Access-List
목적
VPN에서 새로운 Interface를 설정할 때 ACL을 설정해서
각 Remote-access로 접속하는 vpn client들에게 routing table을 내려주기 위함.
개념
Standard ACL: 발신지의 IP Adress만으로 Access를 제한. 번호는 1-99사용
Extended ACL: 발신의 IP/Port, 수신의 IP/Port를 사용하여 Access를 제한. 번호는 100-199 사용
(더 자세한 설명은 아래 출처 링크 참고)
명령어
access-list [ACL NAME] standard permit 21.21.21.0 255.255.255.0 // ipsec 통신할 내부대역 지정
group-policy [Interface] attributes // 설정한 Interface에 ACL 적용
split-tunnel-policy tunnelspecified // split-tunnel 활성화 (Internet Traffic은 ASA로 오지 않고 client에서 바로 인터넷 사용)
split-tunnel-network-list value [ACL Name] // 해당 ACL Traffic만 ipsec 통신 사용
ASDM
* ACL
Firewall > Advanced > ACL Manager or Standard ACL
- Standard ACL: Standard ACL에서 확인
- Extended ACL: ACL Manager에서 확인
* Client 라우팅 / Split-tunneling 설정
Remote Access VPN > Network Access > Group Policy > Group Policy 선택 > Edit > Advanced > Split Tunneling > Policy & NetworkList 선택
* Policy:Tunnel Network List Below를 설정해야 해당 Network List만 IPSEC 통신을 함. (이외는 모두 외부 통신)
- Network List엔 Standard ACL만 있음.
ACL 개념 및 추가 출처
There are two types of IPv4 ACLs:
- Standard ACLs: These ACLs permit or deny packets based only on the source IPv4 address.
- Extended ACLs: These ACLs permit or deny packets based on the source IPv4 address and destination IPv4 address, protocol type, source and destination TCP or UDP ports, and more.
For example, Example 4-3 shows how to create a standard ACL. In this example, ACL 10 permits hosts on the source network 192.168.10.0/24. Because of the implied “deny any” at the end, all traffic except for traffic coming from the 192.168.10.0/24 network is blocked with this ACL.
https://www.ciscopress.com/articles/article.asp?p=3089353&seqNum=7