CCNA 자격증 과정 (7)

와일드 카드 마스크(Wildcard Mask)

• wild: 서브넷 마스크 규칙이 적용되지 않는다(<-> 서브넷 마스크)
• 장점 : 서브넷 마스크로 설정이 불가능한 IP 서브넷을 정의 가능

• 사용 : ACL, EIGRIP, OSPF

• 규칙
  • 공통 bit : 0
  • 비공통 bit : 1

# 서브넷 마스크 vs 와일드카드 마스크

서브넷 마스크               와일드 카드 마스크
255.255.255.255            0.0.0.0
255.255.255.0              0.0.0.255
255.255.0.0                0.0.255.255
255.0.0.0                  0.255.255.255
0.0.0.0                    255.255.255.255

255.255.255.252            0.0.0.3
255.255.255.224            0.0.0.31

EX1) 192.168.1.0/24 ~ 192.168.255.0/24 중에 홀수 서브넷만 정의한다.
> 192.168.1.0, 192.168.3.0, 192.168.5.0 … 192.168.255.0

---

ACL (Access Control List)

• 선수지식
  • 와일드 카드 마스크
    • 상단 참조

  • 포트 번호

      TCP                 UDP
      -------------------------
      http     80         dns       53
      https    443        dhcps     67
      telnet   23         dhcpc     68
      ssh      22         tftp      69
      ftp      21         syslog    514
      ftp-data 20         ntp       123
      smtp     61         smnp      165
      pop3     110        snmp-trap 162
      imap     143
    

1. ACL 목적
   • 트래픽 필터링
   • 방화벽 구성
   • IP 주소 및 서브넷 정의
2. ACL 설정 시 파악할 요소
   • 출발지/목적지
   • 허용(Permit)/차단(Deny)
   • in/out
3. ACL 처리 과정 및 주의 사항
   1. 서브넷 범위가 작은 항목부터 설정해야한다.
      • ACL을 설정하면 설정된 순서대로 순서 번호를 할당받는다.
      • 순서 번호대로 검사하여 조건에 만족된 항목이 있으면 ACL 동작을 실시한다.
      • 그 다음 항목은 검사하지 않는다.
   3. Standard ACL
      • ACL 번호: 1-99
      • 검사 항목: 출발지

      • 기본 명령어 : access-list [1-99] permit

        deny IP MASK {log}

       ! @Router
       int f0/0
       ip access-group [1-99] in|out
       ! ex. ip access-group 10 in 
      

      • line vty에만 설정하여 telnet, ssh만 허용하게 하는 방법도 있다.
   4. Extended ACL
      • ACL 번호 : 100-199
      • 검사 항목 : 출발지/목적지, 프로토콜(ip, tcp, udp, icmp, eigrp, ospf)
        • 프로토콜, 출발지/목적지 IP, 출발지/목적지 Port
        • 차단/허용
        • 흐름/in/out

       ! ex1. 출발지가 13.13.30.1인 PC가 FTP(13.13.10.1)로 접근하는 트래픽 허용
      
       프로토콜    출발지 IP     출발지 Port      목적지 IP        목적지 Port
       --------------------------------------------------------------------
       tcp        13.13.30.1    any             13.13.10.1       21,20
              
       access-list 110 permit tcp 13.13.30.1 0.0.0.0 13.13.10.1 0.0.0.0 eq 21
       access-list 110 permit tcp 13.13.30.1 0.0.0.0 13.13.10.1 0.0.0.0 eq 20
       or
       access-list 110 permit tcp host 13.13.30.1 host 13.13.10.1 range 20 21
      
      
       ! ex2. 출발지가 13.13.20.1인 PC가 웹서버(13.13.10.1)로 접근하는 트래픽 허용
      
       프로토콜    출발지 IP     출발지 Port      목적지 IP        목적지 Port
       --------------------------------------------------------------------
       tcp        13.13.30.1    any             13.13.10.1       80,443
              
       access-list 110 permit tcp 13.13.30.1 0.0.0.0 13.13.10.1 0.0.0.0 eq 80
       access-list 110 permit tcp host 13.13.30.1 host 13.13.10.1 eq 443
       ! range 는 말그대로 범위이기 때문에 적절하지 않다.     
      
      
       ! ex3. 출발지가 13.13.30.1인 PC가 13.13.10.1인 서버로 icmp 접근하는 트래픽 허용
      
       프로토콜    출발지 IP     출발지 Port      목적지 IP        목적지 Port
       --------------------------------------------------------------------
       icmp       13.13.30.1    X               13.13.10.1       X
              
       access-list 110 permit icmp host 13.13.30.1 host 13.13.10.1        
      

[참고]

conf t
int lo 1
ip addr 14.1.1.254 255.255.255.0