[49] Network - Packet Tracer | ACL | NAT

(1) ACL

(2) 표준 ACL

(3) 확장 ACL

(4) NAT

---

1. ACL (Access Control List)

  -  패킷 필터링
  -  표준 IP ACL, 확장 IP ACL, Named IP ACL
  - 위에서부터 순차적으로 진행
  - 일치할 경우 ACL의 구문(Deny or Permit) 수행
  - 맨 끝에는 Deny any 묵시적으로 존재

 

 

2. 표준 ACL

  - 출발지 IP주소만 참조하여 패킷을 필터링
   1~99, 1300~1999 번호 사용

 - 어떤 범위를 정하거나, 특정 서비스의 접근을 막을 때 주로 사용
 - Access List 제일 끝은 묵시적으로 Deny Any가 있기 때문에 잘못 설정하면 모든 프로그램을 막는다.
 - 사용할 때 각별한 주의 필요.
 - 세분화 된 필터링이 안되기 때문에 주의
 - 출발지에 가까운 Router에 설정

 

 

<실습 1>

 

구성도

 

  * 라우터 기본 설정과 EIGRP 설정 후 실습 진행 *

 

  - Telnet 접속 확인

모든 PC가 telnet 접속 가능한 상태

 

 

  - ACL 설정

  * host + IP 주소 / IP 주소 + 와일드 카드 마스크  두가지 방법 사용 가능

1-99 : 표준 acl, 100-199 : 확장 acl

2.2.2.2와 3.3.3.2 허용

  - show run 명령어로 설정 확인

access list 적용 확인

 

  * ACL은 중간 설정만 삭제 불가능 = 가장 끝 설정만 삭제 가능

첫번째 순서에 있는 2.2.2.2 삭제

전체 ACL 삭제됨

 

  - Telnet에 ACL 적용

Telnet으로 들어오는 것 이기 때문에 in 설정

 

  - 설정 적용 확인

1.1.1.1에서 접속 불가

2.2.2.2에서 접속 가능

 

  * 특정 IP를 막을 시

2.2.2.2를 deny 설정 후 s1/0에 들어올 때 적용

웹페이지 접속 불가

ping 불가

access list 끝에는 묵시적으로 deny any 존재 > Routing Protocol 연결 끊김

  * 라우터에 적용할 때는 확장 ACL 사용 권장

s1/0에 설정 해제 하면 다시 연결되는 eigrp

 

  - Seoul 라우터의 나가는 트래픽에 ACL 적용하기

f0/0에서 나갈 때 acl 적용

라우팅 테이블 확인

Deny any 때문에 다른 PC들도 ping 불가

 

  - Permit any로 나머지 모든 IP들은 통신 가능하도록 설정

access list 2에 관해 permit any

 

  - 확인

3.3.3.2에서 ping 가능

3.3.3.2에서 웹브라우저 접속 가능

2.2.2.2에서 ping 불가능

2.2.2.2에서 웹브라우저 접속 불가능

 

 

---

 

3. 확장 ACL

 - 목적지에 가까운 Router에 설정

 - 출발지, 목적지 IP 주소, TCP,UDP,포트번호를 참조하여 패킷을 필터링
   100~199, 2000~2699 번호 사용

 

 

<실습 1>

  - 이전 ACL 설정은 초기화 한 후 진행

 

 

  - ACL 설정

  * access-list [list 번호] [deny or permit] [protocol] [출발지 host] [목적지 host] [조건] [port 번호 or 서비스명]

조건 eq = port 번호가 일치할 시

웹서비스의 포트 번호 = 80

2.2.2.2를 1.1.1.1의 웹서비스 차단 / 이외의 모든 IP 허용

 

  - ACL 적용

  * 확장 ACL은 세부적으로 필터링 하기 때문에 들어오는 트래픽에 적용해도 Routing Protocol이 끊기지 않음

 

 

  - 확인

2.2.2.2 ping 가능

2.2.2.2 웹브라우저 접속 불가능

 

 

  * Host 3.3.3.2가 Host 1.1.1.1에 Ping만 불가능하게 설정 *

icmp = ping

s1/0 들어오는 트래픽에 적용

- 확인

3.3.3.2에서 1.1.1.1로 ping 불가능

2.2.2.2는 ping 가능

3.3.3.2에서 웹 접속 가능

 

 

---

 

4. NAT (Network Address Translation)

  - ip 주소 변환
  - routing 정보가 서로 공유되지 않는 다른 두 네트워크 사이의 통신을 가능하게 하는 기술
  - 대표적인 것이 사설망과 공인망 사이에서 통신을 가능하게 하는 것
  - 그러나 망이 커지고 보안등의 목적으로 사설망과 사설망, 공인망과 공인망 사이에서도 NAT가 사용되어짐
  - Static NAT : 사설 IP와 공인IP 1대1
  - Dynamic NAT : 다수의 사설 IP와 다수의 공인 IP 1대1
  - Dynamic NAT-Pat : 다수의 사설 IP와 1개의 공인 IP

  - access list 반드시 사용

 

 

 

<실습 1>

  * Router 기본 설정과 EIGRP 설정 후 진행

  - Static NAT & Dynamin NAT-Pat

구성도

 

  - EIGRP 설정 시 나가는 네트워크 대역만 광고

서울 라우터의 외부 네트워크

가운데 라우터는 외부 네트워크만 존재

부산 라우터의 외부 네트워크

192.168.1.0 대역을 모르기 때문에 ping 불가

 

  - Static NAT 설정 (왼쪽 네트워크)

inside Local IP 주소와 inside Global IP 주소를 mapping

인터페이스에 각 정보 입력

 

  - Dynamic NAT-Pat 설정 (오른쪽 네트워크)

표준 access list 생성 / 외부로 나갈 IP Pool 생성

dynamic nat-pat은 access list로 작성 / 인터페이스에 각 정보 입려

 

  - 확인

192.168.0.1에서 ping

192.168.1.1에서 ping

192.168.1.2에서 200.200.200.1로 웹서버 접속 가능