본문 바로가기
Network/시스코 보안 아카데미 1기

[시스코 보안 아카데미 1기] 교육 29일차 정리 (Access-List, Standard ACL, Extended ACL)

by netron 2024. 12. 17.

1. 표준 액세스 리스트 (Standard ACL)

표준 액세스 리스트는 소스 IP 주소만을 기반으로 트래픽을 필터링합니다.

표준 액세스 리스트 설정

  1. 표준 ACL 생성 및 규칙 추가 
    • Router(config)# access-list <ACL_NUMBER> <PERMIT|DENY> <SOURCE_IP> [WILDCARD_MASK]
​
       
      • <ACL_NUMBER>: 1부터 99까지의 번호 (표준 ACL).
      • <PERMIT|DENY>: 허용(permiss) 또는 차단(deny) 설정.
      • <SOURCE_IP>: 소스 IP 주소.
      • [WILDCARD_MASK]: 서브넷 마스크의 반대값 (옵션).
      예제:
    • 소스 IP가 192.168.1.0의 서브넷을 허용하는 ACL 10을 생성하고 적용하는 예제:
    • Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
  2. 인터페이스에 ACL 적용 
    • Router(config)# interface <INTERFACE_TYPE> <INTERFACE_NUMBER>
Router(config-if)# ip access-group <ACL_NUMBER> {in | out}
​
       
      • <INTERFACE_TYPE>: 인터페이스 타입 (예: GigabitEthernet, FastEthernet).
      • <INTERFACE_NUMBER>: 인터페이스 번호 (예: 0/1, 1/0).
      • <ACL_NUMBER>: 설정한 ACL 번호.
      • {in | out}: 들어오는 트래픽 또는 나가는 트래픽.
      예제:
    • 인터페이스 GigabitEthernet 0/1에 ACL 10을 적용하여 들어오는 트래픽을 필터링: 
      • Router(config)# interface GigabitEthernet 0/1
Router(config-if)# ip access-group 10 in

 

2. 확장 액세스 리스트 (Extended ACL)

확장 액세스 리스트는 소스 및 목적지 IP 주소, 프로토콜, 포트 번호 등 다양한 기준으로 트래픽을 필터링할 수 있습니다.

확장 ACL 설정

  1. 확장 ACL 생성 및 규칙 추가 
    • Router(config)# access-list <ACL_NUMBER> <PERMIT|DENY> <PROTOCOL> <SOURCE_IP> [WILDCARD_MASK] <DESTINATION_IP> [WILDCARD_MASK] [eq <PORT>]
​
       
      • <ACL_NUMBER>: 100부터 199까지의 번호 (확장 ACL).
      • <PROTOCOL>: 필터링할 프로토콜 (예: ip, tcp, udp).
      • <SOURCE_IP>: 소스 IP 주소.
      • [WILDCARD_MASK]: 소스 IP의 서브넷 마스크의 반대값.
      • <DESTINATION_IP>: 목적지 IP 주소.
      • [WILDCARD_MASK]: 목적지 IP의 서브넷 마스크의 반대값.
      • [eq <PORT>]: 포트 번호 (옵션, 특정 포트를 필터링할 때 사용).
      예제:
    • 소스 IP가 192.168.1.0에서 목적지 IP가 10.0.0.0으로 오는 TCP 트래픽을 허용하는 ACL 100을 생성하는 예제: 
      • Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255
    • 특정 포트(예: 80)를 필터링하는 ACL 예제: 
      • Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
  2. 인터페이스에 ACL 적용예제:
    • 인터페이스 GigabitEthernet 0/1에 ACL 100을 적용하여 나가는 트래픽을 필터링: 
      • Router(config)# interface GigabitEthernet 0/1
Router(config-if)# ip access-group 100 out

ACL 관련 명령어

  • ACL 목록 확인: 
    • Router# show access-lists
  • 인터페이스에 적용된 ACL 확인: 
    • Router# show ip interface <INTERFACE_TYPE> <INTERFACE_NUMBER>
  • ACL 삭제:
    • 표준 ACL 삭제: 
      • Router(config)# no access-list <ACL_NUMBER>
    • 확장 ACL 삭제: 
      • Router(config)# no access-list <ACL_NUMBER>

참고 사항

  • ACL 번호: 표준 ACL은 1-99, 확장 ACL은 100-199 범위를 사용합니다.
  • 서브넷 마스크와 와일드카드 마스크: 와일드카드 마스크는 서브넷 마스크의 반대값으로, 특정 IP 범위를 지정할 때 사용됩니다.
  • 순서: ACL 규칙은 설정된 순서대로 평가되며, 첫 번째로 일치하는 규칙이 적용됩니다.

이러한 명령어들을 사용하여 Cisco 장비에서 액세스 리스트를 구성하고 트래픽을 효과적으로 필터

 

 

'Network > 시스코 보안 아카데미 1기' 카테고리의 다른 글

[시스코 보안 아카데미 1기] 교육 31일차 정리 (NAT, Static NAT, Dynamic NAT, PAT)  (0) 2024.12.17
[시스코 보안 아카데미 1기] 교육 30일차 정리 (모니터링, SNMP, PRTG, Zabbix, Cacti, 3CDaemon, MRTG)  (0) 2024.12.17
[시스코 보안 아카데미 1기] 교육 27일차 정리 (Spanning Tree Protocol, STP)  (0) 2024.12.17
[시스코 보안 아카데미 1기] 교육 26일차 정리 (GLBP, 로드 밸런싱, VTP)  (0) 2024.12.17
[시스코 보안 아카데미 1기] 교육 23일차 정리 (제1 차 팀 프로젝트 중간발표, 인프라 설계 계획서)  (0) 2024.12.17

관련글

티스토리툴바