<<wildcardMask 의 개념>>
================================================================================
- subnet mask
- 1과 0의 연속적인 형식
- 1 = Network (공통비트)
- 0 = Host (비공통비트)
- bit에서 1은 대응bit값을 검사하라는의미/ 0은 무시하라는 의미임
- wildcardMask
- 1과 0의 불연속적인 형식이 가능
- 0 = 공통비트
- 1 = 비공통 비트
- subnet mask의 반대 개념
- bit에서 0은 대응bit값을 검사하라는의미/ 1은 무시하라는 의미임
ex)
192.168.1.0/24 255.255.255.0 (s)
0 . 0 . 0 .255 (w)
172.16.0.0/16 255.255.0.0
0.0.255.255
10.0.0.0 255.0.0.0.0
0.255.255.255
192.168.10.32/27 255.255.255.224
0.0.0.31
192.168.110.64/26 255.255.255.192
0.0.0.63
ex)
172.16.0.0/24 ~ 172.16.255.0/24 중 짝수 / 홀수 네트워크만 골라라
- 짝수 네트워크만
세번째 옥탯에서
00000010
00000100
00000110
00001000
00001100
~
11111110
---------
11111110 172.16.0.0 0.0.254.255
- 홀수 네트워크만
000000001
000000011
000000101
000000111
000001001
~
111111111
-----------
111111110 172.16.1.0 0.0.254.255
ex)
172.168.1.0/24 ~ 172.16.15.0/24 중 짝수 / 홀수 고르기
--> 짝수 172.168.0.0 0.0.14.255
홀수 172.168.1.0 0.0.14.255
================================================================================
<<ACL - Access list 구성 개념>>
================================================================================
- subnet mask가 아닌 wildcardMask 지원
1. 마지막 Line에는 Deny any가 자동 실행
ex)
- 192.168.1.0/24 트래픽이 접근할때 나머지트래픽 차단
192.168.1.0 permit
Deny any ==> 모두 차단!
2. ACL은 가장 위줄부터 순서대로 실행되기 때문에 자주쓰고 작은 범위부터 지정
ex)
172.16.1.0 0.0.0.255 permit
172.16.2.0 0.0.0.255 permit
172.16.3.0 0.0.0.255 permit
172.16.4.0 0.0.0.255 permit
172.16.5.0 0.0.0.255 permit
172.16.0.0 0.0.255.255 deny
Deny any
172.16.1.0 허용
172.16.2.0 허용
172.16.3.0 허용
172.16.4.0 허용
172.16.5.0 허용
172.16.0.0 ~ 172.16.255.255 차단
나머지 차단
3. 특정 부분에 대해서 추가, 수정, 삭제가 되지 않는다.
ex)
172.16.1.0 0.0.0.255 permit
172.16.2.0 0.0.0.255 permit
172.16.3.0 0.0.0.255 permit
172.16.4.0 0.0.0.255 permit
172.16.5.0 0.0.0.255 permit
172.16.0.0 0.0.255.255 deny
에서 그냥은 172.16.6.0 허용 추가가 안된다.
그래서 메모장에 적어두고 전체 지우고 다시 입력 하는 것이 좋다.
================================================================================
<<ACL - Standard ACL>>
================================================================================
- Standard ACL
- 범위 : 1 ~ 99 (불러쓰기 위한 이름, 1번에 연결된 10줄 테이블?)
- 특징 : Source address를 보고 트래픽을 통제
- 형식 : access-list [1~99] [permit/Deny] [Source address] [Source address W/M]
ex1) 211.241.228.0/24 트래픽이 접근할때 허용하고 나머지 트래픽은 차단
access-list 10 permit 211.241.228.0 0.0.0.255
access-list 10 deny any <-----내가 의도하지 않아도 자동실행 (확인안된!!)
ex2) 172.16.100.0/24 트래픽이 접근할때 차단하고 나머지 트래픽은 허용하려고 한다.
access-list 10 deny 172.16.100.0 0.0.0.255
access-list 10 permit any
ex3) Rx는 R1으로부터 172.16.1.0/24 ~ 172.16.255.0/24 네트워크 정보를 받고 있다.
Rx는 172 네트워크 정보중
172.16.1.0/24, 172.16.2.0/24, 172.16.3.0/24, 172.16.4.0/24, 172.16.5.0/24
네트워크 정보만 허용하고 나머지 트래픽은 차단하려고 한다.
