ACL

#ACL(ACcess - List)

-아래 명령어를 포함시키는 명령어가 있다면 아래 명령여들은 전부 없는 것과 같다.

(=네트워크 범위를 포함한 명령어는 상위 명령어를 우선으로 한다.)

-따라서 작은 범위를 포함하는 명령어를 리스트 상단에 올린다.

-명령어 순서를 바꿀 수 없다.

#Standard ACL : 출발지 주소만(IP)

1~99

Standard ACL 예제1)

R1(config)#access-list 1 deny 211.183.5.0 0.0.0.255	차단 할 네트워크 작성
R1(config)#access-list 1 permit any	모든 네트워크 허용
R1(config)#int f0/0 R1(config-if)#ip access-group 1 in OR R1(config)#int f0/1 R1(config-if)#ip access-group 1 out	적용할 포트에서 access-list 적용

Standard ACL 예제2)

생각 해야 할 것(모든 네트워크는 통신이 가능하고, A -> B로 향하는 홀수 번 만 차단)

R1(config)#access-list 1 permit 211.183.5.0 0.0.0.254	짝수 네트워크 허용
R1(config)#access-list 1 deny 211.183.5.0 0.0.0.255 OR R1(config)#access-list 1 deny 211.183.5.1 0.0.0.254	211.183.5.0 네트워크 차단
R1(config)#access-list 1 permit any	모든 네트워크 허용
R1(config)#int f0/0 R1(config-if)#ip access-group 1 in OR R1(config)#int f0/1 R1(config-if)#ip access-group 1 out

# Extended ACL: 출발지 주소(IP) 와 목적지주소, 포트 까지

Extended ACL 예제 1)

R1(config)#access-list 100 deny ip 211.183.3.0 0.0.0.255 211.183.5.0 0.0.0.255 R1(config)#access-list 100 permit ip 211.183.3.0 0.0.0.255 211.183.5.0 0.0.0.255	access-list 번호 / 차단 or 허용 / 통신방식 / 출발지 호스트 + WM / 도착지 호스트 + WM
R1(config)# int f0/0	f0/1로 막은 경우. 211.183.3.250은 통신이 가능하게 된다.
R1(config-int)#ip access-group 100 out	해당 포트에 access-list 적용

Extended ACL 예제 2)

-생각 해야 할 것

R1(config)#access-list 101 permit tcp 211.183.3.0 0.0.0.255 eq www 211.183.5.0 0.0.0.255 eq www	access-list 번호 / 차단 or 허용 / 통신방식 / 출발지 호스트 + WM + eq + port_num / 도착지 호스트 + WM + eq + port_num
R1(config)#access-list 101 deny ip 211.183.3.0 0.0.0.255 211.183.5.0 0.0.0.255	http를 제외한 통신방식으로의 연결을 차단
R1(config)#access-list 101 permit ip any any	해당 네트워크 외에 모든 네트워크 허용
R1(config)#int f0/0
R1(config-int)#ip access-group 101 in

!Tip

정대리의 자유공간