Cisco 액세스 리스트의 개요

액세스 리스트 (Access List)

    - 네트워크의 접근의 허용/차단 여부를 정해놓은 리스트

    - 액세스 리스트 번호 부여 

        - 복수개의 액세스 리스트를 구분하기 위해 사용한다. (일종의 그룹)

 

표준 액세스 리스트 (Standard Access List)

    - 출발지 IP 주소로만 구성

    - 관리용 트래픽등 네트워크 장비로 향하는 트래픽에 대한 정책 적용이나 라우팅 정보 필터를 주로 사용

액세스 리스트 번호: 1~99번 (추가범위: 1300~1999)

 

확장 액세스 리스트 (Extended Access List)

    - 출발지 IP 주소와 목적지 IP주소와 프로토콜 (udp/tcp/icmp)

    - 구성: 출발지 포트, 목적지 포트

    - 사용자의 트래픽을 필터링하는데 사용

액세스 리스트 번호: 100~199번 (추가범위: 2000~2699)

 

---

표준 액세스 리스트 설정 명령어 구문

access-list access-list-number {permit|deny} address [wildcard-mask]

 

시스코 라우터에서 표준 액세스 리스트를 설정한 예

RTA# configure t
RTA(config)# access-list 1 permit 10.1.1.0 0.0.0.255
RTA(config-if)# ip access-group 1 in

 

와일드카드 마스크 (Wildcard Mask)

 

    - 네트워크 마스크와는 다르게 '0'은 관심비트, '1'은 비관심 비트로 사용한다.

    - 0.0.0.255의 경우 0~24비트까지 일치시키고, 25~32비트는 무시

 

  host 명령: 10.1.1.10 0.0.0.0 인경우 host는 10.1.1.10만 사용할 수 있다.

 

---

GNS 실습 

라우터에 접근제한 1

PC1에 IP 설정

    IP: 10.1.1.10    Subnet Mask: 255.255.255.0

 

라우터의 RTA의 포트 설정

Router(config)# hostname RTA

RTA(config)# int fa0/0
RTA(config-if)# ip address 10.1.1.1 255.255.255.0
RTA(config-if)# no shutdown

 PC1에서 라우터 RTA로 연결성 확인

PC> ping -t 10.1.1.1
Pinging 10.1.1.1 with 32 bytes of data:

Reply from 10.1.1.1: bytes=32 time=0ms TTL=255
Reply from 10.1.1.1: bytes=32 time=0ms TTL=255

PC1의 네트워크에서 라우터 RTA로 접근 제한

RTA(config)# access-list 1 deny 10.1.1.0 0.0.0.255
(인터페이스에 표준 access-list 설정)

RTA(config)# in fa0/0
RTA(config-if)# ip access-group 1 in
(액세스 리스트1을 인터페이스에 적용)

RTA(config-if)# no ip access-group 1 in
(액세스 리스트1을 인터페이스에 적용 해제)
RTA(config)# no access-list 1 deny 10.1.1.0 0.0.0.255
(액세스 리스트 삭제) 

 

---

라우터에 접근제한2

PC1과 PC2중에서 한대의 PC만 제한

RTA# show access-list 1
Standard IP access list 1
    10 deny host 10.1.1.10 (12 match(es))

RTA(config)# no access-list 1 deny 10.1.1.0 0.0.0.255
RTA(config)# access-list 1 deny 10.1.1.10 0.0.0.0