액세스 리스트 (ACL)
특정한 패킷을 차단하거나 허용할 때 사용
인터페이스 당, 방향당 하나 씩 적용
적용 위치와 방향을 결정한 다음 작성
순차적으로 검사
범위가 좁은 내용을 먼저 작성
해당하는 문장이 있으면 실행하고 ACL에서 빠져나옴.
마지막에는 묵시적 차단
종류 |
범위 |
표준 ACL |
1~99 출발지 IP 주소만 참조 |
확장 ACL |
100~199 출발지 IP, 목적지 IP, TCP, UDP, 포트번호 참조 + ICMP |
<ACL의 종류>
ACL에 막히면 Host Unreachable 이라는 에러 메시지 나옴
스탠더드 액세스 리스트의 시작(Standard access list)
Inbound Access List
Outbound Access List
(config) # access-list [access-list-number] {permit | deny} {source [Source-wildcard] | any}
(config-if) # ip access-list-number { in | out }
기본값 : Out
텔넷 포트(VTY Port)에서의 액세스 리스트
(config) # vty 0 4
|
번호 |
|
프로토콜 |
출발지 주소 |
목적지 주소 |
서비스 포트 |
Access list |
100 ~ 199 |
Permit or Deny |
TCP |
Network Addr, Wildcard Mask or host, host IP Addr |
Network Addr, Wildcard Mask or host, host IP Addr |
www : 80 telnet : 23 ssh : 22 ftp : 20 ftp-data : 21 |
UDP |
||||||
IP |
||||||
ICMP |
<Extended Access list>
익스텐디드 액세스 리스트 (Extended Access List)
(config) # access-list [access-list-number] {permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]
(config-if) # ip access-group access-list-number { in | out }
ex) access-list 104 permit tcp any 128.88.0.0 0.0.0.255 established
show ip access-list
현재 라우터의 acl 보기