이 블로그의 실습 툴은 cisco paket tracer을 사용합니다.

구성도

standard_1

Standard에 비해서 더 많은 요소들로 제어
필수 조건 -> Protocol(IP헤더의 Protocol 필드와 비교할 값), Source IP, Destination IP
- TCP 0x6, UDP 0x11 , ICMP 0x1 …, 해당 프로트콜 정보

서비스 확인 및 페이지 수정 및 페이지 접근 테스트

192.168.1.100]
desktop > 
webbrowser > URL : 192.168.2.150
webbrowser > URL : 192.168.1.150

extended1

extended2

조건에 맞는 extended ACL 설정

조건 1

extended 사용방법 , 1개 지정시에는 host 를 먼저 써준다
출발지 IP 주소가 192.168.1.100 인 host 만 http server(tcp 80) 목적지 IP 주소 : 192.168.2.150 에 접근하는 것을 허용 (permit)

ACL 설정

Router0(config)#access-list 101 permit tcp host 192.168.1.100 host 192.168.2.150 eq 80

Router0#sh ip access-lists 
Standard IP access list 1
    10 permit host 192.168.1.100
Extended IP access list 101
    10 permit tcp host 192.168.1.100 host 192.168.2.150 eq www
    deny any (보이지는 않지만 적용되어 있다)

ACL 적용

Router0(config-if)#ip access-group 101 out

Router0#sh ip int f1/0
FastEthernet1/0 is up, line protocol is up (connected)
  Internet address is 1.1.1.1/8
  Broadcast address is 255.255.255.255
~
  Outgoing access list is 101

TEST

192.168.1.100]
desktop > 
webbrowser > URL : 192.168.2.150

192.168.1.200]
desktop > 
webbrowser > URL : 192.168.2.150

조건 2

network 를 지정할때는 wildcard mask 192.168.1.0/24 (src) network 의 모든 호스트를 192.168.2.150(dst) 에 icmp(protocol) 를 허용 (permit)

Router0(config)#access-list 101 permit icmp 192.168.1.0 0.0.0.255 host 192.168.2.150

Router0(config)#do sh ip access-list
Standard IP access list 1
    10 permit host 192.168.1.100
Extended IP access list 101
    10 permit tcp host 192.168.1.100 host 192.168.2.150 eq www (5 match(es)) -- 조건1 에서 적용된 부분 
    20 permit icmp 192.168.1.0 0.0.0.255 host 192.168.2.150
    deny all (적용되지만 보이지 않는다) 


- test
192.168.1.100]
ping 192.168.2.150 (O)
ping 192.168.2.100 (X)

조건 2-1

ACL 20번 행을 삭제하고 192.168.1.0/24 (src) network중 짝수주소만 호스트 만 192.168.2.150(dst) 에 icmp(protocol) 를 허용 (permit)

Router0(config)#ip access-list extended 101
Router0(config-ext-nacl)#no 20

Router0#sh ip access-lists 101
Extended IP access list 101
    permit tcp host 192.168.1.100 host 192.168.2.150 eq www (5 match(es))

Router0(config)#access-list 101 permit icmp 192.168.1.0 0.0.0.254 host 192.168.2.150

-test
192.168.1.100]
ping 192.168.2.150

192.168.1.111:기존 컴퓨터 주소 변경]
ping 192.168.2.150

조건 3

기존 ACL 삭제 , 인터페이스 에서 제거 192.168.1.0/24 네트워크(src) 전체, 192.168.2.150(dst) http:// 접속을 거부(deny) 나머지 접속은 모두 허용

삭제

Router0(config)#int f1/0
Router0(config-if)#no ip access-group 101 out
Router0(config)#no access-list 101

ACL 번호를 다르게 해보자

Router0(config)#access-list 102 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.150 eq www
Router0(config)#access-list 102 permit ip any any

인터페이스 지정하여 적용

Router0(config)#access-list 102 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.150 eq www
Router0(config)#access-list 102 permit ip any any

ACL -4-

Extended ACL 실습