ACL - 라우터에서 패킷을 포워딩하거나 필터링 하는 기능입니다.
차단을 한다 = 보안을 위해서 사용합니다.
라우터는 Application Layer 부분도 일부 볼 수 있습니다. 하지만 완벽하게 패킷을 차단할 수는 없습니다.
Firewall장비는 내부 네트워크와 외부 네트워크 사이에 두는 장비입니다.
ACL 종류
- Numbered - 숫자로 ACL을 나눕니다.
- Named - 이름으로 ACL을 나눕니다.
그리고 다시 2개로 나눕니다.
- Standard 1~99까지 번호를 사용합니다.
- Standard Access list -> source address 만 참조해서 filtering 여부를 결정
- Extended 100 ~ 199 까지 번호를 사용합니다.
- Extended Access list -> source address 외에도 destination address, protocol, port 번호 등 좀더 자세한 정보를 참조해서 Filtering 여부를 결정합니다.(4계층의 포트까지 봅니다.)
Standard ACL 상세히 보기
출반지 주소를 보고 허락할지 거부할지를 거부 합니다.
list를 가지고 있으니 패킷을 구분하는 룰을 여러개 가지고 있습니다.
99개의 거름망을 가지고 있다고 보면됩니다.
access-list를 만들 때 서브넷 마스크는 뒤집어저 있습니다.
Standard ACL의 문법 살펴보기
mask가 생략이 된다면 소스부분의 class에 따라 자동으로 생성될 것입니다.
예시를 보면
ex) R1(config)# access-list 1 deny 125.101.1.0 0.0.0.255
"125.101.1.0을 달고오는 패킷은 모두 deny해라" 라는 명령입니다.
"그 외의 패킷은 permit을 해라"
어떤 인터페이스에 적용할지를 설정해야 합니다.
인터페이스에 들어가서 in때 적용할지 out때 적용할지를 설정해야 합니다.
라우터의 입장으로 보면 패킷이 들어올 때도 있고 나갈 때도 있습니다.
- in이라면 들어오는 패킷을 검사하고
- out이라면 라우팅을 하기 위해 라우터로 들어온 패킷을 나갈 때 패킷을 검사할 것 입니다.
standarACL은 source주소를 보고 permit/deny를 판단합니다.
standard ACL은 항상 destination 라우터 쪽에 설정되어야 한다 .
중간 라우터에 설정하면 다른 라우터들까지 ACL 의 영향을 받아서 정상적으로 패킷 전송이 이루어지지 않을 수 있다
꼭 목적지에서 검사를 해야 합니다.
inbound, outbound에 대한 설명
inbound - 패킷이 라우터 내부로 들어올 때 filtering
outbound - 외부로 나갈때 filtering
ACL 규칙
- ACL은 위에서부터 순서대로 실행합니다.
명령어를 칠 때 좁은 범위 설정이 먼저되어야 합니다.
넓은 범위 설정을 하면 뒤에 명령어를 보지도 않고 실행합니다. - 마지막 명령어가 permit any가 없다면 deny any를 마지막에 써줍니다.
- numbered ACL은 중간에 변형이 불가능 합니다.
EXtened ACL 자세히
패킷을 보는 내용을 확장한 ACL 입니다.
100~ 199번까지 허용입니다.
ex)
R1( config )#access-list 101 deny ip 192.100.51.0 0.0.0.255 210.150.6.0 0.0.0.255
"101번 규칙은 ip가 (192.100.51.x)로 시작하고 목적지가 (210.150.6.x)인곳은 deny하라"
R2(config )#access-list 110 deny tcp 200.101.52.0 0.0.0.255 129.29.31.0 0.0.0.255 eq 80
"101번 규칙은 ip가 (200.101.52.x)로 시작하고 목적지가 (129.29.31.x)이고 포트가80인 곳은 deny하라"
extended ACL에서 사용하는 포트번호
Extended ACL 문법
Extended ACL 만들고나서 인터페이스에 적용하기
in에서 적용할지 out에서 적용할지 구분합니다.
Standard ACL은 목적지 라우터에서 작동이 되야 합니다.
하지만 이건 통상 source라우터에서 작동이 됩니다.(=인터넷으로 못나가게 하기 위함 입니다)
실습하기
여기에서 네트워크는 4개가 있습니다.
10.1.1.x 주소가 deny될 수 있도록 server0로 향하는 라우터의 인터페이스에 설정합니다.
'Computer Science > 네트워크' 카테고리의 다른 글
쿠키, 세션, 토큰, 캐시 (0) | 2022.08.23 |
---|---|
11. WAN 기술 (PPP, ISDN, Frame Relay) (0) | 2021.12.02 |
9. UDP 응용프로토콜(TFTP, DHCP) (0) | 2021.11.25 |
8. TCP 응용프로토콜(Telnet , FTP) (0) | 2021.11.25 |
스위칭 2 (0) | 2021.10.30 |