0516 정리,, 이전 내용 복습 , ACL 라우터 설정

3계층 장비는 2계층 정보를 해석할 수 있다. 

라우팅 테이블은 라우터의 configure에 의해서 생성된다

스위치는 learing을 통해서 패킷의 오고가는 걸 통해서 배운다.

show ip interface brief 에서 administratibely down의 의미는 shutdown되어있다는 뜻

스위치에도 IP  할당가능하다

123.123.123.0/24

123.123.123.1 ~ 123.123.123.254

GW :123.123.123.254/24

SW : 123.123.123.253/24

PC : 123.123.123.1~200/24

serve : 123.123.123.201~252/24

스위치는 L2계층이라서 IP할당은 못한다.

따라서 가상인터페이스에다가 IP를 할당해야한다. VLAN에다가

no shut

ip address 123.123.123. 255.255.255.0

exit

ip default-gateway 123.123.123.254

end

show running-config

show ip interface brief

스위치와 라우터의 테이블을 확인하자

SW_# > show mac-address-table

RW_#> show ip route

200.248.52.0/24

GW : 200.248.52.254/24

SW : 200.248.52.253/24

DNS : 200.248.52.250/24

WEb 200.248.52.249/24

static설정

config terminal

복습!!

routing table에서 

S 123.123.123.0/24 [1 / 0 ]

[우선순위 / metric ]

[Administry distance / 계산된값 ]

= AD / 계산안하므로 0

거리(홉)= RIP

거리+ 대역폭 = OSPF

거리 + 대역폭 + 딜레이 = IGRP EIGRP

??   = EGP

BGP = 속성값

---

접근제어 목록ACL

패킷에 대한 네트워크, 주소에 대해서 접근을 허용 or 거부

--> 정책을 적용함으로써 실행

ACL 분류

묶는 방법으로 분류

Number ACL

Name ACL

정책의 생성방법에 따라서 분류

동적 ACL

어떤 행위 (인증)를 하면 자동으로 정책이 생성

정적 ACL

관리자가 직접 정책을 생성

ACL생성시 특정 네트워크나 특정 주소에 대해서 조건을 생성할때조건에 따라서 

표준 ACL

조건에 "누가" 만 판단한다.

source IP address만 조건으로 체크

확장 ACL

조건에 "누가 , 누구에게, 목적" 가능

src, dst,  ip_header_protol, tcp/udp_ port-Number

ACL 명령어

number 표준 acl

Router(config)# access-list 1-99 'action' '조건':src addr'

number 확장 acl

Router)config)# access-list 100~199 'action' '조건:protocol src dst'

named 표준 acl

Router(config)# ip access-list standard '이름'

Router(config-)# 'action' '조건:src addr'

named 확장 acl

ACL 설정

1)ACL 정책만들기

2) 만든 정책을 적용하기

정책을 만들기 전에 표준인지 확장인지 결정하고,

정책을 적용할 라우터를 결정하고 라우터의 어느 인터페이스에 정책을 적용할지 결정한다

정해진 정책의 순서를 바꾸는것은 아래 나와있다.

적용순서 중요하다

ACL을 dst가까이에 적용해보자

1. 172.16.1.1 만 web, dns 허용, 목적지 가까이 . 표준만으로도 가능

2. 172.16.1.0 /24 네트워크에서 1.1 만 거부 .나머진 허용. 확장   

1. 172.16.1.1 만 허용, 목적지 가까이 . 표준만으로도 가능

정책 만들기;;;   정책은 여러개 만들고 

en

conf t 

access-list ;; 뒤에 번호를 붙이면 번호에 따라 표준인지 확장인지 구별가능

번호 acljava 패킷 보내기

access-list 1 ?

access-list 1 permit ?

access-list 1 permit host(한대)

access-list 1 permit any(모두)

access-list 1 permit host 172.16.1.1         //한대만 허용 : 번호 1번

ip access-list    ;;;;위의 access-list와 다른 방법이다. 차후에 알아보자

적용  ;; 적용은 여러개의 정책을 묶어서 하나로 적용

int fa0/1

ip access-group 1 ?  ;;그룹 1번

ip access-group 1 out    라우터 입장에서 나갈때 하나만 허용

end

show ip access-list

show running-config 

;;; access-list가 interface에 적용되어있는지 확인

ip access-group 1 out이 있어야 한다.

