ACL(Access Control List)

📌 ACL(Access Control List)

ACL은 PC, 서버에 있는 방화벽(Firewall)과 유사한 기능을 수행합니다.
특정 패킷이 지정된 경로(인터페이스)를 지나갈 때, 출발지, 목적지, 프로토콜 등을 검사하여 조건에 맞는 패킷만 허용하고 나머지는 차단하는 기술입니다.

 

---

🛠 ACL 기본 사용법

1️⃣ ACL 규칙 생성

 

Router(config)# access-list 10 permit 192.168.10.0 0.0.0.255

구분설명

1. 리스트 번호	1 ~ 99 : Standard ACL 100 ~ 199 : Extended ACL
2. 허용/거부	permit : 허용 / deny : 차단
3. 출발지 주소	192.168.10.0 0.0.0.255 → 특정 네트워크 허용 192.168.10.2 0.0.0.0 or host 192.168.10.2 → 특정 호스트 허용 0.0.0.0 255.255.255.255 or any → 모든 주소 허용

---

2️⃣ ACL을 인터페이스에 적용

 

Router(config)# interface f0/0 Router(config-if)# ip access-group 10 out

구분설명

4. ACL 리스트 번호	적용할 ACL 번호 (위에서 생성한 ACL 10번)
5. 방향 (Direction)	out : 라우터에서 나가는 패킷 in : 라우터로 들어오는 패킷

---

🔎 ACL 규칙의 동작 방식

ACL은 상위 규칙부터 순서대로 검사하며, 일치하는 규칙을 찾으면 적용되고 검사가 중지됩니다.
규칙에 맞는 패킷이 없으면 암묵적으로 모든 트래픽을 차단하는 deny any가 적용됩니다.

예시) ACL 규칙 동작 흐름

 

access-list 10 permit host 192.168.10.1 access-list 10 permit host 192.168.20.1 access-list 10 permit 192.168.10.0 0.0.0.255 access-list 10 deny any # 암묵적으로 자동 생성됨

• 192.168.10.1 → 허용
• 192.168.20.1 → 허용
• 192.168.10.100 → 허용
• 192.168.30.5 → 차단 (deny any 적용)

---

🔥 실습: DHCP를 이용한 네트워크 접근 제어

📌 목표

✅ DHCP로 주소를 할당받은 PC는 통신 허용
✅ Static IP를 설정한 Laptop은 통신 차단
✅ ACL을 지정된 인터페이스에 적용

🌍 네트워크 구성

 

📑 ACL 설정 (R1 라우터)

 

Router(config)# access-list 10 permit 192.168.0.128 0.0.0.127   # DHCP 주소 범위 허용
Router(config)# access-list 10 deny 192.168.0.0 0.0.0.127       # Static IP 사용 Laptop 차단
Router(config)# access-list 10 permit any                      # 그 외 모든 트래픽 허용

Router(config)# interface f0/0
Router(config-if)# ip access-group 10 in

✔ 192.168.0.128 ~ 192.168.0.255 (DHCP 범위) 허용
❌ 192.168.0.0 ~ 192.168.0.127 (Static IP) 차단
✔ 그 외 모든 트래픽 허용

---

🔄 RIPv2 설정

**동적 라우팅 프로토콜(RIPv2)**를 사용하여 R1과 R2 간 네트워크를 학습

🔹 R1 라우터 RIP 설정

Router(config)# router rip
Router(config-router)# version 2
Router(config-router)# network 1.0.0.0
Router(config-router)# network 192.168.0.0
Router(config-router)# no auto-summary

🔹 R2 라우터 RIP 설정

Router(config)# router rip
Router(config-router)# version 2
Router(config-router)# network 1.0.0.0
Router(config-router)# network 10.0.0.0
Router(config-router)# no auto-summary

---

📢 추가 팁: ACL 적용 위치와 방향

ACL을 적용할 때 "어디에, 어떻게" 적용할지를 고려해야 합니다.
잘못 설정하면 원하지 않는 트래픽이 차단될 수 있습니다.

🔹 Standard ACL (1~99번)

• 출발지 주소만 필터링 가능
• 목적지 기준이 없으므로 인터페이스에 가까운 위치에서 적용해야 효과적
• 예시: ip access-group 10 in (입력 방향에 적용)

🔹 Extended ACL (100~199번)

• 출발지 + 목적지 + 프로토콜까지 필터링 가능
• 목적지를 고려할 수 있어 최적의 위치에서 적용 가능
• 예시: ip access-group 110 out (출력 방향에 적용)

---

📌 정리

✅ ACL은 네트워크 보안을 위한 필수 기능
✅ Standard ACL은 출발지 기준, Extended ACL은 출발지+목적지 기준
✅ ACL은 상위 규칙부터 순차적으로 검사됨 (암묵적 deny any 주의!)
✅ 잘못된 ACL 적용 위치는 트래픽 차단 문제를 유발할 수 있음
✅ DHCP 사용자는 허용, Static IP 사용자는 차단하는 ACL 실습 진행