7일차 ACL 시간

* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다.

  게시된 내용들은 잘 알려져있는 기술들입니다. 따라서  악용하더라도 쉽게 적발되니

  절대 악용해서는 안됩니다.

-------------------------------------------------------------------------------------------

!R1

conf t

int fa0/0

 ip add 1.1.12.1 255.255.255.0

 no shut

router ospf 1

 network 1.1.12.1 0.0.0.0 area 0

!R2

conf t

int fa0/0

 ip add 1.1.23.2 255.255.255.0

 no shut

int fa0/1

 ip add 1.1.12.2 255.255.255.0

 no shut

router ospf 1

 network 1.1.23.2 0.0.0.0 area 0

 network 1.1.12.2 0.0.0.0 area 0 

!R3

conf t

int fa0/0

 ip add 1.1.34.3 255.255.255.0

 no shut

int fa0/1

 ip add 1.1.23.3 255.255.255.0

 no shut

router ospf 1

 network 1.1.34.3 0.0.0.0 area 0

 network 1.1.23.3 0.0.0.0 area 0

!R4

conf t

int fa0/1

 ip add 1.1.34.4 255.255.255.0

 no shut

router ospf 1

 network 1.1.34.4 0.0.0.0 area 0

-------------------------------------------------------------------------------------------

R2 기준으로

내부망 외부망이 나뉘어진다.

R1에서는 R3 R4로 핑이 되지만 R3과 R4에서는 R1으로 핑이 안되게 하고싶다.

acl-in 이라는 extended ACL 

icmp 타입의 출발지 상관없이 목적지 1.1.12.1 인 패킷을 허용 하겠다.

단 , echo-reply만 허용하겠다.

인터페이스에  적용 시켜주고 

그냥하면 ospf가 차단되니 acl에 ospf 옵션을 추가해주겠다.

추가하자마자 neighbor가 FUll로 바뀐게 보인다.

!R3에서는 안되고 (R2에서 no ip unreachables 가 적용된 상태)

!R1에서는 잘되는게 보인다 

-------------------------------------------------------------------------------------------

* 시간으로 필터링하기

라우터가 인터넷에 연결된 것이 아니기 때문에 수동으로 시간을 맞춰줘 본다

clock set 시:분:초 일 월 년

acl-in이라는 extended ACL

15 시퀀스 넘버로 icmp 타입의 출발지 상관없이 목적지 1.1.12.1 인 time-range test를 적용 시킨다.

time-range test

periodic( 반복)  "?"로 세부 옵션 확인해서 

시작하는 시간 to 끝나는 시간 해준다

그럼 지정된 시간에 적용되는 것이다.

이렇게 되어있고

시간이 되니 R3에서 핑이 되는게 보인다.

---------------------------------------------------------------------------------------------

ACL 실습

* 가상 회사 토폴로지에 ACL 적용

1. 가상 회사의 토폴로지에서 ACL이 필요한 부분 파악

2. ACL 정책 디자인

3. ACL 적용 후 ACL에 따른 통신 허용 또는 차단 확인