[CISCO Network R&S] CCNA 8장 ACL

안녕하세요 뿅뿅뽁입니다.

이번 장에서 해볼 내용은 ACL 입니다. ACL은 Access Control List의 약자로 네트워크에서 전송되는 트래픽을 제어하는 역할을 합니다. 이렇게 트래픽을 제어하는 것은 보안적인 관점에서 중요한 이슈이고 ACL은 트래픽 필터링과 방화벽 구축하는데 가장 중요한 요소입니다.

보안은 강력한 하나의 방법만 쓰는 것이 아니라 여러 가지 방법을 사용하여 최대한 모든 가능성을 막는 것입니다. 그러므로 네트워크 전문 보안 장비가 아니더라도 라우터 또는 스위치 상에서 할 수 있는 것들은 해야합니다.

CCNA 시험에서도 시뮬레이션 단골 문제로 출제되므로 꼭 할줄 아셔야 합니다.

ACL 메카니즘은 다음과 같습니다.

1. 라우터로 패킷이 입력되면 ACL 항목을 순차적으로 검사한다.

2. 패킷 정보와 일치하는 항목이 있다면 해당 패킷을 인터페이스로 출력하는 것을 허용/차단하는 동작을 실시하고 그 다음 ACL 항목에 대해서는 검사를 실시하지 않는다.

3. 패킷 정보와 일치하는 ACL 정보가 없다면 그 패킷에 대한 ACL은 실시하지 않는다.

예를 들어 보겠습니다.

ACL 항목

1. A는 허용

2. B는 허용

3. C는 차단

4. 모든 패킷을 차단

이러면 A, B패킷은 라우터로 들어오면 1, 2과 일치하므로 통과합니다. 그러나 C는 3과 일치하므로 차단되고 D, E, F는 4과 일치하므로 차단됩니다. 만약 4번이 없다면 D, E, F ACL을 실시하지 않게 됩니다.

ACL을 작성하셨다면 인바운드, 아웃바운드 규칙인지를 인터페이스에 명시해주어야 합니다. 윈도우 방화벽이랑 방식이 같다고 생각하시면 됩니다. 또한 서브넷마스크를 사용하지 않고 와일드카드 마스크를 사용합니다.

그럼 시뮬레이션을 돌려 보겠습니다.

첨부하신 파일로 해보시기 바랍니다. 설정은 OSPF로 하였습니다.

이 상태에서 ACL을 R2에서 해보겠습니다. 저는 R1에서 들어오는 패킷은 차단, R3에서 들어오는 패킷은 허용하고 나머지는 모두 차단하겠습니다.

R2(config)#access-list 10 deny 13.13.12.0 0.0.0.255

R2(config)#access-list 10 permit 13.13.23.0 0.0.0.255

R2(config)#access-list 10 deny any

ACL이 잘 됐나 확인해겠습니다. show ip access-lists.

R2#show ip access-lists

Standard IP access list 10

10 deny 13.13.12.0 0.0.0.255

20 permit 13.13.23.0 0.0.0.255

30 deny any

잘 들어갔습니다.  이제 인터페이스를 정해주어야 하는데 정해주는건 생각하신 다음 자유롭게 하셔도 됩니다. 저는 13.13.23.2 즉 se0/3/1에서 아웃바운드 규칙으로 지정해주겠습니다. 그러면 10 deny 13.13.12.0 은 se0/3/1로 패킷이 못나가고 20 permit 13.13.23.0 은 se0/3/1로 나갈수있게 됩니다. 인바운드는 패킷이 들어오는 것이라 생각하시면 됩니다.

R2(config-if)#ip access-group 10 out

이제 모든 설정은 끝났습니다. R1에서 13.13.23.3으로 패킷을 보내보겠습니다.

R1#ping 13.13.30.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 13.13.30.2, timeout is 2 seconds:

UUUUU

Success rate is 0 percent (0/5)

패킷이 잘 막혔습니다.

여기서 처음 설정할 때 deny any를 하고 뒤에다가 permit 13.13.12.0 0.0.0.255를 하게 되도 패킷은 막히게 됩니다. 왜냐하면 30 다음 설정은 40이기 때문에 10과 40이 동일한 설정이라 해도 우선순위에서 밀리기 때문에 10번을 먼저 검사하고 일치하다면 다른 번호는 검사를 안합니다. 그래서 순차적인걸 감안하셔서 설정을 하셔야합니다. 사실상 any 뒤에 설정은 의미가 없습니다.

제가 이번 장에서는 access-group을 10으로 했지만 ACL의 기능에 따라 부여할 수 있는 그룹 번호가 한정되어 있습니다. 이것은 Security에서 자세히 배우게 되실 것이고 R&S에서는 일반 ACL은 1~99, 확장 ACL은 100~199라 보시면 됩니다. 외우기 힘드시면 그냥 100을 쓰시면 됩니다.

ACL의 기능은 윈도우 방화벽에서도 사용 가능하시니 다방면으로 유용하게 사용하실 것으로 생각됩니다.

ACL 기본설정.pkt