원격 접근 ACL

■ Telnet

- 특권 PW

- 가상회선 범위
- 가상회선 PW

 

■ SSH
- 특권 PW
- 로컬 계정
- 도메인 정의
- 암호화 알고리즘 및 암호 키 길이
- 가상회선 범위
- 가상회선에 대한 로컬 계정 적용

 

원격접속 & ACL 토폴로지

 

■ IP 주소 설정

 

R1 라우터

en
conf t
int s2/0
ip addr 192.168.12.1 255.255.255.0
no sh
int fa0/0
ip addr 172.16.1.254 255.255.255.0
no sh

 

R2 라우터

en
conf t
int s3/0
ip addr 192.168.12.2 255.255.255.0
no sh
int s2/0
ip addr 192.168.23.1 255.255.255.0
no sh
int fa0/0
ip addr 172.16.2.254 255.255.255.0
no sh

 

R3 라우터

en
conf t
int s3/0
ip addr 192.168.23.2 255.255.255.0
no sh
int fa0/0
ip addr 172.16.3.254 255.255.255.0
no sh

 

■ RIP 설정

 

R1 라우터

router rip
ver 2
net 192.168.12.0 
net 172.16.1.0 
no auto-summary

 

R2 라우터

router rip
ver 2
net 192.168.12.0 
net 192.168.23.0 
net 172.16.2.0 
no auto-summary

 

R3 라우터

router rip
ver 2
net 192.168.23.0 
net 172.16.3.0 
no auto-summary

 

 

■ 원격 접속 설정

 

R1 라우터

conf t
hostname R1
enable pass 1111
line vty 0 4
pass 2222

 

PC1

telnet 172.16.1.254
2222

 

R2 라우터

conf t
hostname R2
enable pass 1111
ip domain-name cisco.com
username ccna pass 3333
crypto key generate rsa
line vty 0 4
login local

 

PC1

ssh -l ccna 192.168.12.2
3333

 

■ ACL 조건문

 

172.16.1.0/24에서만 R2에 대한 원격 접속이 거부되도록 하시오.

 

R2 라우터

conf t
acc 100 deny tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq 22
acc 100 permit ip any any
int s3/0
ip acc 100 in

 

※ 이렇게 설정하면 172.16.1.0/24에서 192.168.12.2로의 원격 접속은 차단되나, 라우터의 다른 IP로의 원격 접근은 허용된다. 라우터의 인터페이스가 많을수록 이러한 문제는 더 심각하게 된다. 이를 해결하기 위해서는 원격접속에서 이용하는 인터페이스가 물리 인터페이스가 아닌 논리 인터페이스(VTY)임을 인지하고 ACL의 적용을 vty에 하는 방법을 취해야 한다,

vty는 원격 접속용 프로토콜(telnet, ssh 등)만 사용하므로 이들에 대한 ACL을 확장으로 할 필요가 없다.(표준으로 진행)

 

R2 라우터

conf t
no acc 100
acc 1 deny 172.16.1.0 0.0.0.255
acc 1 permit any
line vty 0 4
access-class 1 in