Cisco 액세스 리스트
액세스 리스트 | |
표준 액세스 리스트_Standard Access List | 확장 액세스 리스트_Extended Access |
표준 액세스 리스트
- 출발지 주소로만 이루어진 액세스 리스트
- 관리용 트래픽 등 네트워크 장비로 향하는 트래픽에 대한 정책 적용이나 라우팅 정보 필터링 등에 사용
확장 액세스 리스트
- 출발지 IP 주소뿐만 아니라 목적기 IP 주소와 프로토콜, 출발지 포트 및 목적지 포트 정보까지 사용할 수 있어 좀 더 세부적인 정책을 적용 가능함
- 사용자 트래픽을 필터링하는 데 사용
복수의 액세스 리스트를 구분하기 위해 액세스 리스트 번호를 부여함.
시스코에서 기본적으로 표준 액세스 리스트 사용 범위를 아래의 표와 같이 할당 번호를 정해 놓았음.
사용 정보 | 할당 번호 | 용도 | |
표준 액세스 리스트 | 출발지 IP 주소 | 1 ~ 99 1300 ~ 1999 (추가범위) |
라우팅 정보 필터링 시스템 접근 트래픽 필터링 매우 간단한 형태의 사용자 트래픽 필터링 |
확장 액세스 리스트 | 출발지 IP 주소 목적지 IP 주소 프로토콜 출발지 포트 주소 목적지 포트 주소 |
100 ~ 199 2000 ~ 2699 (추가범위) |
사용자 트래픽 필터링0 |
표준 액세스 리스트의 설정 명령어 구문
access-list access-list-number {permit|deny} address [wildcard-mask]
//시스코 라우터에서 표준 액세스 리스트
RTA# configure t
RTA(config)# access-list 1 permit 10.1.1.0 0.0.0.255 //10.1.1.0/24로부터 출발한 모든 IP 패킷을 허용함
* 0.0.0.255 → 서브넷 마스크가 아닌 Wildcard Mask_와일드 마스크이다.
* 와일드 카드
- 네트워크 마스크와 달리 '0'을 관심 비트_Care Bit, '1'을 비관심 비트_Don't Care Bit로 사용
→ '0'으로 표현된 위치의 비트에서 정해진 비트 값과 정확하게 일치해야 함 (일치 여부 검사 필요)
→ '1'로 표현된 위치의 비트는 무시한다는 의미 (해당 비트 위치에서 어떠한 비트 값과도 일치 할 수 있으므로 일치
여부 검사가 불필요 함. 즉, 비트 '1' → 0 또는 1 모두 허용)
10.1.1.0 0.0.0.255를 이진수로 변경해서 보면 와일드카드 마스크 0.0.0.255는 첫 번째 비트부터 24번째 비트까지 '0'이므로 여기에 해당하는 비트는 일치 시키고, 25번째 비트부터 마지막 32번째 비트까지 무시한다는 의미
인터페이스에 적용시, 인터페이스를 통해 수신되는 패킷의 출발지 IP 주소가 '10.1.1'로 시작하는 패킷을 허용 함
즉, 10.1.1.1 , 10.1.1.150 그리고 10.1.1.210 등 첫 번째부터 24번째에서 해당되는 비트 정보가 다르면 그 어떤 출발지 주소로부터의 패킷도 이 액세스 리스트에 해당되지 않음.