라우터 ACL(Access Control List)

라우터 ACL 실습 토폴로지

 

ACL Configuration
R1(config)#int e0/0 R1(config-if)#ip add 1.1.1.2 255.255.255.0 R1(config-if)#no shutdown R1(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.3	R3(config)#int e0/2 R3(config-if)#ip add 1.1.3.2 255.255.255.0 R3(config-if)#no shutdown R3(config)#ip route 0.0.0.0 0.0.0.0 1.1.3.3
R2(config)#int e0/1 R2(config-if)#ip add 1.1.2.2 255.255.255.0 R2(config-if)#no shutdown R2(config)#ip route 0.0.0.0 0.0.0.0 1.1.2.3	SW(config)#ip routing SW(config)#int e0/0 SW(config-if)#no switchport SW(config-if)#ip add 1.1.1.3 255.255.255.0 SW(config-if)#int e0/1 SW(config-if)#no switchport SW(config-if)#ip add 1.1.2.3 255.255.255.0 SW(config-if)#int e0/2 SW(config-if)#no switchport SW(config-if)#ip add 1.1.3.3 255.255.255.0 ------------------------------------------------------------ SW(config)#ip access-list extended acl-test SW(config-ext-nacl)#deny ip host 1.1.1.2 host 1.1.3.2 SW(config-ext-nacl)#permit ip any any  SW(config)#int e0/0 SW(config-if)#ip access-group acl-test in

 

 

 

---- 절취선 까지 설정 후 R1,R2 에서 R3로 핑이 가는 모습을 확인해 볼 수있다.(아래 사진 참조)

R1,R2 -> R3 핑 확인

 

---- 절취선 아래 라우터 ACL을 설정후 R1에서 R3 1.1.3.2로 통신이 되지 않는 모습이다.(아래 사진 참조)

R3으로 Ping 실패

 

[학습 목표]

1) ACL 유형 확인

2) ACL 동작방식 확인

 

1) ACL 유형

ACL(Access Control List, 액세스 리스트)은 네트워크 트래픽을 필터링하거나 제어하기 위한 규칙의 집합이다. ACL은 기본적으로 어떤 트래픽을 허용할지 또는 차단할지를 결정한다. 이를 위해 ACL에는 특정 트래픽 패턴(예: IP 주소, 포트 번호 등)에 대한 허용(permit) 또는 거부(deny) 규칙이 포함된다.

---

1. 표준 ACL (Standard ACL)

표준 ACL은 출발지 IP 주소를 기반으로 트래픽을 필터링한다.

단순한 필터링만 가능.

트래픽의 프로토콜, 목적지 IP, 포트 번호 등은 필터링할 수 없음.

 

ACL 번호 범위

1~99 (IPv4)

1300~1999 (확장된 표준 ACL)

 

예시

access-list 10 permit 192.168.1.0 0.0.0.255

# 192.168.1.0/24 네트워크의 출발지에서 오는 트래픽을 허용.

 

2. 확장 ACL (Extended ACL)

확장 ACL은 출발지 및 목적지 IP 주소, 프로토콜, 포트 번호를 기반으로 트래픽을 필터링한다.

보다 세밀한 트래픽 제어가 가능.

다양한 프로토콜(TCP, UDP, ICMP 등)과 포트를 필터링할 수 있음.

 

ACL 번호 범위

100~199 (IPv4)

2000~2699 (확장된 확장 ACL)

 

예시

access-list 101 permit tcp 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255 eq 80

# 192.168.1.0/24 네트워크에서 오는 HTTP 트래픽(포트 80)이 10.1.1.0/24 네트워크로 가는 것을 허용.

 

3. 네이티브 ACL의 추가 유형

Named ACL (이름 기반 ACL)

숫자가 아닌 이름을 사용하여 ACL을 정의.

관리와 가독성을 향상시킴.

ip access-list extended <name>

 

IPv6 ACL

IPv6 트래픽 필터링에 사용.

표준 ACL과 확장 ACL 구분 없이 하나의 통합된 구조를 사용.

ipv6 access-list BLOCK_ICMPv6 deny icmp any any

---

2) ACL 동작 방식

1. ACL의 처리 순서

탑다운(top-down) 방식

ACL은 첫 번째 규칙부터 순차적으로 확인하며, 트래픽이 해당 규칙과 일치하면 즉시 적용된다.

 

예시

첫 번째 규칙에 해당하는 트래픽이 있다면, 두 번째 "deny" 규칙은 무시된다.

access-list 100 permit ip 192.168.1.0 0.0.0.255 any

access-list 100 deny ip any any

 

2. 암시적 거부(Implicit Deny)

모든 ACL의 끝에는 암시적으로 "deny all" 규칙이 존재한다.

ACL 규칙에서 명시적으로 허용(permit)되지 않은 모든 트래픽은 자동으로 차단된다.

 

예시

access-list 100 permit tcp any any eq 80

HTTP 트래픽(포트 80)만 허용하며, 나머지 모든 트래픽은 암시적으로 차단된다.

 

3. 인터페이스에 ACL 적용

ACL은 네트워크 장치의 인터페이스에 적용된다.

 

입력(ingress)

트래픽이 네트워크 장치에 들어올 때 필터링.

interface GigabitEthernet0/0 ip access-group 10 in

 

출력(egress)

트래픽이 네트워크 장치를 떠날 때 필터링.

interface GigabitEthernet0/0 ip access-group 101 out