ACL정책 만들때 주의

정책 마지막에  " 모두 거부 "  = any deny 가 숨어있음

목적지에 가까이 거는 경우에는 소스에대한 직접적인 제어가 많이 이루어짐, 위의 경우                                   에서도 표준

소스에 가까이 거는 경우에는 확장, 

2. 172.16.1.0 /24 네트워크에서 1.1 만 거부 .나머진 허용.

정책만들기 

conf t

no access-list 1

access-list 1 permit 172.16.1.0 0.0.0.255

access-list 1 deny host 172.16.1.1

end

                            **************위에 access-list 순서처럼하면 1.1은 허용된다. 

왜냐하면 윗줄이 우선순위가 높다 위에서 부터 아래로 정책이 적용되어지므                                       로 생각해서 순서배치

따라서 위의 순서를 바꾼다.그리고 다음단계로 적용

적용하기

int fa0/1

ip access-group 1 out

end

ACL을 source에 가까이제 적용한다.

3. 172.16.1.1 은 ftp서버 접근 거부

172.16.1.2 는 web서버 접근 거부  

-======================== 두개를 한꺼번에 같이한다.

정책만들기

기존꺼 지우고 

conf t 

show ip access-list 

no access-list 1

show ip access-list 

ip access-list extended ACL

;;;;  access-list 100  이상이면 확장인데 귀찮으니까 위에껄로쓰는거다

deny 

"acion" "protocol" "src관련'  "dst"관련

deny ip host 172.16.1.1 host 172.16.34.250      ///1.1 이 34.250에 접근을 거부

deny ip host 172.16.1.2 host 200.248.52.249

permit ip any any

또는

permit ip 172.16.1.0 0.0.0.255 any

적용하기

intface fa0/0 

ip access-group ACL in

이 상황에서 새로운 적책을 추가하게 되면??(그냥 예를들어본것)

deny ip host 172.16.1.3 host 172.16.34.251   

*******위의 정책 테이블 모습

deny ip host 172.16.1.1 host 172.16.34.250  

deny ip host 172.16.1.2 host 200.248.52.249

permit ip any any

deny ip host 172.16.1.3 host 172.16.34.251

----

위에 상황은 sh ip access-list 하게 되면 위의 상황이 보이게 되는데 , 이렇게 되면 순서가 위에서 부터 적용되므로 마지막꺼는 적용이 안된다

그래서 실제는 목록 앞에 번호 가 10,20,30....붙는데, 이때 

no 30이런식으로 해서 지워주고 다시 permit ip any any를 추가하게 되면 정상작동한다.

4. 해당 서비스만 가능케하자

서비스인 경우에는 tcp/ udp를 체크한다.

172.16.1.0/24 dns서비스 허용

172.16.1.1 dns서비스 허용      ftp, ping 안됨

172.16.1.2 ftp 서비스 허용       web, ping 안됨 

나머지 4 5 6 은 거부    dns만된다.

정책만들기

en

conf t

no ip access-list extended ACL 

int fa0/0

no ip access-group ACL in

end

지우고 시작

ip access-list extended SERVICE

permit udp 172.16.1.0 0.0.0.255 (src port는 랜덤하므로 신경쓰지말고) host 200.248.52.250 eq 53
                  (port==53, 큰경우작은경우도 있지만 가장많이 쓰이는게 같은경우이다.        
                    //250으로 가는 모든 DNS만을 허용한다.                             
                       
                        permit tcp host 172.16.1.1 host 200.248.52.249 eq 80   //웹

permit tcp host 172.16.1.2 host 172.16.34.250 eq 21 //ftp 인증

  permit tcp host 172.16.1.2 host 172.16.34.250 eq 20 //ftp 전송

exit

적용하기

int fa0/0

ip access-group SERVICE in