2000 - 2699> = IP Extende List (Expanded range, Cisco 범위 개선)

 

초기 ACL은 표준 및 확장 ACL만 있었다. (이름지정 ACL은 나중에 생김) 표준 ACL은 출발지 주소만 참조하여 동작한다. 따라서 라우터와 스위치도 출발지 주소만 참조한다. 표준 ACL의 기본값 와일드카드는 0.0.0.0 이다.

 

확장 ACL은 출발지 주소뿐만 아니라 목적지주소, 프로토콜, 포트번호 역시 확인한다. 확장 ACL은 와일드카드 기본값이 없다.

 

Named ACL (이름지정 ACL)

번호나 이름을 ACL 참조가 가능하며 이름지정 ACL은 명령어 시작이 ip access-list로 시작한다. (표준, 확장은 access-list로 시작)

 

ip access-list "standard or extended" "ACL 번호"

상기명령어 입력시 허용,차단 목록을 구성하는 하위 명령어로 자동진입된다. 각 모드에 맞춰 명령어를 입력하면 된다. 참고로 요즘은 표준,확장 ACL보다 구문이 깔끔한 이름지정 ACL을 많이 사용한다.

 

검증명령어로는 show access-list "ACL번호" 이다.

 

4. ACL 적용

이전에 설명한 내용들은 ACL 목록리스트를 만든것이고 이를 따로 Access-group 명령어로 인터페이스 수준에서 실행하여 적용해야한다.

 

ACL은 Inbound 또는 Outbound 방향으로 적용가능하며 한 인터페이스당 한 방향당 최대 1개의 ACL를 가질 수 있다.

 

아래의 명령어로 Access group을 적용할수 있다.

interface "interface name"

ip access-group "ACL숫자" "out,in"

 

 

아래의 명령어로 Access group을 검증할수 있다.

show ip interface "interface name" | include access list

 

show running-config

 

만약 검증 명령어 입력시 not set 이라뜨면 세팅된 값이 없단 뜻이다. 예를들어 outgoing access-list not set 과 같이 뜨면 밖으로 나가는 부분에 ACL 리스트 세팅된 값이 없단 뜻이다.

 

 

5.  ACE Order

ACL 리스트는 위에서 아래로 순차적으로 적용된다.

 

RTR은 ACE에 대해 자동으로 번호를 부여하며 이는 10단위로 증가한다. 물론 수동으로 부여도 가능한데 이름지정 ACL에서만 가능하다.

 

예를들어 이름지정ACL 확장모드의 하위명령어로 진입시

 

ACE번호 NO. Action Protocol IP Wildcard Qual Port IP Wildcard Qual Port

 

ACL은 기본적으로 마지막 줄에 Deny all 룰이 있다.

 

Router 자체에서 오는 트래픽에는 ACL이 적용되지 않는다.

 

인터페이스에서 ACL 적용을 삭제하여도 ACL 목록자체는 남아있다. 그러나 적용이 되지 않은 상태라 큰문제는 없다.

 

'Network > CCNA' 카테고리의 다른 글

IOS 기초 CLI 메모  (0) 2024.11.13
CCNA - NAT  (1) 2024.09.16
CCNA - 스위치 보안  (0) 2024.09.14
CCNA - Etherchannel  (0) 2024.09.13
CCNA - STP  (0) 2024.09.12