1. ACL의 특징
- ACL의 마지막에는 deny all이 자동으로 적용.
- ACL은 한 줄씩 지우거나 중간에 ACL을 추가 할 수 없다. >> Named ACL
- Top-down 방식으로 적용된다.
Q1) R1의 E0/0으로 들어오는 Traffic 중에, SRC IP가 1.1.1.1인 Traffic 차단.
#access-list 1 deny 1.1.1.1 0.0.0.0
#access-list 1 permit all/any
(#access-list 1 deny all/any) >> 자동으로 설정됨
#int e0/0
#ip access-group 1 in
Q2) SRC 1.1.1.3 인 Traffic도 차단
#access-list deny 1.1.1.1 0.0.0.0
#access-list 1 permit any
#access-list deny 1.1.1.3 0.0.0.0
** ACL은 한 줄 씩 지울수도 없고, 중간에 수정할 수도 없다.
Q3) 아래 ACL을 Named-ACL로 변경
#access-list deny 1.1.1.1 0.0.0.0
#access-list deny 1.1.1.3 0.0.0.0
#access-list 1 permit any >>> #no access-list 1 하면 3줄이 모두 삭제됨
위 같이 수많은 ACL 관리를 하기가 불편한 이유로 Named-ACL을 사용한다.
#ip access-list standard MYACL(or Number)
10(sequence No.) #deny 1.1.1.1 0.0.0.0 >> #ip access-list standard MYACL
20(sequence No.) #deny 1.1.1.3 0.0.0.0 >> #config-named-acl)#no 20 >> 2번째 ACL만 삭제됨
30(sequence No.) #permit any
PRACTICE) PC0을 deny ACL로 다른 호스트들간 통신 차단
#int fa0/0
#access-list 1 deny 1.1.1.1 0.0.0.0
or #access-list 1 deny host 1.1.1.1
host 1.1.1.1에 deny 로 차단이 된 것을 확인 할 수 있음.
** 하지만만 PC1, 2도 다른 host들간 통신이 되지 않기때문에
#access-list 1 permit any 를 해주어야 PC1,2도 다른 Host들간 통신이 가능해진다.
위 ACL을 모두 삭제 할때는
conf)#no access-list 1 command를 입력해 ACL을 삭제 할 수 있는데, ACL한 줄씩 삭제가 아닌, 모든 ACL을 삭제 하게된다.
위 내용을 Named-ACL로 설정할 때는
conft)#ip access-list standard MYACL
conf-std-nacl)#10 deny host 1.1.1.1
conf-std-nacl)#20 deny host 1.1.1.1
conf-std-nacl)#30 deny host 1.1.1.1
conf)#int fa0/0
conf-if)#ip access-group MYACL in
Subnet Mask의 경우 (IP, STATIC ROUTE)
2진수 "0"으로 표기된 부분은 상관 없음!
Wildcard MASK의 경우 (OSPF, ACL)
2진수 "1"으로 표기된 부분은 상관 없음!
ip access-list standard 10
10 deny 2.2.2.1 0.0.0.2
'NETWORKING' 카테고리의 다른 글
VTP ETHERCHANNEL (0) | 2022.05.04 |
---|---|
ASA Firewall-ACL (0) | 2022.04.14 |
BGP - 경로선택(Attributes) (0) | 2022.04.14 |
BGP - Characteristics (0) | 2022.04.12 |
IBGP - Neighbor (0) | 2022.04.11 |