(이외의 나머지 트래픽은 허용)
-->
access-list 10 permit 172.16.1.0 0.0.0.255
access-list 10 permit 172.16.2.0 0.0.0.255
access-list 10 permit 172.16.3.0 0.0.0.255
access-list 10 permit 172.16.4.0 0.0.0.255
access-list 10 permit 172.16.5.0 0.0.0.255
access-list 10 deny 172.16.0.0 0.0.255.255
access-list 10 permit any
ex4) Rx는 211.241.228.11/24 트래픽이 접근할때 허용하고 나머지 트래픽은 차단하려고 한다.
-->
access-list 40 permit 211.241.228.11 0.0.0.0
ex5) Ry는 Rx로 부터 172.168.1.0/24 ~ 172.168.15.0/24 네트워크를 받고 있다.
Ry는 172 네트워크 정보중 짝수 네트워크를 차단시키려고 한다. (이외의 트래픽은 허용)
-->
access-list 60 deny 172.168.0.0 0.0.14.255
access-list 60 permit any
================================================================================
<<ACL - Exthened ACL>>
================================================================================
- Exthened ACL
- Standard ACL 확장형
- 범위 : 100~199
- 특징 : Source address와 Destination address를 보고 트래픽을 통제
- 형식 : access-list [100~199] [Permit/Deny] [Protocol Type] [Source address] [Source address W/M]
[Destination address] [Destination address W/M] eq [Port number]
ex) Telnet 차단
R1은 자신의 Ethernet0에 있는 172.16.11.186/24 로 192.168.112.0/24 네트워크가 Telnet접속하는것을
차단하려고 한다. 나머지 트래픽은 허용
-->
access-list 100 deny tcp 192.168.112.0 0.0.0.255 host 172.16.11.186 eq 23
access-list 100 permit ip any any
- host 172.16.11.186 은 172.16.11.186 0.0.0.0 와 같은 말
- eq 23 은 eq telent으로 해도 됨
ex) FTP 차단 - 포트번호 다중
access-list 100 deny tcp 192.168.112.0 0.0.0.255 host 172.16.11.186 eq 20
access-list 100 deny tcp 192.168.112.0 0.0.0.255 host 172.16.11.186 eq 21
access-list 100 permit ip any any
Ex2)
Rx의 Ethernet 0/0에 FTP Server인 211.241.228.11/24가 있다.
Rx는 160.214.75.0/24 트래픽이 Telnet접속하는 것을 차단하려고 한다.
이외의 나머지 트래픽은 허용.
-->
access-list 110 deny tcp 160.214.214.75.0 0.0.0.255 host 211.241.228.11 eq 23
access-list 110 permit ip any any
Ex3)
Ry의 Ethernet 0/1에 FTP Server인 170.112.46.22/24가 있다
Ry는 199.114.56.211/24 트래픽이 접근하는 것을 차단하려고 한다.
나머지는 트래픽 허용.
-->
access-list 120 deny tcp host 199.114.56.211 host 170.112.46.22 eq 20
access-list 120 deny tcp host 199.114.56.211 host 170.112.46.22 eq 21
access-list 120 permit ip any any
- interface 에 들어올때/나갈때 access list 적용 설정하기
interface serial X
ip access-group [group-number][in/out]
ex) 다음 구성에서
ISP ----s0/0 Router e0/0 ---- SW 1
e0/1 |
| |
SW 2 HostA, HostB,....
|
K-Web, J-Web, FTP-server
HostA : 192.110.214.31
HostB : 192.110.214.32
HostC : 192.110.214.33
HostD : 192.110.214.34
K-Web : 211.241.228.11
J-Web : 177.215.46.91
FTP Server : 168.46.167.219
ISP : 214.69.157.46
[조건]
1. 오직 Host D 만 K-Web으로 접속할 수 있다.
2. Host 는 추후 추가될 예정이다.
3. 모든 Host는 나머지 모든 Network로 접속이 가능하다.
4. 가장 효율적으로 구성하시오.
-->
access-list 100 permit tcp host 192.110.214.31 host 211.241.228.11 eq 80
access-list 100 deny tcp any host 211.241.228.11 eq 80 (=>3번 조건)
access-list 100 permit ip any any
interface ethenet 0/1
ip access-group 100 out (=>4번 조건)
================================================================================
'Networking' 카테고리의 다른 글
| 7. OSPF (0) | 2015.01.24 |
|---|---|
| 6. EIGRP (0) | 2015.01.24 |
| 5. ACL - Wildcard Mask 문제 (0) | 2015.01.24 |
| 4. IGRP (0) | 2015.01.24 |
| 3. RIP_v1 routing protocol (0) | 2015.01.24 |