CCNA LAB ACL

 

 

**ACL (Access Control List)**은 네트워크 장비에서 트래픽을 필터링하고 접근 제어를 수행하는 규칙 목록입니다. ACL은 주로 라우터나 스위치에서 사용되며, 패킷의 출발지 IP 주소, 목적지 IP 주소, 포트 번호, 프로토콜 등을 기준으로 허용 또는 차단할 수 있습니다.

ACL은 네트워크 보안을 강화하고, 트래픽 흐름을 제어하는 데 중요한 역할을 합니다.

1. ACL의 종류

ACL은 크게 두 가지 주요 유형으로 나눌 수 있습니다:

1.1. Standard ACL (기본 ACL)

• 기본 ACL은 출발지 IP 주소만을 기준으로 필터링합니다.
• 목적지 IP 주소나 프로토콜, 포트 정보는 고려하지 않습니다.
• 주로 네트워크의 경계에서 트래픽을 차단하거나 허용하는 데 사용됩니다.

1.2. Extended ACL (확장 ACL)

• 확장 ACL은 출발지 IP 주소, 목적지 IP 주소, 프로토콜 종류(예: TCP, UDP), 포트 번호(예: HTTP, FTP 등)를 기준으로 보다 세밀하게 필터링할 수 있습니다.
• 네트워크의 중간에 배치하여, 세부적인 트래픽 제어가 필요할 때 유용합니다.

2. ACL의 동작 원리

• 패킷 필터링: ACL은 각 네트워크 패킷이 전달될 때마다 설정된 규칙을 하나씩 확인합니다. 규칙에 맞는 첫 번째 조건을 만나면 허용하거나 차단하고, 그 후의 조건은 무시됩니다.
• Implicit Deny: ACL은 명시적으로 허용된 규칙 외에는 기본적으로 모든 트래픽을 차단합니다. 이는 암묵적인 거부 규칙이기 때문에, ACL에 명시적으로 허용 규칙을 추가해야만 패킷을 통과시킬 수 있습니다.

3. ACL 설정 예시

3.1. Standard ACL 설정

기본 ACL은 출발지 IP 주소만 기준으로 필터링합니다.

예시: 192.168.1.0/24 네트워크에서 192.168.1.10 주소를 가진 호스트로부터의 트래픽만 허용하는 ACL

bash

복사

access-list 10 permit 192.168.1.10 access-list 10 deny any interface GigabitEthernet0/1 ip access-group 10 in

• access-list 10 permit 192.168.1.10: 192.168.1.10에서 온 트래픽을 허용합니다.
• access-list 10 deny any: 그 외의 모든 트래픽은 차단합니다.
• ip access-group 10 in: 인터페이스에 ACL 10번을 적용하여, 들어오는 트래픽을 필터링합니다.

3.2. Extended ACL 설정

확장 ACL은 출발지 IP, 목적지 IP, 프로토콜, 포트 번호 등 다양한 필터링을 할 수 있습니다.

예시: 출발지 IP가 192.168.1.0/24이고 목적지 IP가 10.10.10.1인 TCP 80번 포트 (HTTP) 트래픽만 허용하고 나머지 트래픽은 차단

bash

복사

access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 10.10.10.1 eq 80 access-list 100 deny ip any any interface GigabitEthernet0/1 ip access-group 100 in

• access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 10.10.10.1 eq 80: 출발지 IP 192.168.1.0/24에서 목적지 IP 10.10.10.1로 향하는 TCP 80번 포트(HTTP) 트래픽만 허용합니다.
• access-list 100 deny ip any any: 그 외의 모든 IP 트래픽을 차단합니다.
• ip access-group 100 in: ACL 100을 인터페이스에 적용하여 들어오는 트래픽을 필터링합니다.

4. ACL 적용 방식

ACL은 인터페이스에 적용되어 트래픽을 필터링합니다. ACL을 적용할 때, 트래픽의 방향을 설정해야 합니다.

• in: 들어오는 트래픽에 대한 필터링을 적용합니다.
• out: 나가는 트래픽에 대한 필터링을 적용합니다.

5. ACL의 순서와 동작

ACL은 순차적으로 적용됩니다. 즉, ACL의 규칙을 위에서 아래로 하나씩 확인하면서 첫 번째 일치하는 규칙에서 처리가 끝납니다. 허용(permit) 또는 **차단(deny)**된 패킷은 그 이후의 규칙을 확인하지 않습니다.

• ACL은 반드시 마지막에 deny all 또는 deny any가 있어야 기본적으로 모든 트래픽을 차단하는 역할을 합니다. 이는 Implicit Deny라고 불립니다.

6. ACL을 사용할 때의 주의사항

• 순서: ACL에서 규칙의 순서가 중요합니다. 트래픽은 위에서 아래로 검사되므로, 원하는 트래픽을 허용하려면 적절한 위치에 규칙을 추가해야 합니다.
• 효율성: 너무 복잡한 ACL을 사용하면 장비의 성능에 영향을 줄 수 있으므로, 필터링해야 할 트래픽만 정확히 설정하는 것이 좋습니다.
• 테스트: ACL을 설정한 후에는 반드시 동작을 테스트하여 의도한 대로 트래픽이 필터링되는지 확인해야 합니다.

7. ACL 상태 확인

ACL이 잘 적용되었는지 확인하려면, show access-lists 명령어를 사용하여 ACL 목록과 각 규칙의 적용 상태를 확인할 수 있습니다.

bash

복사

show access-lists

8. ACL 삭제

필요 없는 ACL을 삭제하려면 no access-list [번호] 명령어를 사용합니다.

bash

복사

no access-list 10

이렇게 하면 ACL 10이 삭제됩니다.

---

결론

ACL은 네트워크의 보안을 강화하고 트래픽 제어를 위해 매우 중요한 도구입니다. 네트워크 장비에서 인바운드(입력) 또는 아웃바운드(출력) 트래픽을 필터링하는 데 사용되며, 다양한 방식으로 세밀한 트래픽 제어가 가능합니다. 기본 ACL은 간단한 필터링에 사용되고, 확장 ACL은 더 복잡한 필터링 요구를 처리하는 데 사용됩니다.

 

---

1. PC 4 접근제한

 

라우터 2 네트워크 대역이 10.4.4.0/24이며

g0/0이 PC4에서 in -> out 방향이므로 out으로 설정

 

 

g0/0 인터페이스에 ACL 적용

 

 

PING 통신 확인되었으나, ACL 적용 후 접근 차단 확인

 

2. ipv6 PC5 접근 제한

 

 

ipv4 access-list 숫자 혹은 문자 가능하나

ipv6 access-list 문자만 가능

해당 PC 5 네트워크 차단 -> 해당 접근 차단할 네트워크 대역

제외한 모든 네트워크 허용 설정

 

해당 인터페이스 적용

ipv6 traffic-filter [ACL 이름] in or out 설정

 

 

PC5 접근 차단 확인

 

 

 

 

3. Extended ACL 

PC 1 과  PC 3  통신 불가 

 

출발지 목적지 IP 주소 등록

 

PC 3에서 PC1로 가는 g0/1에 ACL 적용

 

 

PC3 -> PC1 unreachable

PC1-> PC3 

 

 

 

4. PC 6만 라우터 2로 텔넷 가능 설정

 

 

 

line vty  설정