ACL (3) Extended ACL

<>Extended access list

1. numbered mode 

   R1(config)# access-list {extended acl number} {deny | permit | remark | dynamic} {protocol} {host | source address}                           {wildcard mask}{host | destination address}{wildcard mask}

2. named mode

   R1(config)# ip access-list extended {acl number | WORD}

   R1(config)#  {deny | permit | remark | dynamic} {protocol} {host | source address}{wildcard mask}{host | destination                          address}{wildcard mask} {log}

표준 엑세스 리스트에 추가하여 목적지 주소도 명시가능하며, IP를 포함한 모든 프로토콜의 종류별로 제어가능하다.

번호를 사용한 numbered 와 이름을 사용한 named 모두 사용하며, 표준 엑세스 리스트와 기본적인 설정형태는 같다.

프로토콜의 종류는 ahp, IGP 프로토콜인 ospf, eigrp, rip 그리고 ip, layer4 프로토콜인 tcp, udp, 핑을 위한 icmp,

gre 터널링 프로토콜, pim 멀티캐스트 프로토콜, esp 보안 프로토콜등 이 있다. ?로 확인

ex)

   목적지 100.1.1.0/24 에 대해 호스트 121.52.18.1 로 부터 ospf 패킷과 icmp 패킷을 허용, 호스트 121.52.17.1 의 eigrp 

   패킷을 허용한다.

  

   R1(config)# ip access-list extended EXACL

   R1(config-ext-nacl)# permit ospf host 121.52.18.1 100.1.1.0 0.0.0.255

   R1(config-ext-nacl)# permit icmp host 121.52.18.1 100.1.1.0 0.0.0.255

   R1(config-ext-nacl)# permit eigrp host 121.52.17.1 100.1.1.0 0.0.0.255

  

   

   목적지 150.1.1.0/28 에 대해 ospf 패킷과 icmp 패킷을 제외한 사설 네트워크 192.168.0.0/24 대역을 모두 필터링 하고,  

   나머진 모두 허용

   R1(config)# ip access-list extended PERMIT_LIST

   R1(config-ext-nacl)# remark *No private IP // ospf and icmp permit 

   R1(config-ext-nacl)# permit ospf any 150.1.1.0 0.0.0.15

   R1(config-ext-nacl)# permit icmp any 150.1.1.0 0.0.0.15

   R1(config-ext-nacl)# deny ip 192.168.0.0 0.0.0.255 host 150.1.1.0 0.0.0.15

   R1(config-ext-nacl)# permit ip any 150.1.1.0 0.0.0.15

   

3. 헤더 참조

   헤더별로 패킷을 분류하여 차단, 허용한다.

   앞부분엔 QOS에 관련한 항목들로써 일례로 후순위의 DSCP , TOS 값의 패킷을 차단하거나, 

   분할된 패킷을 재조립하지 않기 위해 fragment 패킷을 차단하여 부하를 줄이는등 장비의 성능에 영향을

   미칠수 있는 항목들을 확인할수 있다.

   permit, deny 행 마지막에 option을 추가하면 좀더 세부적인 항목들을 확인할수 있다.

   현업에서 사실상 사용빈도가 높진 않다. 요즘 장비들의 성능도 좋고 애초에 방화벽 기능을 ASA/PIX 로 대부분 돌리기 때문에

   IOS 자체적으로 헤더베이스의 필터링을 이용하기는 설정도 번거롭고 관리도 어렵기 때문이다.

   ex)

   

   R1(config-ext-nacl)# deny ip any any tos normal

   TOS 0 의 노말 패킷을 모두 차단

   R1(config-ext-nacl)# deny ip any any dscp af41

   AF41 값을 가진 DSCP 패킷 차단

   R1(config-ext-nacl)# deny ip any any option traceroute

   트레이스 라우트 헤더를 달고 들어오는 모든 패킷을 차단. 

   R1(config-ext-nacl)# deny ip any any option record-route

   레코드 라우트 헤더 패킷은 차단 (확장핑으로 record 명령을 추가할시 확인가능)