ACL

ACL

ACL(Access-Control List)

이름이나 번호를 이용해서 정책을 설정하고, 설정된 정책에 의해 트래픽을 분류하거나 필터링 할 수 있는 기술이다. 패킷의 어느 부분을 확인해 필터링하느냐에 따라서 Standard/Extended로 구분한다.

Standard

패킷의 출발지 IP 주소만을 확인하고 그 외에 부분은 확인하지 않는다.

example

Standard: 출발지 IP(Source) 만 확인한다.

• access-list 1 permit 192.168.101.0 0.0.0.255 : 와일드 카드로 설정 ( 설명 : https://gmldbd94.tistory.com/107)

Extended

• Extended : 출발지 IP(Source), 도착지 IP(Destination) , SRC PORT , DST port...(L3, L4)
  • access-list 11 permit ip any bost 1.1.1.1 :
    • 출발IP 가 누구든 1.1.1.1로 가능 패킷은 허용하겠다.
  • access-list 111 permit tcp any host 2.2.2.2 eq 80 :
    • tcp : 패킷의 ip를 포함하여 TCP 포트까지 확인!
    • any : 출발지의 IP
    • host 2.2.2.2 : 목적지의 IP
    • eq 80 : 목적지의 포트번호
  • access-list 111 deny icmp any host 2.2.2.2 echo
    • 출발IP가 누구든 2.2.2.2로 오는 icmp echo는 차단하겠다.

ACL Rules

1. top-down 방식
   • ex. 모든 트래픽 차단하라. 단, 2.2.2.2는 허용한다.
     • access-list 1 deny any
     • access-list 1 permit host 2.2.2.2
2. ACL의 가장 아래에는 "나머지는 모두 차단된다"가 생략되어 있다.
3. 작성된 ACL은 인터페이스, NAT 등에 적용해 주어야 활성화 된다.

ACL 시간 제한 설정

time-range PERWEB
periodic weekdays 09:00 to 18:00
access-list 199 per tcp any host 10.10.10.10 eq 80 time-range PERWEB

라우터 시간 설정하기

 clock set 16:49:00 30 MAY 2020

fa0/1.20 에는 일반 pc들이 위치하고 있으며 주소는 192.156.102.0/24

• 인터넷으로의 웹 접속(http, https)은 모두 가능하다. 단, 그외의 접속은 불가하다.
• 192.168.101.111 로의 접속은 오직 192.168.102.111만 가능하다. 나머지는 모두 차단된다.
• 단, 192.168.102.111 역시 192.168.101.111로 접속시 웹 접속만을 허용해야 한다.

그외 모든 접속은 차단한다.