ACL
만들 때 유의사항
라우터/스위치는 PIX 방화벽이랑 달라서 기본 All Open 이다.
하지만, Access-list를 만드는 순간, 기본 Deny로 변하는 것을 주의
Ex) vlan 5에 적용할 ACL을 하나 만들어 보자
Access-list 111 deny tcp any any eq 4444
이렇게 만드면 라우터는 아래와 같이 생각
Access-list 111 deny tcp any any eq 4444
Access-list 111 deny ip any any
빨간색은 우리 눈에 안보이지만 Default로 올라감
저렇게 만들어 놓고, 포트에 적용하면 그 포트는 이제 못쓰게 됌
항상 ACL을 만들 때에는 모든 것을 허용한다는 명령어를 넣어줘야함
Access-list 111 deny tcp any any eq 4444
Access-list 111 permit ip any any
ACL 적용
ACL을 만드는 것은 시스템 장애와 아무런 상관 없음(적용시키기 전까지)
해당 인터페이스에 들어가서 ip addcess-group 111 in 하는 순간 적용
저장하고는 상관 없이, 엔터를 누르는 순간 적용
ACL 만들고 적용 시에는 많은 주의가 필요
만드는 순서
ACL을 먼저 만들고, 그 담에 적용
Access-list 111 deny tcp any any eq 4444
Access-list 111 permit ip any any
Int vlan 5
Ip access-group 111 in
지우는 순서
적용된걸 지우고 나서, ACL을 지워야 함. 거꾸로 하면 그 네트워크는 못 쓸 수도 있다.
Int vlan 5
No ip access-group 111 in
Exit
No access-list 111
※ no access-list 111 하면 access-list 111의 모든 정책이 한꺼번에 날라간다.
Access-list 추가할 때
같은 넘버의 ACL에 정책을 추가한다면
access-list 111 deny tcp any any eq 69
access-list 111 deny tcp any any eq 135
access-list 111 deny tcp any any eq 4444
가령 위와 같이 ACL을 만들어서 벌써 포트에 적용시켜 사용하고 있는데
access-list 111 deny tcp any any eq 137을 추가한다고 하면
access-list 111 deny tcp any any eq 137
이렇게만 하면 좋겠으나, 라우터 ACL은 같은 넘버의 ACL을 추가 시 기존 것을 지우고 추가하는 것만 올라간다.
따라서, 이 경우도 네트워크가 안될 수도 있다.
즉, 추가 시에는 기존 리스트와 함께 다시 새로 적용함을 원칙으로 해야 한다.
ACL 적용 제거하고, ACL 지우고, 새로 ACL 만들고 다시 적용하는게 안전하다.
------------------------------------------------------------------------------------------------------
ACL은 윗줄부터 하나씩 차례로 수행된다.
만약 ACL가 4개가 있다면 맨 윗줄이 수행되고 그 다음 줄로 내려온다.
access-list 의 맨 마지막 line에 "permit any"를 넣지 않을 경우는 default로 어느 access-list와도 match 되지 않은 나머지 모든 address 는 deny 된다.
즉, ACL는 맨 마지막 줄에는 항상 모든 것을 막아버리는 deny any가 있다고 생각하고 있다. 그러니까 만약 어떤 ACL의 항목에도 해당하지 않는 주소가 있다면 그 주소는 맨 마지막 줄까지 내려온 다음 deny any에 걸려서 모두 막혀버린다.
ACL은 line을 선택적으로 추가, 제거가 불가능하다. IP Named ACL은 line 추가는 가능하나 맨 마지막 줄에 추가 된다.
interf ace에 대한 ACL의 정의가 되어 있지 않은 경우(즉, interface에 access-group 명령이 들어 있지 않은 경우) 결과는 permit any가 된다.
host : wildcard mast 0.0.0.0을 의미하며, 모든 bit를 검사한다는 의미이다. (그러므로 호스트 자체를 가리킨다.)
ex) access-list 101 permit ip 0.0.0.0 255.255.255.255 131.108.5.17 0.0.0.0
= access-list 101 permit ip 0.0.0.0 255.255.255.255 host 131.108.5.17
any : 0.0.0.0 255.255.255.255를 의미하며 모든 네트워크를 검사하지 않는다는 의미이다.
------------------------------------------------------------------------------------------------------
VTY 접속 제어
VTY는 라우터에 텔넷 접속을 위해 할당 되어진 가상의 포트이다. interface를 경유해서 지나가는 트래픽이 아니기 때문에 interface에서 제어할 수 없으므로 line vty 0 4에서 제어를 해준다.
VTY 명령어 설정
접속 제어할 포트 번호를 할당한다.
Router(config)#line vty {vty# | vty-range}
적용할 Access-list를 적용한다.
Router(config-line)#access-class access-list-number {in | out}
예)
Router(config)#access-list 12 permit 192.168.1.0 0.0.0.255
Router(config)#line vty 0 4
Router(config-line)#access-class 12 in
(192.168.1.0 대역의 IP는 Router Inbound시에 텔넷 접속이 가능하지만 나머지 대역을 불가능하다.)