A. ACL
1. ACL 개요
출발지 아이피, 목적지 아이피, 포트번호와 같은 라우터를 통과할 패킷의 특성을 기반으로 하여 트래픽을 식별한다.
라우터 또는 스위치는 ACL 결과를 토대로 조치를 취하게 된다. ACL은 라우터와 스위치 모두 지원한다. (이 강의에서는 라우터란 뜻이 라우터와 스위치 모두를 뜻한다.)
ACL은 본래 트래픽이 라우터를 통과하는 것이 허용되는지의 여부를 결정하는데 도움을 주는 보안용도로 사용한다. 오늘날엔 트래픽의 식별이 필요한 다른 많은 소프트웨어 정책에서도 사용된다.
ACL은 일련의 차단 또는 허용의 액세스제어 항목인 ACE로 구성된다. 각 ACE는 ACL을 구성하는 별도의 라인으로 작성된다.
2. ACL 구조
access list NO. Action Protocol IP Wildcard Qual Port IP Wildcard Qual Port
예시
Action = Permit 또는 Deny
Protocol = TCP, UDP, ICMP, IP 등등
IP 프로토콜을 입력하게되면 TCP/UDP 구분 없이 소스, 타깃의 주소로만 트래픽을 제어한다.
Source & Destination : IP wildcard Qual Port 심화
Source와 Destination의 IP, Wildcard는 아래와 같이 쓸 수도 있다.
첫 번째로, 위의 예시처럼 십진법의 수를 X.X.X.X로 표기하는 방법이다. 두 번째는, any로 0.0.0.0 255.255.255.255를 생략하여 표기하는 방법이다. 마지막으로 host X.X.X.X로 표기하여 와일드카드 0.0.0.0를 생략하는 방식이다. 예를 들어 10.10.10.10 0.0.0.0을 host 10.10.10.10으로 생략할 수 있다.
Source와 Destination의 Qual, Port는 선택값이며 생략이 가능하다. 기본값으로 포트 Any로 지정되어 있다. 다만, 목적지 포트는 특정하여 지정하는 게 좋다.
Window7 이상에서는 트래픽을 보낼 때 49151보다 높은 값을 출발지 포트로 사용한다. XP에서는 1024보다 높은 값.
3. 표준, 확장 및 이름지정 ACL
Access-list의 숫자들
<1 - 99> = IP Standard List
<100 - 199> = IP Extended List
<1300 - 1999> = IP Standard List (Expanded range, Cisco 범위 개선)
<2000 - 2699> = IP Extende List (Expanded range, Cisco 범위 개선)
초기 ACL은 표준 및 확장 ACL만 있었다. (이름지정 ACL은 나중에 생김) 표준 ACL은 출발지 주소만 참조하여 동작한다. 따라서 라우터와 스위치도 출발지 주소만 참조한다. 표준 ACL의 기본값 와일드카드는 0.0.0.0이다.
확장 ACL은 출발지 주소뿐만 아니라 목적지주소, 프로토콜, 포트번호 역시 확인한다. 확장 ACL은 와일드카드 기본값이 없다.
Named ACL (이름지정 ACL)
번호나 이름을 ACL 참조가 가능하며 이름지정 ACL은 명령어 시작이 ip access-list로 시작한다. (표준, 확장은 access-list로 시작)
ip access-list "standard or extended" "ACL 번호"
상기명령어 입력 시 허용, 차단 목록을 구성하는 하위 명령어로 자동진입된다. 각 모드에 맞춰 명령어를 입력하면 된다. 참고로 요즘은 표준, 확장 ACL보다 구문이 깔끔한 이름지정 ACL을 많이 사용한다.
검증명령어로는 show access-list "ACL번호"이다.
4. ACL 적용
이전에 설명한 내용들은 ACL 목록리스트를 만든 것이고 이를 따로 Access-group 명령어로 인터페이스 수준에서 실행하여 적용해야 한다.
ACL은 Inbound 또는 Outbound 방향으로 적용가능하며 한 인터페이스당 한 방향당 최대 1개의 ACL를 가질 수 있다.
아래의 명령어로 Access group을 적용할 수 있다.
interface "interface name"
ip access-group "ACL숫자" "out, in"
아래의 명령어로 Access group을 검증할 수 있다.
show ip interface "interface name" | include access list
show running-config
만약 검증 명령어 입력 시 not set이라 뜨면 세팅된 값이 없단 뜻이다. 예를 들어 outgoing access-list not set과 같이 뜨면 밖으로 나가는 부분에 ACL 리스트 세팅된 값이 없단 뜻이다.
5. ACL Order
ACL 리스트는 위에서 아래로 순차적으로 적용된다.
RTR은 ACE에 대해 자동으로 번호를 부여하며 이는 10 단위로 증가한다. 물론 수동으로 부여도 가능한데 이름지정 ACL에서만 가능하다.
예를 들어 이름지정 ACL 확장모드의 하위명령어로 진입 시
ACE번호 NO. Action Protocol IP Wildcard Qual Port IP Wildcard Qual Port
ACL은 기본적으로 마지막 줄에 Deny all 룰이 있다.
Router 자체에서 오는 트래픽에는 ACL이 적용되지 않는다.
인터페이스에서 ACL 적용을 삭제하여도 ACL 목록자체는 남아있다. 그러나 적용이 되지 않은 상태라 큰 문제는 없다.
[CCNA] Etherchannel(이더채널) - 개념, 구성, LACP, PAgP, Static Etherchannel, vPC, VSS
[CCNA] Etherchannel(이더채널) - 개념, 구성, LACP, PAgP, Static Etherchannel, vPC, VSS
A. Etherchannel 개념1. 들어가기 앞서... 종단 호스트는 항상 네트워크 트래픽을 보내지 않는다.이는 하위층에서 상위층의 업링크가 호스트 수만큼 필요하지 않다는 의미이다. 실제로 엑세스 계
infoofit.tistory.com
[CCNA] DHCP - 개념 및 구성 방법
A. Dynamic Host Configuration Protocol1. 개 요 호스트에 IP, SM, GW 등 구성정보를 자동으로 할당해 준다. 2. 이 점관리 측면에서 편하고 간단하다.실수를 방지해 준다. 3. 구성 방법 1) Cisco Router를 DHCP 서
infoofit.tistory.com
[CCNA] Cisco IOS - 실행모드, 구성 관리, 백업
[CCNA] Cisco IOS - 실행모드, 구성 관리, 백업
A. Cisco 제품군의 역사시스코 사는 라우터 회사로 시작했다. 1993년 크레센도사를 인수 Catalyst Switch를 판매하기 시작하였다. 원래 카탈리스트 스위치는 Cat OS를 사용하였지만 시스코사에 인수된 이
infoofit.tistory.com