ACL - access-class

　VTY 액세스 제어

ACL은 라우터를 통과하는 패킷 필터링 외에 라우터에 대한 관리 액세스에 대한 필터링도
사용됩니다. Cisco 라우터에는 VTY (Virtual Type Terminal : 가상 터미널) 포트가 최소 5 가지 이상이고 해당
네트워크 관리자가 telnet 연결이나 SSH 연결을 통해이 VTY 회선에 액세스하여 라우터를 관리합니다. 예를 들어, 3 개의 인터페이스가있는 라우터라면이 세 가지 인터페이스 모두에 대해 확장 ACL을 적용 하여 라우터에 들어오는 Telnet / SSH 연결 패킷을 "허용 또는 거부"시키면 좋겠지 만, 그 같은 귀찮은 일을하지 않아도, VTY에만 표준 ACL을 적용하면 하나의 ACL만을 라우터에 대한 액세스를 제어 할 수 있습니다.

　　　　 595

　VTY 액세스 제어 설정

먼저 라우터에 대한 관리 액세스를 "허용 또는 거부"하는 원본 주소를 정의하는 데 표준 ACL을
설정합니다. 표준 ACL은 "번호가 매겨진 표준 ACL"또는 "명명 된 표준 ACL"에서 모두 적용 할 수 있습니다. ◆ 번호 매기기 표준 ACL 작성 (config) # access-List Number [ permit | Deny ] source wildcard 다음 VTY 라인에 대한 ACL을 적용합니다. ◆ VTY 라인에 ACL을 적용 (config) # line vty 0 15 (config-line) # access-class [number | name] [ in | out ] 그럼 구체적으로 설정 예를 살펴 보겠습니다. 아래 그림과 같이 라우터 자체에 대한 관리 액세스는 확장 ACL을 인터페이스에 적용하는 것보다 라우터의 VTY 라인에 적용하는 것이 간단한 설정됩니다. VTY 액세스 제어 라우터에 대한 관리 액세스 (Telnet / SSH 연결)의 제어한다는 점에서 인바운드로 적용하는 제어가 일반적이지만, VTY 액세스 제어로 아웃 바운드에서도 제어 할 수 있습니다. 아웃 바운드에 적용하면 그 라우터에서 다른 네트워크 기기에 관리 액세스 (Telnet / SSH 연결) 할 때의 목적지로의 통신을 제어 할 수 있습니다. 지금까지 표준 ACL은 "원본 주소 확인"이라는 자리 매김으로 사용되고있었습니다 만, VTY에서의 액세스 제어 (아웃 바운드)에서는이 표준 ACL은 "원본 주소 확인"이 아니라 " 대상 주소보기 '라는 자리 매김에 사용됩니다.

　　 606

　　 636

중요한 반복되지만이 VTY에서의 액세스 제어는 "라우터를 통과하는 트래픽"이 아니라
"라우터 자신으로부터 발생하는 트래픽 '이 적용됩니다. 그리고 그 트래픽은 라우터 직접 실행
Telnet / SSH 등의 트래픽이 대상입니다. ※ 라우터에 telnet 10.1.1.1을 입력 한 경우 발생하는 트래픽.