라우터(Router) - ACL(액세스 리스트)

<액세스 리스트>

액세스 리스트는 접근을 하게 해줄까 말까를 미리 정해놓은 리스트이다. 어떤 녀석에게는 어디만 보여주고, 어떤 녀석에게는 어디만 쓰게 해야겠다하고 정해 놓은 표이다.

① 스탠더드 액세스 리스트 - 출발지 주소만 보고 전근 통제

ex) access-list 2 deny/permit IP주소 Wildmask

② 익스텐디드 액세스 리스트 - 모든 조건을 다 따져서 접근 통제

ex) access-list 101 deny/permit protocol S.IP주소 Wildmask D.IP주소 Wildmask eq 옵션

 

<액세스 리스트 조건>

① 액세스 리스트는 윗줄부터 하나씩 차례로 수행된다.

② 액세스 리스트의 맨 마지막 line에 "permit any"를 넣지 않을 경우는 디폴트로 어느 액세스 리스트와도 match되지 않은 나머지 모든 address는 deny된다.

(맨 마지막 줄에는 항상 모든 것을 막아버리는 deny all이 들어있다고 생각하자)

③ 액세스 리스트의 새로운 line은 항상 맨 마지막에 추가되므로 access-list line의 선택적 추가나 제거가 불가능하나

④ interface에 대한 액세스 리스트의 정의가 되어 있지 않은 경우 결과는 permit any가 된다.

 

<실습>

R2) 우측 라우터

1번 문제

access-list 1 deny host 172.16.1.2
access-list 1 permit any
interface s0/0에 ip access-group 1 out으로 설정

 

2번 문제

access-list 2 permit host 172.16.1.2

텔넷 문제이므로 line vty 0 4에서 access-class 2 in으로 설정

 

R1) 좌측 라우터

3번 문제

access-list 101 permit tcp host 172.16.1.3 host 172.16.2.2 eq 80
access-list 101 deny ip host 172.16.1.3 any
access-list 101 deny icmp 200.100.50.0 0.0.0.255 host 172.16.2.3
access-list 101 permit ip any any
int fa0/0

ip access-group 101 out