패킷트레이서 EXTENDED ACL

안녕하세요;)

지난 번에는 Static routing과 Standard ACL에 대해 설명드렸습니다.

이번 시간에는 조금 난이도가 높은 Extended Acl에 대해서 말씀드리겠습니다.

 

Extended Acl이란?

Standard Acl보다 더 높은 수준에 보안을 구성할 수 있다.

100번 이상 부터 Extended Acl이고, 패킷의 종류에 따라 차단을 할 수 있습니다.

 

문법=>

Access-List [acl number] [permit | deny] [protocol 종류] [출발지 네트워크] [출발지 네트워크의 서브넷 마스크]

[목적지 네트워크] [목적지 네트워크 서브넷 마스크]

정말 길죠.? Standard Acl과 차이점을 비교해서 보면 조금은 쉽습니다.

 

1.Extended ACL은 Protocol 종류가 있다.

정보기기 수준에서 보면 아마 핑이 안 가게 하거나 telnet은 안 되게 하세요 라는 문제가 나옵니다.

핑은 ip이고, telnet은 tcp로 명령어를 입력하시면 됩니다.

 

2.?를 잘 이용하라!

기본적인 말일 수도 있지만 만약에 쳤는데 오류가 뜬다. 그러면 명령어를 줄이면서 물음표를 칩니다.

% Unrecognized command이라는 명령어가 뜨면 라우터가 무슨 말인지 모른다는 것입니다.

만약에 오류가 발생하지 않는 범위에서 치신다면 무엇을 입력해야 하는지 알려줍니다.

만약 access-list 100 permit에서 ?를 입력하면 무슨 명령어를 쳐야하는지 나옵니다.

그거를 이용하면 시험을 볼 때 좀 더 쉽게 하실 수 있을 것 같습니다.

 

 

자 그러면 실습을 해보겠습니다.

pc0과 pc1은 서로 ping이 되지 않도록 acl100을 이용하여 설정하세요.

이렇게 나왔을 때 한 번 풀어보겠습니다.

(네트워크 토폴리지는 static routing과 동일합니다.)

바로 extended ACL의 설정을 해보겠습니다.

R2

Router(config)#ACcess-list 100 deny ip 192.168.20.2 0.0.0.0 192.168.10.2 0.0.0.0

Router(config)#access-list 100 permit ip any any
Router(config)#int se0/1/0

Router(config-if)#ip access-group 100 out

R2에서는 pc1이 출발지 주소이기 때문에 192.168.20.2로 출발지를 설정하고, 192.168.10.2만 막을것이기 때문에

0.0.0.0을 와일드 카드 마스크로 해줍니다.

 

그다음 permit ip any any는 나머지 네트워크는 모두 허용을 해준다는 의미입니다.

저번에 표준 acl에서도 설명했듯이 저걸 해주지 않으면 모든 패킷을 거부한다고 했습니다.

 

자 이렇게 하면 핑이 pc0에서 pc1은 가면 안 됩니다.

보시는 바와 같이 unreachable이라는 명령어를 보실 수 있습니다.

(아직 인터페이스에 in하고 out설정이 저도 어렵네요. 열심히 공부하겠습니다.)

도움이 되셨으면 좋겠습니다

이상으로 포스팅을 마치겠습니다!