ACL

🔐 ACL(Access Control List) 완전 정리

✅ 개념

• ACL은 라우터 인터페이스를 통과하는 트래픽을 필터링하여 네트워크 접근을 제어하는 기능이다.
• 불필요한 트래픽 차단으로 보안을 강화하고, 업무용 트래픽에 대역폭 우선 할당 가능.

---

⚙️ ACL 기본 원칙

 

구분	설명
목적	차단(deny)이 주 목적이며, 허용(permit)은 선택적
기본 동작	ACL이 없으면 모든 트래픽은 자유롭게 통과함
암묵 규칙	ACL 맨 끝에는 **deny any any**가 암묵적으로 존재
패킷 처리	위에서 아래로 순차 적용, 첫 일치 시 즉시 처리
수정 제한	중간 수정 불가 ➝ 전체 재작성 필요

---

📋 ACL 구성 단계

1. ACL 작성 (하나 이상의 규칙 포함)
2. 인터페이스 지정
3. 트래픽 방향 지정 (IN/OUT)

---

🔄 방향 개념

 

방향	설명
IN	라우터로 들어오는 트래픽 제어 (ex. Serial 인터페이스)
OUT	라우터에서 나가는 트래픽 제어 (ex. FastEthernet 인터페이스)
※ 라우터의 입장에서 바라볼 것

---

📑 ACL 유형

 

종류	범위	특징
표준 ACL	1~99	출발지 IP 기준만 필터링
확장 ACL	100~199	출발지, 목적지, 프로토콜, 포트 모두 지정 가능

---

🧮 와일드카드 마스크

• ACL에서 IP 범위를 설정할 때 사용
• 서브넷 마스크의 반대 개념 (보수)
• 예시 정리:

 

IP/마스크	의미
192.168.2.10 0.0.0.0	하나의 호스트만
192.168.2.0 0.0.0.255	192.168.2.0 ~ 192.168.2.255까지 256대
192.168.2.0 0.0.0.31	192.168.2.0/27 네트워크 (호스트 32개)

---

🛠 ACL 명령어 예시

✅ 표준 ACL

access-list 10 permit 192.168.1.0 0.0.0.255

✅ 확장 ACL

access-list 110 permit tcp 192.168.2.0 0.0.0.255 host 192.168.1.20 eq 80

✅ any와 host 사용

access-list 100 permit ip any any
access-list 100 permit ip host 192.168.2.10 host 192.168.3.30

---

🧩 포트 제어 방식

 

명령어	설명
eq	특정 포트 (ex. eq 80)
gt	지정 포트보다 큰 값 (ex. gt 1023)
lt	지정 포트보다 작은 값
range	범위 설정 (ex. range 20 80)

---

⚠ established 옵션

access-list 100 permit tcp any 192.168.0.0 0.0.255.255 established

• TCP 플래그(ACK, RST 등)가 설정된 패킷만 허용
• 비정상 연결 방지 및 보안 강화에 효과적

---

📦 ACL 끝에 꼭 추가할 것!

access-list 100 permit ip any any

• 암묵적 deny any any로 인해 의도치 않은 서비스 차단 방지

---

✏ 추가 예시 (메모장 작성 후 라우터에 붙여넣기)

access-list 110 deny tcp 192.168.3.0 0.0.0.255 host 192.168.1.20 eq ftp
access-list 110 permit ip any any

---

🖥 Telnet 접근 제어

• Telnet 접속 자체를 ACL로 제어 가능
• 보통 표준 ACL 사용, 인터페이스가 아니라 VTY 라인에 적용

---

💡 팁 정리

• ACL은 인터페이스 방향, 적용 위치, 규칙 순서가 중요하다.
• 여러 프로토콜은 나눠서 설정하는 것이 성능 및 유지보수에 좋음.
• any, host, 와일드마스크 개념은 정확하게 숙지 필수