[Packet Tracer] 확장 ACL

표준 ACL은 단순히 출발지 주소만을 가지고 패킷을 전달할 것인지 전달하지 않을 것인지 결정합니다.

 

 

예를 들어 PC1부터 PC2까지 텔넷 접속은 허락하지만 ping은 보낼 수 없도록 설정하고자 하면

 

표준 ACL을 가지고는 위와 같은 조건을 만족할 수 없습니다.

 

이러한 단점을 보완하고자 확장 ACL을 사용하는데,

 

확장 ACL은 출발지 주소뿐만이 아니라 목적지 주소 및 프로토콜까지 제어할 수 있습니다.

 

그럼 이제 실습을 해봅시다.

 

EX) PC1 부터 PC2 까지 ping을 보내지 못하게 설정해봅시다.

실습을 하기 전에 먼저 PC1에서 PC2로 ping이 가는지 테스트해봅시다.

 

가는 것을 확인했으면 이제 ACL을 적용시켜봅시다.

---

R1 Config

R1>
R1>en
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#access-list 100 deny icmp host 1.1.1.100 host 2.2.2.100 echo
R1(config)#access-list 100 permit ip any any 
R1(config)#int gigabitEthernet 0/0
R1(config-if)#ip access-group 100 in
R1(config-if)#

---

R1에서 설정을 다했다면 PC1에서 PC2로 ping을 보내봅시다.

 

위 사진처럼 이렇게 ping이 안 가는 것을 볼 수 있습니다.

 

다음 실습을 하기 전에 PC1 -> R0에 telnet이 가능하도록 ACL을 만들어보겠습니다.

---

R0 Config

R0>en
R0#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R0(config)#access-list 1 permit host 1.1.1.100
R0(config)#line vty 0 4
R0(config-line)#password cisco
R0(config-line)#login
R0(config-line)#access-class 1 in
R0(config-line)#exit

---

여기서 deny any를 따로 선언하지 않은 이유는

 

ACL이 permit으로 이루어진 경우에는 deny any를 따로 선언하지 않아도

 

암묵적으로 선언된 것으로 되어있기 때문입니다.

 

이렇게 ACL을 만들었다면 PC1에서 R0에 telnet 접속을 해봅시다.

 

telnet 테스트

password는 아까 cisco로 설정했기 때문에 cisco로 로그인하면 됩니다.

 

다음 실습을 해보도록 하겠습니다.

 

EX) PC1 > R0 으로 telnet은 접속은 안되고 ping을 보낼 수 있게 하세요.

저는 R1에서 ACL을 구성해보도록 하겠습니다.

---

R1 Config

R1(config)#no access-list 100
R1(config)#access-list 100 deny tcp host 1.1.1.100 host 10.10.10.5 eq telnet
R1(config)#access-list 100 deny tcp host 1.1.1.100 host 10.10.10.2 eq telnet
R1(config)#access-list 100 permit ip any any 
R1(config)#int s0/0/1
R1(config-if)#ip access-group 100 out
R1(config-if)#int s0/0/0
R1(config-if)#ip access-group 100 out
R1(config-if)#

---

R1에서 out 방식으로 ACL를 구성해봤습니다.

 

이제 한번 telnet & ping 테스트를 해보겠습니다.

 

telnet 테스트

이렇게 telnet은 안 되는 것을 볼 수 있습니다.

 

ping 테스트

이렇게 ping 테스트는 잘되는 것을 볼 수 있습니다.

 

오늘은 이렇게 확장 ACL에 대해 실습을 진행해봤습니다.