오늘은 ACL에 대해 알아보겠습니다.
ACL은 Access Control List로 패킷 출입 통제 문장이라고 할 수 있습니다.
ACL을 이용하면 IP 주소를 기반으로 패킷의 전달 여부를 통제할 수 있을 뿐만 아니라 특정 프로토콜을 사용하는 패킷을
전달하지 않을 수 있는데 이러한 과정을 패킷 필터링이라고 합니다.
ACL을 사용하는 목적은 라우터에서 보안을 제공하는 것과 네트워크의 트래픽을 제어하고자 하는 목적도 있습니다.
이제 ACL의 종류에 대해 정리해보겠습니다.
| ACL 종류 | 설명 |
| 표준 ACL (1~99, 1300~1999) | 출발지 IP 주소만 참조하여 패킷을 필터링한다. |
| 확장 ACL (100~199, 2000~2699) | 출발지 및 목적지 IP 주소와 TCP,UDP, 포트 번호를 참조하여 패킷을 필터링한다. |
| Named 표준 ACL | 표준 ACL과 같으며, ACL 선언 시 번호가 아닌 사용자 설정 값을 사용한다. |
| Named 확장 ACL | 확장 ACL과 같으며, ACL 선언 시 번호가 아닌 사용자 설정 값을 사용한다. |
네트워크에서 트래픽은 2가지가 존재합니다.
위에 사진과 같이 라우터 기준으로 들어오는 트래픽 나가는 트래픽입니다.
따라서 ACL은 들어오는 트래픽 나가는 트래픽에 대한 ACL를 구성할 수 있습니다.
오늘 실습에 이용하는 토폴로지는 위와 같습니다.
먼저 ACL를 실습하기 전에 위와 같이 설정 후 Ping 테스트로 통신이 되는지 확인합니다.
이제 ACL 실습을 진행하겠습니다.
표준 ACL
표준 ACL은 단순히 출발지 IP 주소만을 판단하여 패킷 필터링을 합니다.
위에 토폴로지의 PC0이 PC2에게 통신을 못하도록 해보겠습니다.
R2 Config
R2>
R2>en
R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#ac
R2(config)#access-list 1
R2(config)#access-list 1 deny 3.3.3.100 0.0.0.0
R2(config)#access-list 1 permit any
R2(config)#int s0/0/1
R2(config-if)#ip access-group 1 in
R2(config-if)#exit
R2(config)#
R2#
이렇게 하면 PC0에서 PC2로가는 패킷은 차단이 됩니다. 하지만 한 가지 문제가 있습니다.
R2의 S0/0/1 포트를 Shutdown 시킨다면 OSPF로 라우팅이 되어있어 Se0/0/0 포트로 들어오게 됩니다.
S0/0/1 포트를 Shutdown 후 핑을 보내봅시다.
이렇게 우회해서 통신되기 때문에 S0/0/0 포트에도 위와 같이 적용시켜 S0/0/1처럼 차단시켜봅시다.
R2 Config
R2(config)#
R2(config)#int s0/0/0
R2(config-if)#ip access-group 1 in
R2(config-if)#exit
R2(config)#
이제 다시 ping을 보내봅시다.
이렇게 되면 3.3.3.100 IP를 가진 PC는 PC2에 통신하지 못하게 됩니다.
그럼 다음 실습을 위해 PC0 쪽에 스위치와 PC 한 대를 추가해봅시다.
이렇게 말이죠! PC3의 IP는 3.3.3.99/24로 구성했습니다.
한번 PC2에게 Ping을 보내보겠습니다.
위와 같이 당연하게 ping이 가는 것을 볼 수 있습니다. (3.3.3.100만 deny 하는 ACL를 적용했기 때문에..)
그럼 한번 다른 예를 실습해봅시다.
| EX) PC3과 PC0 에서 PC2로 가는 패킷을 차단하세요. |
생각해보면 방금 ACL 만든 것처럼 3.3.3.99 도 deny 하는 ACL를 만들면 됩니다.
하지만 한 번에 구성할 수 있는 방법도 있습니다. 바로 3.3.3.1/24 대역을 deny 하는 ACL를 구성하면 됩니다.
실습해보겠습니다. 먼저 있는 ACL를 제거 후 만들어봅시다. (ACL 삭제 명령어 :no access-list 1)
R2 Config
R2(config)#
R2(config)#access-list 1 deny 3.3.3.1 0.0.0.255
R2(config)#access-list 1 permit any
R2(config)#int s0/0/1
R2(config-if)#ip access-group 1 in
R2(config-if)#int s0/0/0
R2(config-if)#ip access-group 1 in
R2(config-if)#
위와 같이 구성이 되었다면 ping을 한번 보내봅시다.
당연히 둘 다 통신이 안되는 것을 볼 수 있습니다.
이렇게 3.3.3.1/24 대역을 다 막고 싶다면 access-list를 구성할 때 'access-list 1 deny 3.3.3.1 0.0.0.255'로 만들게 되면
3.3.3.1 ~ 255 IP대역이 PC2에 통신하지 못하게 됩니다.
오늘은 이렇게 표준 ACL에 대해 알아보았습니다. 다음에는 확장 ACL를 실습해보겠습니다.
'Network > 패킷트레이서' 카테고리의 다른 글
| [Packet Tracer] ACL Remark (0) | 2021.02.08 |
|---|---|
| [Packet Tracer] 확장 ACL (0) | 2021.02.03 |
| [Packet Tracer] HSRP (0) | 2020.10.07 |
| [Packet Tracer] Split-Horizon (0) | 2020.09.09 |
| [Packet Tracer] Frame Relay (0) | 2020.09.07 |