ACL(Access Control-List) Tip

"네트워크 전문가 따라하기(cafe.naver.com/neteg.cafe)" 카페의 키미지 님의 글입니다.

 

 

■ ACL 만들때, 주의점

라우터/스위치는 PIX방화벽이랑 틀려서 기본 All Open 입니다..

하지만, Access-list 를 만드는 순간.. 기본 Deny 로 변태(?)하는 걸 주의해야 합니다.

 ex) vlan 5 에 적용할 ACL을 하나 만들어 보겠습니다.

Catalist4006(config)#access-list 111 deny tcp any any eq 4444

이렇게 만드면.. 라우터(혹은 스위치)는 아래와 같이 생각합니다..

Catalist4006(config)#access-list 111 deny tcp any any eq 4444
Catalist4006(config)#access-list 111 deny ip any any

빨간색은 우리눈에 안보입니다. Default로 올라간다고 보심 됩니다.

저렇게 만들어 놓구, 포트에 적용하면.. 그포트는 이제 못쓰는 포트됩니다..

그게 만약, Uplink라면.. 인터넷 마비를 초래합니다.. (제가 며칠전 그랬네염..ㅎㅎ)

그래서, 항상 ACL을 만드실때는 모든 것을 허용한다는 명령어를 넣어주는게 좋겠져..

Catalist4006(config)#access-list 111 deny tcp any any eq 4444
Catalist4006(config)#access-list 111 permit ip any any

 
■ ACL 적용

ACL을 만드는 건 시스템 장애와는 아무런 상관이 없습니다..

적용시키기 전까지는 백해무익(?)한 놈입니다.. - 어제까지 로또님 상황 -

해당 인터페이스에 들어가서

Catalist4006(config-if)#ip access-group 111 in

하는 순간에 적용됩니다.

저장 하고는 상관없습니다. 엔터를 누르는 순간에 적용됩니다.

따라서, ACL 만들고 적용시는 많은 주의가 필요합니다.

 

■ 만드는 순서

ACL 을 먼저 만들고, 그 담에 적용합니다.

Catalist4006(config)#access-list 111 deny tcp any any eq 4444
Catalist4006(config)#access-list 111 permit ip any any
Catalist4006(config)#int vlan 5
Catalist4006(config-if)#ip access-group 111 in

■ 지우는 순서

적용된 걸 지우고 나서, ACL 을 지워야 합니다.

거꾸로 하면.. 이제 그 네떡은 못쓰는 네떡이 될 수도 있습니다.. ㅠ.ㅠ

Catalist4006(config)#int vlan 5
Catalist4006(config-if)#no ip access-group 111 in
Catalist4006(config-if)#exit
Catalist4006(config)#no access-list 111

no access-list 111 하면.. access-list 111 의 모든 정책이 한꺼번에 날아갑니다.

■ Access-list 추가할 때

같은 넘버의 ACL에 정책을 추가한다면..

access-list 111 deny tcp any any eq 69 
access-list 111 deny tcp any any eq 135
access-list 111 deny tcp any any eq 4444

가령, 위와 같이 ACL을 만들어서 벌써 포트에 적용시켜 사용하고 있는데,

access-list 111 deny tcp any any eq 137 을 추가한다고 하면.

Catalist4006#conf t
Catalist4006(config)#access-list 111 deny tcp any any eq 137
 
이렇게만 하면 좋겠으나, 라우터 ACL은 같은 넘버의 ACL을 추가시 기존걸 지우고 추가하는 것만 올라(?)갑니다..

따라서, 이경우도 간혹 못쓰는 네떡이 될 수 있으니.. 유의하세요..

즉, 추가시에는 기존 리스트와 함께 다시 새로 적용함을 원칙으로 하세요..

ACL 적용 제거하고, ACL 지우고, 새로 ACL 만들고 다시 적용하는게 젤 안전합니다.

그래서, 시간을 줄이고 정확하게 작업을 하기 위해 메모장을 많이 이용합니다..  복사해서 붙이고..