액세스 리스트 2 (Access List, 확장 액세스 리스트)

확장 액세스 리스트 (Access List)

- 출발지/목적지 ip 주소 그리고 출발지/목적지 포트(세부적인 정책 허용/차단),

  프로토콜(udp/tcp/icmp) 를 설정하여 차단 및 허용.

 

- 사용자의 트래픽을 필터링하는데 주로 사용.

- 액세스 리스트 번호 : 100~199 (추가 범위 : 2000 ~ 2699)

 

확장 액세스 리스트를 쉽게 설명하기 위해 패킷 트레이서로 기본적인 토폴로지를 준비했습니다.

 

 

확장 액세스 리스트 설정의 예를 들어봅시다.

 

access-list 100 deny tcp 10.0.0.0 0.0.0.255 host 192.168.100.2 eq www 

 

 

위 명령어는 10.0.0.0 대역대 에 적용하는 액세스 리스트라서 interface FastEthernet 0/0 에서

규칙을 실행시켜야 합니다.

 

 

 

PC1(10.0.0.2)  가  ip 입력을 통해 cisco 홈페이지에 접속을 할 수 있지만, 위 해당 명령어를 치게 될 시 

 

요로콤 차단이 되어, 홈페이지에 접근이 불가하게 된다.

 

하지만 다른 대역대인 pc4(172.16.10.3)은 접속이 가능합니다.

 

현재 설정한 액세스 리스트는

이것밖에 없습니다. 그러나 암묵적인 부정으로 인하여, 위 규칙만 차단된 것이 아니라 다 차단이 되어있는 상태 입니다.

실제로 pc1(10.0.0.2) 에서 Server(192.168.100.2) 로 ping 을 실행시키면 이렇게 뜹니다.

 

그러므로, 암묵적인 부정으로 인한, 차단을 없애기 위해,

모든 예외 규칙을 먼저 설정하여주고 마지막으로

액세스 리스트에 permit tcp,udp,icmp,ip any any 를 추가하여 주어야 합니다.

명령어는

student(config)#access-list 100 permit tcp any any

student(config)#access-list 100 permit udp any any

student(config)#access-list 100 permit ip any any

student(config)#access-list 100 permit icmp any any

 

 

추가가 되었다면, ping이

 

 

다시 정상적으로 가는 것을 볼 수 있습니다.

 

 

그럼 172.16.10.0/24 대역대 ping은 서버로 향할 수 없게만 만들어 봅시다.

 

 

위 그림과 같이 액세스 리스트 101번을 만들고 interface FastEthernet 0/1 에 적용을 시켜주면,

 

 

 

 

ping 은 차단이 되었지만, cisco 웹 페이지는 잘 접속이 되는걸 볼 수 있습니다.