ACL (access control list) 접근제어목록 2

이번에도 ACL에 대해서 알아보겠습니다

저번시간에는 Standard 방식의 ACL적용을 알아보았다면 

이번에는 Extended 방식의 ACL을 적용시키는 방법을 알아보겠습니다

간단한 토폴로지를 구성하였습니다

라우터와 PC는 네트워크대역이 같기 때문에 모든 구간에서 통신이 됩니다

이번에는 Extended 타입의 ACL을 지정하여 ping 통신은 되지만 

Telnet은 접속을 못하게 하는방법을 해보겠습니다

R1에서 telnet을 생성후 Extended ACL을 작성합니다

[혹시 telnet 생성을 못하시는분들은 참고하세요]

----------------------------------------------

R1(config)#line vty 0 4

R1(config-line)#no login

R1(config-line)#exit

R1(config)#enable password cisco

----------------------------------------------------

R1#conf t

R1(config)#ip access-list extended telnet

->R1(config)#ip access-list [standard or extended 타입 지정] [ACL 번호 또는 이름지정]

->>Extended 타입의 ACL을 생성하여 이름을 telnet으로 지정하였습니다

R1(config-ext-nacl)#deny tcp 10.10.10.1  0.0.0.0 10.10.10.10 0.0.0.0

->R1(config-ext-nacl)#[허용 or 거부] [옵션선택] [시작주소]

[시작주소의 와일드카드마스크] [목적지 주소]

->>10.10.10.1로 출발하는 주소가 목적지 10.10.10.10으로 도착하는 tcp를 거부

하는 ACL 정책을 만들었습니다 

->>>여기서 tcp를 거부한이유는 telnet이 tcp로 동작하기 

때문입니다 즉 PC1에서 R1으로 가는 tcp를 차단한겁니다

R1(config-ext-nacl)#permit ip any any

->R1(config-ext-nacl)#[허용 or 거부] [옵션] [출발지주소] [도착지주소]

->>모든 출발지 주소에서 모든 도착지 주소까지 가는 ip는 허용을 하였습니다

R1(config-ext-nacl)#int f0/1

R1(config-if)#ip access-group telnet in

->R1(config-if)#ip access-group [ACL 이름] [in or out 설정]

->> f0/1 포트에 방금 만든 ACL 정책을 설정을합니다

->>>ACL 만든다고 적용이되는것이 아니라 특정위치 또는 포트에 설정을 해야지 동작합니다

이렇게 만든후 PC에서 telnet으로 통신을 해봅니다

telnet이 되지않는것을 확인하였습니다 그후 ping 통신을 시도해봅니다

ping 통신은 되는것을 확인하였습니다

이런식으로 ACL 정책을 작성하게되면 특정 ip 특정 옵션등을 사용하여 

불필요한 패킷들을 관리하는것이 용이한 장점이 있습니다