8) Access Control List ( Standard, Extended, Named)

*ACL
네트워크에서 인터페이스로 인바운드 또는 아웃바운드 패킷을 허용하거나 차단하는 일을 수행한다. 필터 요소에는 출발지 주소와 목적지 주소, 프로토콜 유형, 어플리케이션 서비스 포트 번호 및 타입으로 구성이 된다.

*주의사항
1. 서브넷 범위가 작은 항목부터 설정한다.
ACL 항목을 설정하게되면 설정된 순서대로 순서 번호가 할당이 되어 지는대 이때 큰 범위의 항목부터 하게되면 세밀한 필터링을 할 수 없게 된다.

2. ACL 항목 마지막에는 명시적으로 'deny any'로 처리된다.
ACL 설정시 마지막에는 deny any로  되어 처리되기 때문에 모든 패킷이 차단되는 문제가 생긴다. 특정 패킷만 거부한다는 필터링시에는 마지막에 'permit any'를 설정한다.

3. 기본적인 ACL 항목은 부분 추가와 부분 삭제가 불가능하다.
ACL 설정시 순서대로 각 항목에 순서번호가 할당이 되어지며 이번호 순서대로 검사하여 필터링을 실시한다. 하지만 기본적인 ACL에서는 부분 추가와 삭제가 불가능하니 설정시 미리 정리하고 난 뒤에 설정을 해야한다.
※Named ACL을 통해서는 부분 추가와 삭제가 가능하다.

*ACL 종류
1. Standard ACL
 사용할 수 있는 번호는 1 ~ 99번 까지이며 기본적인 출발지 서브넷과 호스트만 정의를 할 수 있는 기본적인 항목만 설정할 수 있다.
---------------------------------Router 1--------------------------------
Router1#conf t
Router1(config)#access-list 10 deny 192.168.10.0 0.0.0.255
Router1(config)#access-list 10 deny 192.168.20.0 0.0.0.255
Router1(config)#access-list 10 deny 192.168.30.0 0.0.0.255
Router1(config)#access-list 10 deny 192.168.40.0 0.0.0.255
Router1(config)#access-list 10 permit any
Router1(config)#interface fa 0/0
Router1(config-if)#ip access-group 10 in
Router1#show access-lists 10

마지막 permit any을 통해 나머지 패킷은 허용을 한다.
-----------------------------------------------------------------------------

2. Extended ACL
 사용할 수 있는 번호는 100 ~ 199까지이며 Standard ACL에 비해 다양한 패킷 정보를 설정할 수 있어 다양한 환경으로 필터링할 수 있다. 
ex ) 192.168.10.10 호스트는 FTP 172.16.6.200서버로 접근 차단, 모든 호스트로 부터 172.16.6.200서버로 Telnet 서비스를 차단
---------------------------------Router 1--------------------------------
Router1#conf t
Router1(config)#$ 100 deny tcp host 192.168.10.10 host 172.16.6.200 eq 20
Router1(config)#$ 100 deny tcp host 192.168.10.10 host 172.16.6.200 eq 21
Router1(config)#access-list 100 deny tcp any host 172.16.6.200 eq 23
Router1(config)#access-list 100 permit ip any any
Router1(config)#interface fa 0/0
Router1(config-if)#ip access-group 100 in
Router1#show access-lists 100

※ping 을 막는 것 : access-list 100 deny icmp any host 172.16.6.200 echo log-input
---------------------------------------------------------------------------

3. Ethernet ACL
사용할 수 있는 번호는 700 ~ 799까지이며 출발지 MAC 주소를 이용하여 설정을 한다. 단 named ACL로 구성할 수 없다.
※Switch 카테고리에서 할 예정 

4. Extended Ethernet ACL
사용할 수 있는 번호는 1100 ~ 1199까지이며 출발지 MAC, 목적지 MAC 주소를 이용하여 설정을 할 수 있다. 단 named ACL로 구성시엔 extended 키워드를 사용
※Switch 카테고리에서 할 예정

5. Named ACL
 번호대신 TEXT이름을 이용하여 ACL 항목을 설정한다. 가장 큰 장점은 부분 추가와 삭제가 가능하기 때문에 유동적인 ACL 환경에서 사용하기에 적합하다.
---------------------------------Router 1--------------------------------
Router1#conf t
Router1(config)#ip access-list extended acl-test  (acl-test라는 이름으로 생성)
Router1(config-ext-nacl)#deny icmp any host 172.16.6.200 echo log-input
Router1(config-ext-nacl)#deny tcp 192.168.10.0 0.0.0.255 host 172.16.6.200 eq 80
Router1(config-ext-nacl)#15 deny tcp any host 172.16.6.200 eq 23  (부분 추가)
Router1(config-ext-nacl)#permit ip any any
Router1(config)#interface fa 0/0
Router1(config-if)#ip access-group acl-test in
Router1#show access-lists 100

10번과 20번사이 15번이라는게 만들어 졌다.

------------------------------------------------------------------------------