ACL은 ‘Inbound 또는 Outbound 패킷을 허용하거나 차단한 필터’ 로 구성되어 있다. 라우터에서 사용한다.

그렇다면 ACL은 언제 사용될까

보통 라우터로 트래픽이 접근하는 것을 제어하거나 라우터를 TELNET, SSH의 접근으로부터 보호할 때 사용된다.  더불어 QoS 정책을 구현하거나 NAT,PAT 기능을 구현하기 위해 사용되기도 하고, IPSec VPN을 적용하기 전 트래픽을 정의하기 위해 사용되기도 한다.

이렇게 보면 ACL이 없으면 안될 것 같다. 그럼 그냥 명령어만 우후죽순 실행시키면 적용이 될까? 그렇지만은 않다.

우리가 ACL을 효율적으로 쓰기  위한 주의사항

1. ACL 설정할 때, 서브넷 범위가 작은 항목부터 설정한다.
2. ACL 마지막에는 항상 ‘deny any’로 처리된다.
3. ACL은 부분적으로 추가하거나 삭제할 수 없다.

아래와 같은 ACL 설정 구문이 있다고 가정하자!
(설정값은 이따가 다시 다루기로..)

[1번째 상황] IP ‘10.0.0.1’을 가진 호스트는 접근이 될까?
당연히 접근할 수 없다. ①을 보면 ‘10.0.0.0/8’에 해당하는 네트워크 대역은 ‘deny’ 되어 있으니까 말이다.

[2번째 상황] IP ‘10.1.0.1’을 가진 호스트는 접근이 될까?
아쉽게도 접근할 수 없다. 이미 ①에서 ‘10.0.0.0/8’에 속하는 IP로 분류했기 때문에 접근을 거부한다.

②에서 설정한 건 무용지물이라고?
그렇다. ②가 제대로 동작하길 원한다면 ①과 ②를 서로 바꿔주어야 한다.

이렇게 말이다.

ACL 유형

1. Standard ACL
항목번호 1~99, 아주 기본적인 ACL만 구성할 수 있다. 출발지 호스트와 서브넷만 정의할 수 있다.

2. Extended ACL
100~199, 출발지는 물론 목적지 주소와 서브넷, 프로토콜 유형과 포트번호를 정의할 수 있다. 여러 옵션을 이용하여 QoS, IOS Firewall을 위한 패킷 필터링도 가능하다.

3. Ethernet ACL
700~799, 라우터로 접근하는 출발지 MAC주소를 정의할 수 있다.

4. Extended Ethernet ACL
1100~1199, 출발지와 목적지 MAC주소를 정의할 수 있다.

5. Named ACL
항목번호 대신 텍스트로 된 이름으로 ACL 항목을 설정할 수 있다.
Named ACL로 사용할 수 있는 유형은 Standard, Extended, Extended Ethernet 이다. Ethernet ACL은 Named ACL로 사용할 수 없다.

Router에서의 IN / OUT

ACL을 적용하려면, 특정 인터페이스로 진입하여 ‘in’인지 ‘out’인지 설정해주어야 한다. 처음 이 개념을 접할 때, 헷갈리는 경우가 종종 있었다.

개념은 간단하다.
외부 → Router로 데이터가 들어오면 IN
(여기서 외부란 네트워크 외부망 개념과는 다르다.)

fa0/0을 통해 데이터가 들어오고 있다. fa0/0 인터페이스가 ‘IN’ 방향인 것이다.

외부 ← Router로 데이터가 나가면 OUT

Router가 s0/0 인터페이스로 데이터를 내보내려고 한다. s0/0 인터페이스는 ‘OUT’ 방향이라고 할 수 있다.