7/30 CCNA / Access-list

Access-list regulation

• 액세스 리스트는 패킷을 비교할때 몇 가지 중요한 구칙들이 있다.

이 규칙들을 반드시 알고 있어야만 아무도 문제 없이 패킷 필터링을

할 수가 있으며 액세스 리스트의 규칙에는 다음과 같은 것이 있다.

 

1. 액세스 리스트는 항상 순차적으로 비교를 하게 된다.

즉 첫 번째 줄부터 시작하여 두번째 줄, 세번째 줄 이런식으로 비교를 한다.

2. 패킷은 설정된 액세스 리스트와 비교하여 일치할때까지

자주 사용하는것부터.사용한다.

 

permit 을~위해 (밑에 내용)

 

좀 더 좁은 범위의 것을 먼저 선언

access-list 10 permit 164.124.116.0 0.0.0.255  넘버/허용

                  deny          일부차단

                  permit any    any는 전체

 

 빈번히 조건을 만족시킬 만한 것을 먼저 선언

116//118

 

• 액세스 리스트는 패킷을 비교할때 몇가지 중요한 규칙들이있따.

이 규칙들을 반드시 알고 있어야만 아무문제 없이 패킷 필터링을 할 수가 있으며

액세스 리스트의 규칙에는 다음과 같은 것이 있다.

 

4. 액세스 리스트를 이용하여 설정할 경우 반드시 인터페이스에 적용시켜주어야 한다.

즉 들어오는 패킷을 차단 또는 허용할것인지 아니면 나가는 패킷을 허용할

것인지 차단할 것인지 정의 해 주어야만 동작하게 된다.

 

5. 액세스 리스트를 설정한 후에 부분적으로 제거할 수가 없다. 만약 삭제해야 한다면

설정된 내용을 복사하여 텍스트 편집 기능으로 수정한 다음에 다시 붙여 넣기를

하면 된다. 단 네임드 액세스 리스트를 사용할때는 부분별로 삭제할 수가 있다.

 

6. 액세스 리스트를 먼저 만들고 난 후 해당 인터페이슬에 적용해야 한다. 핵세스

리스트를 ㅓㄹ정하고 않고 인터페이스에 적용할 경우 아무 의미가 없기때문이다.

 

 목적지 제일 가까운곳에 차단을 한다. in,out 보고 판단

 

Access-list 종류

Access-list Type	Access-list Number
Standard IP Access-list	1-99
Exttended ip Access-list	100-199
Ethernet Type Code	200-299
DECnet과 확장 DECnet
XNS
확장 XNS
Apple Te

 

 

 

• Standard ip

• 전체 차단 또는 전체 허용
• 출발지 ip 주소만을 가지고 필터링을 한다.
• 액세스 리스트 번호는 1~99

 

Ro(con)#access-list acc-list-num [per/deny]

 

Dent

거부

 

permit

허용

 

Source

 

• Any / host 사용하면 액세스 리스트를 좀더 수비게 설정한다.

 

in/out

언제 할것인지 적용

 

 

1번 과제

 

1. 172.16.1.5 deny
2. 172.16.1.0 /24 permit
3. dent any 알고있지만 생략
4. int s2/0
5. ip access -group

 

 

UDP= DNS, SNMP, TFTP,(스위치,서비스)RIP(라우터),DHCP

 

tcp = 출발지와 목적지가 정확하게 지정되어야되는 경우 (유니캐스트, 멀티캐스트)

 

udp = 출발지는 하나인데 목적지가 두개 이상인 경우

(브로드캐스트)

 

 

 

acc-li 10 den 172.

===================다시정리(같은내용)==============

2014 - 07 - 30 

 

엑세스 리스트(ACL) 

 

엑세스 리스트 규칙 

1. 엑세스 리스트는 항상 순차적으로 비교를하게 된다. 즉, 첫번째 줄에서부터 시작하여 두번째 줄 세번째줄 이런식으로 비교를한다. 

2.패킷은 설정된 엑세스 리스트와 비교하여 일치할 때까지 계속 진행되며, 일치할 경우 더이상 비교를 하지 않고 일치한 부분을 바로 실행하게 된다. 

3. 액세스 리스트를 설정하게 되면 디폴트로 항상 “Deny” 상태이며 특정 패킷만 차단하고 나머지는 허용하고자 할 때 반드시 “permit” 를 해 주어야 한다  

4 . 액세스 리스트를 이용하여 설정할 경우 반드시 인터페이스에 적용시켜 주어야 한다 . 즉 들어오는 패킷을 차단 또는 허용할 것인지 아니면 나가는 패킷을 허용할 것인지 차단할 것인지 정의 해 주어야만 동작하게 된다 .  

5. 액세스 리스트를 설정한 후에 부분적으로 제거할 수가 없다 . 만약 삭제해야 한다면 설정된 내용을 복사하여 텍스트 편집 기능으로 수정한 다음에 다시 붙여 넣기를 하면 된다 . 단 네임드 액세스 리스트를 사용할 때는 부분별로 삭제할 수가 있다 .  

6 . 액세스 리스트를 먼저 만들고 난 후 해당 인터페이스에 적용해야 한다 . 액세스 리스트를 설정하지 않고 인터페이스에 적용할 경우 아무 의미가 없기 때문이다 . 

 

access list 종류 

 

access-list type	access-list number
Standard IP access-list  전체차단,허용/출발지ip주소로 필터링	1~99
extended ip access-list	100~199
ehternet type code	200~299

 

실습 ] 다음 조건을 만족하는 확장 네임드 액세스 리스트를 설정하시오 .  

1. 외부 네트워크에서는 월요일 부터 금요일까지 매일 8:00 ~ 18:00 까지 Telnet 명령어를 사용하여 내부 라우터로 접속하는 것을 허용하며 나머지는 차단한다 .  

2. 외부 네트워크는 내부 네트워크로 핑을 할 수 없다 .  

3. 모든 통신에 대해 기록해야 한다 .  

4. 나머지는 모두 허용한다 

 

 

R2(config)#time-range 조건 

R2(config-time-range)#periodic weekdays 8:00 to 18:00 

R2(config-time-range)#exit 

 

R2(config)#ip access-list extended 대상 

R2(config-ext-nacl)#permit tcp any any eq 23 time-range 조건 log 

R2(config-ext-nacl)#deny tcp any any eq 23 log 

R2(config-ext-nacl)#deny icmp any any echo log 

R2(config-ext-nacl)#permit ip any any log 

 

 

 

absolute : 기간지정 

 

예) 2014년 1월 1일 ~2014년 12월31일(08:00~18:00) 

absolute start 08:00 1 jan 2014 to 18:00 31 dec 2014 

 

 

periodic  요일(월화수목금토일) / 주중 / 주말 

 

 

log 

 

*로그확인 : show loggintg 

 

VTP - server	vlan을 생성, 추가, 변경, 삭제 가능
VTP - client	server가 전해주는 vlan만 사용가능
VTP - transparent	server가 전해주는   vlan을 전달만하고

 

ccna 덤프 풀이