라우터 ACL 정리...패킷트레이서에서 안 먹히는 ACL 정리...

[김종록]

Cisco Router ACL 명령어 — 한 페이지 정리

---

✅ 1. ACL 기본 구조

access-list <번호> <permit | deny> <조건>

---

✅ 2. 표준 ACL (Standard ACL)

범위: 1–99, 1300–1999
기능: 오직 Source IP만 필터링

✔ 표준 ACL 작성 예

access-list 10 permit 192.168.1.0 0.0.0.255 access-list 10 deny any

✔ 표준 ACL 인터페이스 적용

interface GigabitEthernet0/0 ip access-group 10 in

---

✅ 3. 확장 ACL (Extended ACL)

범위: 100–199, 2000–2699
기능: Source/Destination IP, Port, Protocol 등 세부 제어

✔ 확장 ACL 작성 예

access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80 access-list 100 deny icmp any any

✔ 확장 ACL 인터페이스 적용

interface GigabitEthernet0/1 ip access-group 100 out

---

✅ 4. Wildcard Mask 기본

0 : 정확히 일치 255 : 모두 허용

예:

• 0.0.0.255 → /24

• 0.0.0.0 → Host 단일 IP

• 255.255.255.255 → any

---

✅ 5. Named ACL (이름으로 ACL 생성) ✔ Named Standard ACL

ip access-list standard MYACL permit 192.168.1.0 0.0.0.255 deny any

✔ Named Extended ACL

ip access-list extended WEBFILTER permit tcp any any eq 80 deny ip any any

---

✅ 6. ACL 적용 명령어

ip access-group <ACL번호/이름> in | out

• in : 인터페이스로 들어오는 패킷 검사

• out : 인터페이스를 나가는 패킷 검사

---

✅ 7. 필수 규칙

✔ ACL은 위에서 아래로 평가 (첫 번째 일치 룰 적용)
✔ ACL 끝에는 자동으로 deny any 존재
✔ 표준 ACL = 목적지 가까운 인터페이스에 적용
✔ 확장 ACL = 출발지 가까운 인터페이스에 적용

---

📌 전체를 한 번에 보는 요약 예시 ▶ 표준 ACL 예

access-list 1 deny 10.0.0.0 0.255.255.255 access-list 1 permit any interface g0/0 ip access-group 1 in

▶ 확장 ACL 예

access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 443 access-list 101 deny ip any any interface g0/1 ip access-group 101 out

---

더 필요하시면
📌 “패킷트레이서에서 안 먹히는 ACL 명령어 정리”
📌 “실전 라우터 ACL 설정 순서”
도 바로 만들어드릴게요!

나의 말:

패킷트레이서에서 안 먹히는 ACL명령어 정리

ChatGPT의 말:

아래는 **Packet Tracer에서 실제로 “안 먹히는(지원하지 않는) ACL 명령어들을 한 페이지로 정리한 목록”**입니다.
Packet Tracer는 실제 IOS 기능보다 축소된 SIM이라 일부 명령어가 제한됩니다.

---

📌 Packet Tracer에서 안 먹히는 ACL 명령어 정리 (한 페이지)

---

✅ 1. BGP 관련 ACL / Route-map / Prefix-list 거의 미지원

Packet Tracer는 라우터가 BGP를 완벽히 지원하지 않기 때문에
관련 ACL 명령어가 안 먹힘.

❌ show bgp
❌ ip prefix-list ...
❌ route-map ... match ip address ...
❌ BGP 필터링용 ACL 대부분 사용 불가

---

✅ 2. Advanced ACL Match 옵션 미지원

실제 IOS에서는 Extended ACL에서 많은 match 옵션이 됨.
하지만 Packet Tracer는 아래 기능 대부분 미지원:

❌ established 옵션
❌ log 또는 log-input
❌ fragments
❌ precedence
❌ tos
❌ time-range
❌ reflect, eval‎uate (CBAC)
→ “지원 안 되는 명령어입니다.” 또는 입력 자체 불가

---

✅ 3. Named ACL 일부 기능 축소

Packet Tracer에서는 Named ACL 자체는 가능하지만:

❌ ip access-list extended NAME 내부에서 일부 서브 명령어가 없음
❌ ACL sequence 번호 수정(10, 20, 30 등) 미지원
❌ no 20 같은 라인 삭제 불가
❌ remark 를 지원 안 하는 라우터 모델도 있음

---

✅ 4. IPv6 ACL은 대부분 안 됨

대부분의 Packet Tracer 라우터는 IPv6 ACL 제한이 많음.

❌ ipv6 traffic-filter
❌ ipv6 access-list ... permit tcp any any eq 80
❌ IPv6 service ACL도 일부 불가

---

✅ 5. L4 포트 관련 일부 옵션 미지원

실제 IOS와 달리 Packet Tracer에서는 아래 중 일부가 적용 안 됨:

❌ range
❌ neq
❌ gt, lt (일부 모델에서만 가능)
❌ object-group 기반 ACL 완전 미지원

---

✅ 6. 인터페이스 적용 시 제한되는 경우

인터페이스 자체가 ACL을 지원하지 않는 경우가 있음.

예:

• 일부 스위치 SVI

• 일부 라우터 구형 모델의 Serial 인터페이스
  → 입력해도 적용되지 않음

❌ ip access-group 101 out 자체가 안 먹히는 경우 있음.

---

✅ 7. NAT-Acl 연동 일부 불가

Packet Tracer는 NAT 기능도 제약이 있어서:

❌ ip nat inside source list 1 pool
❌ ACL로 NAT 제외 기능(exclude)
❌ dynamic PAT/overload 상황에서 일부 ACL 인식 안 됨

---

📌 실제 Packet Tracer에서 100% 동작하는 ACL 패턴 ✔ 표준 ACL (Standard)

access-list 1 permit 192.168.1.0 0.0.0.255 interface g0/0 ip access-group 1 in

✔ 확장 ACL (Extended)

access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80 interface g0/1 ip access-group 100 out

이런 기본적인 ACL만 완벽하게 동작하고
그 외 고급 옵션은 대부분 미지원이라고 보면 정확합니다.