5. ACL - Wildcard Mask 문제

<wildcardMask 문제>>

================================================================================

ex)

192.168.1.0/24     255.255.255.0   (s)

                   ?  (w)

172.16.0.0/16      255.255.0.0

                   ?

10.0.0.0           255.0.0.0.0

                   ?

192.168.10.32/27   255.255.255.224

                   ?

192.168.110.64/26  255.255.255.192

                   ?

ex)

172.16.0.0/24 ~ 172.16.255.0/24 중 짝수 / 홀수 네트워크만 골라라

ex)

172.168.1.0/24 ~ 172.16.15.0/24 중 짝수 / 홀수 고르기

================================================================================

<wildcardMask 문제 답>>

================================================================================

- subnet mask

    - 1과 0의 연속적인 형식

    - 1 = Network (공통비트)

    - 0 = Host (비공통비트)

    - bit에서 1은 대응bit값을 검사하라는의미/ 0은 무시하라는 의미임

- wildcardMask

    - 1과 0의 불연속적인 형식이 가능

    - 0 = 공통비트

    - 1 = 비공통 비트

    - subnet mask의 반대 개념

    - bit에서 0은 대응bit값을 검사하라는의미/ 1은 무시하라는 의미임

ex)

192.168.1.0/24     255.255.255.0   (s)

                   0 . 0 . 0 .255  (w)

172.16.0.0/16      255.255.0.0

                   0.0.255.255

10.0.0.0           255.0.0.0.0

                   0.255.255.255

192.168.10.32/27   255.255.255.224

                   0.0.0.31

192.168.110.64/26  255.255.255.192

                   0.0.0.63

ex)

172.16.0.0/24 ~ 172.16.255.0/24 중 짝수 / 홀수 네트워크만 골라라

- 짝수 네트워크만

세번째 옥탯에서

00000010

00000100

00000110

00001000

00001100

~

11111110

---------

11111110     172.16.0.0   0.0.254.255

- 홀수 네트워크만

000000001

000000011

000000101

000000111

000001001

~

111111111

-----------

111111110    172.16.1.0   0.0.254.255

ex)

172.168.1.0/24 ~ 172.16.15.0/24 중 짝수 / 홀수 고르기

--> 짝수 172.168.0.0   0.0.14.255

    홀수 172.168.1.0   0.0.14.255

================================================================================

<<Standard ACL 문제>>

================================================================================

ex1) 211.241.228.0/24 트래픽이 접근할때 허용하고 나머지 트래픽은 차단

ex2) 172.16.100.0/24 트래픽이 접근할때 차단하고 나머지 트래픽은 허용하려고 한다.

ex3) Rx는 R1으로부터 172.16.1.0/24 ~ 172.16.255.0/24 네트워크 정보를 받고 있다.

    Rx는 172 네트워크 정보중

 172.16.1.0/24, 172.16.2.0/24, 172.16.3.0/24, 172.16.4.0/24, 172.16.5.0/24

네트워크 정보만 허용하고 나머지 트래픽은 차단하려고 한다.

(이외의 나머지 트래픽은 허용)

ex4) Rx는 211.241.228.11/24 트래픽이 접근할때 허용하고 나머지 트래픽은 차단하려고 한다.

ex5) Ry는 Rx로 부터 172.168.1.0/24 ~ 172.168.15.0/24 네트워크를 받고 있다.

     Ry는 172 네트워크 정보중 짝수 네트워크를 차단시키려고 한다. (이외의 트래픽은 허용)

================================================================================

<<Standard ACL 답>>

================================================================================

ex1) 211.241.228.0/24 트래픽이 접근할때 허용하고 나머지 트래픽은 차단

access-list 10 permit 211.241.228.0   0.0.0.255

access-list 10 deny any   <-----내가 의도하지 않아도 자동실행 (확인안된!!)

ex2) 172.16.100.0/24 트래픽이 접근할때 차단하고 나머지 트래픽은 허용하려고 한다.

access-list 10 deny 172.16.100.0  0.0.0.255

access-list 10 permit any

ex3) Rx는 R1으로부터 172.16.1.0/24 ~ 172.16.255.0/24 네트워크 정보를 받고 있다.

    Rx는 172 네트워크 정보중

 172.16.1.0/24, 172.16.2.0/24, 172.16.3.0/24, 172.16.4.0/24, 172.16.5.0/24

네트워크 정보만 허용하고 나머지 트래픽은 차단하려고 한다.

(이외의 나머지 트래픽은 허용)

--> 

access-list 10 permit 172.16.1.0 0.0.0.255

access-list 10 permit 172.16.2.0 0.0.0.255

access-list 10 permit 172.16.3.0 0.0.0.255

access-list 10 permit 172.16.4.0 0.0.0.255

access-list 10 permit 172.16.5.0 0.0.0.255

access-list 10 deny 172.16.0.0 0.0.255.255

access-list 10 permit any

ex4) Rx는 211.241.228.11/24 트래픽이 접근할때 허용하고 나머지 트래픽은 차단하려고 한다.

