CCNA 16

 

1. Access-List  :

  

   Router를 경유하는 트래픽을 제어하는 방식으로 어떤 패킷을  어떤 방식으로 제어 할 것인지 정의한다.

장점    네트워크에 대한 보안 구현. 불필요한 트래픽을 차단.

단점    Packet 하나 하나를 점검 하기 때문에 라우터 성능이 저하될 수 있다.

2. Access-List 분류

Standard Access List : Packer의 Source Address 만을 확인 할 수 있다.

Extended Access List : Source Address / Destination Address 확인.

                   Protocol / Protocol Option

3. Access-List는 Packet을 허용 여부에 대한 선언 일뿐 Interface 에서 적용하지 않으면 아무 효과도 볼 수 없다.

   Access Group 이라는 명령어를 통해서 Interface에 적용 할 수 있다.

4. Access-List 가 사용하는 할 때는

Route Filtering , QoS , NAT , IP Packet filter , PBR

5. Standartd IP Access List(Route Filter, NAT)  

    - Standard Access-list 구문 :  Global Configuration Mode 에서 선언

      Access-list <list number> {permit | deny} source-address [wildcard-mask]

      Ex) Route#configure terminal

      Route(config)#access-list 1 deny 192.168.10.0 0.0.0.255

      Route(config)#access-list 1 permit any

      Route(config)#exit

 

    - 주의 할 점

      

       1. List Number : 1 -99, 1300 ~ 1999에 번호를 사용해서 생성.

       2. 주소 지정은 Wildcard mask 로 선언한다.

       3. Default 조건이 Deny 로 설정 되어 있다.

       4. 좁은 범위에 설정부터 선언한다.

       5. 설정시 수정이 불가능 함으로 편집기를 사용하여 정책을 세우고 검토 후 적용한다.

   

    - 설정 예제

      

       출발지가 192.168.1.0/24  주소를 거부하고 나머지는 모두 허용하는 List

            Router(config)#Access-list 10 deny 192.168.1.0 0.0.0.255

            Router(config)#Access-list 10 permit any

      

       출발지 주소가 1.1.1.1인 IP 와 10.10.10.0/24인 주소를 허용하고 나머지 모두 거부하는 list

            Router(config)#Access-list 20 permit host 1.1.1.1

            Router(config)#Access-list 20 permit 10.10.10.0 0.0.0.255

     - Access Group

       구문 형식 : Router(config-if)#ip access-group {access-list-number | name [in | out] }

            ex) Router#configure terminal

                 Router(config)#interface serial 0

                 Router(config-if)#ip access-group 1 in

                 Router(config-if)#end

 

 

6. Extended Access List : TCP/IP 프로토콜 Header 내용을 알 필요가 있다.

   

    Internet Layer

        ICMP-Type, code

        IGMP-Type

    Transport Layer

        TCP - Port , Flag

        UDP – Port

   - 구문 형식 : Router(config)# access-list access-list-number {permit | deny}

                    {protocol}

                    {source-address wildcard-mask}

                    {destination-address wildcard-mask}

                    {options}

  

   - 주의 사항

     

      1. 많은 항목을 제어 할 수 있기 때문에 보안 설정시 활용 할 수 있다.

      2. List Number : 100~199, 2000~2699 까지 사용.

      3. Cisco IOS Image에 security 기능이 있음

      4. List 항목에 매치되는 조건이 없는 경우 일시적으로 거부.

    - 설정 예제

      

       !--192.168.1.0/24 Network에서 Internet에 Web Server/FTP Server/Telnet에 접근을 허용하는 정책

       Router(config)#

       Router(config)#access-list 100 permit tcp any host 192.168.1.100 eq 80

       Router(config)#access-list 100 permit tcp any host 192.168.1.100 eq 21

       Router(config)#access-list 100 permit tcp any host 192.168.1.100 eq 20

       Router(config)#access-list 100 permit tcp any host 192.168.1.100 eq 23