학교/침입차단시스템

Cisco 액세스 리스트

Salmons 2021. 9. 11. 14:17

 

액세스 리스트
표준 액세스 리스트_Standard Access List 확장 액세스 리스트_Extended Access

 

표준 액세스 리스트

- 출발지 주소로만 이루어진 액세스 리스트

- 관리용 트래픽 등 네트워크 장비로 향하는 트래픽에 대한 정책 적용이나 라우팅 정보 필터링 등에 사용

 

확장 액세스 리스트

- 출발지 IP 주소뿐만 아니라 목적기 IP 주소와 프로토콜, 출발지 포트 및 목적지 포트 정보까지 사용할 수 있어 좀 더 세부적인 정책을 적용 가능함

- 사용자 트래픽을 필터링하는 데 사용

 

복수의 액세스 리스트를 구분하기 위해 액세스 리스트 번호를 부여함.

시스코에서 기본적으로 표준 액세스 리스트 사용 범위를 아래의 표와 같이 할당 번호를 정해 놓았음.

  사용 정보 할당 번호  용도
표준 액세스 리스트 출발지 IP 주소  1 ~ 99
1300 ~ 1999 (추가범위) 
라우팅 정보 필터링
시스템 접근 트래픽 필터링
매우 간단한 형태의 사용자 트래픽 필터링
확장 액세스 리스트 출발지 IP 주소
목적지 IP 주소
프로토콜
출발지 포트 주소
목적지 포트 주소
100 ~ 199
2000 ~ 2699 (추가범위) 
사용자 트래픽 필터링0

 

 


표준 액세스 리스트의 설정 명령어 구문

access-list access-list-number {permit|deny} address [wildcard-mask]

//시스코 라우터에서 표준 액세스 리스트
RTA# configure t
RTA(config)# access-list 1 permit 10.1.1.0 0.0.0.255 //10.1.1.0/24로부터 출발한 모든 IP 패킷을 허용함

* 0.0.0.255 → 서브넷 마스크가 아닌 Wildcard Mask_와일드 마스크이다.

* 와일드 카드

  - 네트워크 마스크와 달리 '0'을 관심 비트_Care Bit, '1'을 비관심 비트_Don't Care Bit로 사용

    → '0'으로 표현된 위치의 비트에서 정해진 비트 값과 정확하게 일치해야 함 (일치 여부 검사 필요)

    → '1'로 표현된 위치의 비트는 무시한다는 의미 (해당 비트 위치에서 어떠한 비트 값과도 일치 할 수 있으므로 일치

       여부 검사가 불필요 함. 즉, 비트 '1' → 0 또는 1 모두 허용)

 

 10.1.1.0 0.0.0.255를 이진수로 변경해서 보면 와일드카드 마스크 0.0.0.255는 첫 번째 비트부터 24번째 비트까지 '0'이므로 여기에 해당하는 비트는 일치 시키고, 25번째 비트부터 마지막 32번째 비트까지 무시한다는 의미

 

인터페이스에 적용시, 인터페이스를 통해 수신되는 패킷의 출발지 IP 주소가 '10.1.1'로 시작하는 패킷을 허용 함

즉, 10.1.1.1 , 10.1.1.150 그리고 10.1.1.210 등 첫 번째부터 24번째에서 해당되는 비트 정보가 다르면 그 어떤 출발지 주소로부터의 패킷도 이 액세스 리스트에 해당되지 않음.