ACL (access control list) 접근제어목록

 

ACL은 access control list 의 약자이며 한글로는 접근제어목록 이라고도 한다

네트워크가 구분이 되어있는 구간에 대해서 사용이 가능하며 특정 포트 또는 구간에 대하여 

주소,포트번호,옵션,프로토콜등을 구분하여 허가하거나 거부하는 리스트를 생성하여

인터페이스에 적용하는 방법으로 일종의 방화벽 역할을 하기도 한다

ACL은 2가지 종류로 구성할수있으며

Standard 방식과 Extended 방식이 있다

Standard 방식은 출발지 주소만 확인하며 3계층 정보까지만 확인한다

또한 1~99번까지 이루어져있다

Extended 방식은 출발지&목적지 주소, 포트번호, 프로토콜,옵션등을 확인 하며 4계층 정보까지 확인하여 구성하게 할수있다 또한 99~199번까지 이루어져 있다

ACL의 특징으로는 ACL list 순서대로 적용이 되며 허용하는 리스트를 만들면 허용하는 

리스트 이외에 다른것이 거부되며 거부한 리스트만 있고 허용한리스트가없어도 

모든것이 거부된다

이런식으로 리스트가 구현된경우 리스트 순서상으로 10.10.10.10이 허용이 위에있고

거부가 밑에있기 때문에 deny 10.10.10.10은 적용이 되지않는다

적용방식에는 2가지가 있습니다

1.white list 기본적으로 모든주소를 거부하고 허용할것들을 지정하여 적용하는 방법이다

2.black list 기본적으로 모든주소를 허용하고 거부할것들을 지정하여 적용하는 방법이다

쉽게 생각하면 식당에서 모든손님이 들어오지만 블랙리스트들은 접근을 하지못하는것을

블랙리스트 적용방식이다 라고 생각하면 된다

--------------------------------------------------------------------------------------

가상의 토폴로지를 생성후 실습을 해보겠습니다

현재 토폴로지대로 구성을하게되면 모든 네트워크 구간이 같기 때문에 

내부망 구간에서 통신이 가능해야합니다 우선 토폴로지대로 정보를 입력해 봅시다

PC1 에서 R1 int f0/0까지 통신이 되는것을 확인할수있었습니다

이번에는 R1에서 Standard 방식의 ACL을 적용해서 PC1 에서 통신이 

안되게 막아보겠습니다

R1(config)#access-list 10 deny 10.10.10.100 0.0.0.0

->R1(config)#access-list(acl 번호지정)(허용or거부)(출발지ip 지정)(출발지 wildcard mask지정)

->> 즉 ACL 10번을 만들어서 10.10.10.100으로 시작하는 ip는 거부하는 ACL이다

R1(config)#int f0/1

->> ACL을 적용할 인터페이스로 들어갑니다 R1(config-if)#ip access-group 10 in

->R1(config-if)#ip access-group (ACL 번호) (IN or OUT설정)

->>int f0/1번 인터페이스에 ACL 10번을 들어오는 패킷에 지정하였습니다

그후 PC1에서 다시 통신을 해보면

이런식으로 통신이 되지않는것을 확인할수 있었습니다

다음번에는 Extened 방식의 ACL을 알아보겠습니다