======================================================================
[2026-06-23] 네트워크 핵심 정리: L2 프로토콜, PPP 인증, ACL 정책
======================================================================

1. 데이터 링크 계층 (L2) 프로토콜 특징
----------------------------------------------------------------------
* 주요 L2 프로토콜: HDLC, PPP, Frame-Relay(FR), ARPA(Ethernet), dot1q
* 특징: 라우터의 인터페이스마다 서로 다른 회선 프로토콜을 독립적으로 사용 가능.


2. PPP 인증 방식 (PAP vs CHAP)
----------------------------------------------------------------------
※ 주의: 인증(Authentication) 체계이며, 데이터 자체를 암호화하는 개념은 아님.

■ PAP (Password Authentication Protocol)
  * 2-Way Handshake 방식 인증.
  * 패스워드가 평문(Plain Text)으로 전송되어 보안에 취약함.

■ CHAP (Challenge Handshake Authentication Protocol)
  * 3-Way Handshake 방식 인증.
  * 해시(Hash) 함수 및 메시지 다이제스트(Message Digest)를 활용하여 보안성 향상.
  * 상호 인증 시, 반드시 상대방의 Hostname과 Username 설정이 일치해야 함.

■ Cisco 환경 PPP 설정 예시
  * PAP 설정 (상대방 라우터 이름이 R2, 내 이름이 R1일 때):
    conf t
    username R2 password cisco  --> 상대방이 접속할 때 사용할 계정 생성
    interface serial 1/0
    ppp authentication pap
    ppp pap sent-username R1 password cisco  --> 내가 R2에 보낼 내 인증 정보

  * CHAP 설정 (호스트네임 매칭 필수):
    conf t
    hostname router1
    username router2 password cisco  --> 상대방 호스트네임(router2)과 비밀번호 일치 필수


3. ACL (Access-Control List, 접근 제어 목록) 개요 및 특징
----------------------------------------------------------------------
* 역할: 트래픽 통과 허용(Permit) 또는 거부(Deny)를 수행하는 일종의 방화벽. NAT 구현 시에도 연동됨.
* 적용 순서: 순차적 적용 (Top-Down 방식). 위에서 먼저 매칭된 조건이 있으면 하위 조건은 무시함.
* 수정 주의사항: 중간 삽입/삭제가 까다로우므로, 실수 시 원본을 지우고 다시 작성하는 것이 안전함. (Named ACL 활용 시 부분 수정 보완 가능)
* 묵시적 거부 (Implicit Deny): ACL 맨 마지막에는 눈에 보이지 않는 '모든 트래픽 거부(deny any)'가 숨겨져 있음. 
  -> 트래픽을 차단(Deny)하는 ACL을 짤 때는 반드시 마지막 라인에 'permit any'를 추가해야 다른 정상 트래픽이 막히지 않음.
* 인터페이스 적용 규칙: 하나의 인터페이스에는 인바운드(In) 1개, 아웃바운드(Out) 1개씩만 적용 가능.
  -> 여러 정책(A, B)을 한 방향에 걸어야 한다면, 정책을 합친 새로운 리스트(C)를 개발해 적용해야 함.
* 거부 메시지: ACL에 의해 차단될 경우 'Communication administratively prohibited' 메시지 반환.
* 설계 팁: 범위가 작은 조건(단일 호스트 등)부터 먼저 상단에 배치하며, 트래픽 발생지와 가까운 말단(Source 측)에서 차단할수록 네트워크 자원 소모를 줄여 효율적임.


4. Standard vs Extended ACL 비교 및 명령어
----------------------------------------------------------------------
■ Standard ACL (표준 엑세스 리스트)
  * 번호 범위: 1 ~ 99
  * 특징: 출발지 IP 주소(Source)만 보고 차단 여부 결정 (단일 호스트, 특정 대역, ANY 차단 가능).
  * 설정 예시 (특정 호스트 차단 후 나머지 허용):
    conf t
    access-list 1 deny host 1.1.1.2
    access-list 1 permit any
    interface fastethernet 0/0
    ip access-group 1 in

■ Extended ACL (확장 엑세스 리스트)
  * 번호 범위: 100 ~ 199
  * 특징: 출발지/목적지 IP뿐만 아니라 프로토콜(IP, TCP, UDP, ICMP 등), 포트 번호까지 상세 통제 가능.
  * 설정 예시 (특정 대역에서 목적지로 가는 ICMP 트래픽 차단):
    access-list 100 deny icmp [Source_NID] [Source_Wildmask] [Destination_Address] [Destination_Wildmask]

■ 확인 명령어
  * show access-lists


5. 실무 운영 팁 (Troubleshooting)
----------------------------------------------------------------------
* 실무 운영 중인 장비에서는 'debug' 명령어를 가급적 사용하지 말 것. 
  -> 로그가 과도하게 발생하여 장비 CPU가 100%로 치솟거나 다운될 위험이 있음.
* ACL 적용 시 인바운드(Inbound)와 아웃바운드(Outbound) 방향성 및 적용 인터페이스 착오 주의.
======================================================================