Named Access-list는 번호가 아닌 이름을 사용하여
해당 ACL이 어떤 용도로 사용되는 ACL인지 표기할 수 있습니다.
대소문자를 구분하므로 주의해서 사용해야 합니다.
실습
R3 라우터에서 R1 라우터로 보내는 모든 패킷을 차단하기
기본 IP할당 및 라우팅 설정
R1)
conf t
int f0/0
ip add 192.168.61.254 255.255.255.0
no sh
int s1/0
ip add 172.16.12.1 255.255.255.0
no sh
router ospf 1
network 192.168.61.0 0.0.0.255 area 0
network 172.16.12.0 0.0.0.255 area 0
end
wr
R2)
conf t
int f0/0
ip add 192.168.62.254 255.255.255.0
no sh
int s1/0
ip add 172.16.12.2 255.255.255.0
no sh
int s1/1
ip add 172.16.23.2 255.255.255.0
no sh
router ospf 1
network 192.168.62.0 0.0.0.255 area 0
network 172.16.12.0 0.0.0.255 area 0
network 172.16.23.0 0.0.0.255 area 0
end
wr
R3)
conf t
int f0/0
ip add 192.168.63.254 255.255.255.0
no sh
int s1/1
ip add 172.16.23.3 255.255.255.0
no sh
no router ospf 1
router ospf 1
network 192.168.63.0 0.0.0.255 area 0
network 172.16.23.0 0.0.0.255 area 0
end
wr
R3의 PC에서 R1의 PC로 통신이 잘 되는 상황
ACL 작업
R1)
conf t
ip access-list standard packet_deny
# packey_deny라는 이름의 Access-list 생성
deny 192.168.63.10 log
permit any
int s1/0
ip access-group packet_deny in
R3의 PC에서 R1의 PC로 통신이 되지 않는 것을 확인할 수 있습니다.
실습2
1. 외부 네트워크에서는 월요일부터 금요일까지
매일 9:00 ~ 18:00까지 Telnet을 사용하여
내부 라우터로 접속하는 것을 허용하며 나머지는 차단한다.
2. 외부 네트워크는 내부 네트워크로 핑을 할 수 없다.
3. 모든 통신에 대해 기록해야 한다.
4. 나머지는 모두 허용한다.
R1)
int s1/0
no ip access-group packet_deny in
# 실습1에서 설정했던 ACL해제
R2)
conf t
time-range telnet_deny
periodic weekdays 09:00 to 18:00
exit
# telnet_deny라는 이름의 시간 범위 생성
ip access-list extended korea
permit tcp any any eq 23 time-range telnet_deny log
deny tcp any any eq 23
deny icmp any any echo-reply log
permit ip any any
int s1/1
ip access-group korea in
# time-range의 접속 가능한 시간은
# 오로지 라우터의 시간을 따라갑니다
show clock
# 현재 시간 확인
clock set ##:##:## ### ## ####
# 시 :분: 초 월(영어) 일 년도
허용 시간 내에 R3에서 R2로 텔넷 접속을 시도한 결과
R3에서 R2로 ping을 보낸 결과
이제 라우터에서 텔넷 접속이 불가능한 시간으로 변경해 보겠습니다.
허용 시간 외에 R3에서 R2로 텔넷 접속을 시도한 결과
R3에서 R2로 ping을 보낸 결과
ping은 허용시간과 관계없이 차단됨을 확인할 수 있습니다.