-->

access-list 40 permit 211.241.228.11 0.0.0.0

ex5) Ry는 Rx로 부터 172.168.1.0/24 ~ 172.168.15.0/24 네트워크를 받고 있다.

     Ry는 172 네트워크 정보중 짝수 네트워크를 차단시키려고 한다. (이외의 트래픽은 허용)

-->

access-list 60 deny 172.168.0.0  0.0.14.255

access-list 60 permit any

================================================================================

<<ACL - Exthened ACL 문제>>

================================================================================

ex) Telnet 차단

R1은 자신의 Ethernet0에 있는 172.16.11.186/24 로 192.168.112.0/24 네트워크가 Telnet접속하는것을

    차단하려고 한다. 나머지 트래픽은 허용

ex) FTP 차단 - 포트번호 다중

Ex2)

Rx의 Ethernet 0/0에 FTP Server인 211.241.228.11/24가 있다.

Rx는 160.214.75.0/24 트래픽이 Telnet접속하는 것을 차단하려고 한다.

이외의 나머지 트래픽은 허용.

Ex3)

Ry의 Ethernet 0/1에 FTP Server인 170.112.46.22/24가 있다

Ry는 199.114.56.211/24 트래픽이 접근하는 것을 차단하려고 한다.

나머지는 트래픽 허용.

ex) 다음 구성에서

ISP ----s0/0 Router e0/0 ---- SW 1

             e0/1               |

               |                |

             SW 2         HostA, HostB,....

               |

       K-Web, J-Web, FTP-server

HostA : 192.110.214.31

HostB : 192.110.214.32

HostC : 192.110.214.33

HostD : 192.110.214.34

K-Web      : 211.241.228.11

J-Web      : 177.215.46.91

FTP Server : 168.46.167.219

ISP        : 214.69.157.46

[조건]

1. 오직 Host D 만 K-Web으로 접속할 수 있다.

2. Host 는 추후 추가될 예정이다.

3. 모든 Host는 나머지 모든 Network로 접속이 가능하다.

4. 가장 효율적으로 구성하시오.

================================================================================

<<ACL - Exthened ACL 답>>

================================================================================

ex) Telnet 차단

R1은 자신의 Ethernet0에 있는 172.16.11.186/24 로 192.168.112.0/24 네트워크가 Telnet접속하는것을

    차단하려고 한다. 나머지 트래픽은 허용

--> 

access-list 100 deny+ tcp 192.168.112.0 0.0.0.255 host 172.16.11.186 eq 23

access-list 100 permit ip any any

- host 172.16.11.186 은 172.16.11.186 0.0.0.0 와 같은 말

- eq 23 은 eq telent으로 해도 됨

ex) FTP 차단 - 포트번호 다중

access-list 100 deny tcp 192.168.112.0 0.0.0.255 host 172.16.11.186 eq 20

access-list 100 deny tcp 192.168.112.0 0.0.0.255 host 172.16.11.186 eq 21

access-list 100 permit ip any any

Ex2)

Rx의 Ethernet 0/0에 FTP Server인 211.241.228.11/24가 있다.

Rx는 160.214.75.0/24 트래픽이 Telnet접속하는 것을 차단하려고 한다.

이외의 나머지 트래픽은 허용.

-->

access-list 110 deny tcp 160.214.214.75.0 0.0.0.255 host 211.241.228.11 eq 23

access-list 110 permit ip any any

Ex3)

Ry의 Ethernet 0/1에 FTP Server인 170.112.46.22/24가 있다

Ry는 199.114.56.211/24 트래픽이 접근하는 것을 차단하려고 한다.

나머지는 트래픽 허용.

-->

access-list 120 deny tcp host 199.114.56.211 host 170.112.46.22 eq 20

access-list 120 deny tcp host 199.114.56.211 host 170.112.46.22 eq 21

access-list 120 permit ip any any

- interface 에 들어올때/나갈때 access list 적용 설정하기

interface serial X

ip access-group [group-number][in/out]

ex) 다음 구성에서

ISP ----s0/0 Router e0/0 ---- SW 1

             e0/1               |

               |                |

             SW 2         HostA, HostB,....

               |

       K-Web, J-Web, FTP-server

HostA : 192.110.214.31

HostB : 192.110.214.32

HostC : 192.110.214.33

HostD : 192.110.214.34

K-Web      : 211.241.228.11

J-Web      : 177.215.46.91

FTP Server : 168.46.167.219

ISP        : 214.69.157.46

[조건]

1. 오직 Host D 만 K-Web으로 접속할 수 있다.

2. Host 는 추후 추가될 예정이다.

3. 모든 Host는 나머지 모든 Network로 접속이 가능하다.

4. 가장 효율적으로 구성하시오.

-->

access-list 100 permit tcp host 192.110.214.31 host 211.241.228.11 eq 80

access-list 100 deny tcp any host 211.241.228.11 eq 80  (=>3번 조건)

access-list 100 permit ip any any    

interface ethenet 0/1

access-group 100 out (=>4번 조건)

================================================================================