저번 ACL 실습시간에 사용했던 토폴로지를 토대로 확장 ACL에 대해 실습해볼 계획이다.
먼저 Internal 라우터에 설정되어 있던 access-list 10 을 지우고, 서로간의 통신이 가능한 기본 설정만 되어있는 상태로 만들어 준다.
Internal(config)#no access-list 10
Internal(config)#int fa0/1
Internal(config-if)#no ip access-group 10 out
===========================================================
실습 목표
주어진 요구사항에 맞추어 확장 ACL을 작성하고, 적용하라
실습하기에 앞서 웹 접근을 허용하기 위해 호스트에 다음과 같은 설정을 해주겠다.
DNS 서버를 입력해주고, 호스트에서 DNS 서버로 접속할 수 있도록 해준다.
서버에서 www.test.com을 입력하면 192.168.2.100의 DNS로 접속할 수 있도록 설정해 준다.
FTP 서버 또한 접속이 가능하도록 설정해 준다.
호스트에서 접속이 정상적으로 되는 것을 확인 한 후, 실습을 시작한다.
1. 확장 ACL
출발지 네트워크 : 192.168.1.0/24 , 192.168.3.0/24
목적지 네트워크 : 192.168.2.0/24
[요구사항 1]
192.168.1.0/24 > 192.168.2.0/24 : 웹 접근만 거부
Internal(config)#access-list 100 deny tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80
Internal(config)#access-list 100 permit ip any any
>> 모든 ip를 허용함.
위의 deny만 작성할 경우, 모든 통신이 되지 않으면서 100의 ACL만 동작하기 때문.
Internal(config)#int fa0/1
Internal(config-if)#ip access-group 100 out
192.168.2.0 네트워크에서 웹 접속은 되지 않지만, FTP 서버 접속은 가능함
192.168.3.0 네트워크에서는 모든 통신이 가능하다.
[요구사항 2]
192.168.1.0/24 > 192.168.2.0/24 : FTP 접근만 거부
Internal(config)#no access-list 100
Internal(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 21
Internal(config)#access-list 101 permit ip any any
Internal(config)#int fa0/1
Internal(config-if)#no ip access-group 100 out
Internal(config-if)#ip access-group 101 out
FTP 서버 접속은 불가능하지만, 웹 서버의 접속은 가능하다는 것을 알 수 있다.
[요구사항 3]
192.168.1.101/24 > 192.168.2.100/24 : FTP만 접근 가능
192.168.1.100/24 > 192.168.2.100/24 : 웹만 접근 가능
이번 요구사항은 하나의 네트워크 내의 특정 호스트는 FTP만, 다른 호스트는 웹만 접속이 가능하도록 설정 할 것이다.
Internal(config)#no access-list 101
Internal(config)#access-list 102 permit tcp host 192.168.1.101 192.168.2.0 0.0.0.255 eq 21
Internal(config)#access-list 102 permit tcp host 192.168.1.100 192.168.2.0 0.0.0.255 eq 80
Internal(config)#int fa0/1
Internal(config-if)#no ip access-group 101 out
Internal(config-if)#ip access-group 102 out
.101 호스트에서는 FTP 접속만 가능하고, .100 호스트에서는 웹 접속만 가능하다는 것을 확인할 수 있다.
[요구사항 4]
192.168.1.0/24 > 192.168.2.0/24 : 웹만 접근 가능
192.168.3.0/24 > 192.168.2.0/24 : FTP만 접근 가능
Internal(config)#no access-list 102
Internal(config)#access-list 103 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80
Internal(config)#access-list 103 permit tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 21
Internal(config)#int fa0/1
Internal(config-if)#no ip access-group 102 out
Internal(config-if)#ip access-group 103 out
이번에는 .1.0 네트워크에서는 웹접속만, .3.0 네트워크에서는 ftp만 접속이 가능하도록 설정했다.
설정을 마친 후, .1.0 네트워크는 웹접속만, .3.0 네트워크는 FTP 접속만 되는 것을 확인할 수 있다.
'시스코 > 시스코-실기' 카테고리의 다른 글
| NAT - Static NAT 를 활용한 주소 변환, 변환된 주소로 웹 접속 하기 (0) | 2022.01.12 |
|---|---|
| NAT - Static NAT, Dynamic NAT 실습 (0) | 2022.01.12 |
| OSPF와 ACL을 적용한 토폴로지, 특정 호스트만 허용하기 (0) | 2022.01.12 |
| 동적 라우팅 RIP, OSPF 재분배(Redistribute) (0) | 2022.01.10 |
| 동적 라우팅 - OSPF - (0) | 2022.01.10 |