액세스 리스트 1 (Access List, 표준 액세스 리스트)

엑세스 리스트란?

 - 네트워크 접근의 허용/차단 여부를 정해놓은 리스트

 - 액세스 리스트 번호 부여

 

와일드카드 마스크(Wildcard Mask)

 - 서브넷 마스크와는 다르게 0은 관심비트 1은 비관심 비트로 사용.

 - 0.0.0.255 의 경우 0~24비트까지 일치시키고, 25~32비트는 무시

 

표준 액세스 리스트(Standard Access List)

 - 출발지 IP주소로만 구성

 - 관리용 트래픽 등 네트워크 장비로 향하는 트래픽에 대한 정책 적용 및 라우팅 정보 필터 등에 주로 사용

(list number 1~99 추가 범위 : 1300 ~ 1999)

 

 

 

config 모드에서 access-list 1(그룹 번호 지정) deny (거부) ip, subnetmask 입력을 한 후 바로 거부되는게 아니라 활성화를 시켜줘야 하는데 명령어는

 

라우터 Fa0/0 으로 들어가

ip access-group 1(그룹번호) in(활성화)

 

명령어를 쳐주면, 

원래는 잘 가야되는 핑이

 

 

이렇게 대상 호스트에 연결할 수 없다며, 뜨게 됨.

 

라우터에 do show access-list 명령어를 치게 되면,

 

이렇게 현재 설정된 access-list 를 보여준다.

 

삭제 할 때는 

 

라우터의 fa0/0으로 들어가 no ip access-group 1 in 을 비활성화 해주고,

no access-list 1 deny 10.1.1.0 0.0.0.255 로 리스트 삭제를 해주면 된다.

 

그럼 다시 핑이 제대로 간다.

 

표준 액세스 리스트를 공부하다가 일어난 일이지만, 제 컴퓨터 환경에서는 패킷 트레이서로

 

액세스 리스트 비활성화 와 리스트 삭제까지 했으나 pc에서 라우터로 핑이 가질 않아 기존 라우터를 삭제하고 새로

 

라우터를 만들어 설정 했으나 pc에서 핑이 안가 40분을 허비하고 라우터에서 pc로 핑을 쏘니 또 잘 됨.

 

두 대 이상의 컴퓨터가 있을 때 한곳의 컴퓨터만 접근 제한을 하고 싶은 경우

 

access-list 1 deny 10.1.1.10 0.0.0.0 을 준 후

access-list 1 permit any 를 주면 된다.

 

 

액세스 리스트의 동작 원리와 설정

 

 - 첫 번째 라인이 만족된다면, 더 이상 액세스 리스트를 검사하지 않음.

 - 암묵적 부정이 숨겨져 있어 허락 이외에는 차단.

 

액세스 리스트 규칙

1. 액세스 리스트는 윗줄부터 수행

2. 가장 마지막에 permit any를 넣지 않으면, 암묵적 부정으로 인한 deny any가 된다.

3. 액세스 리스트의 작성 후 항목의 변경 및 삭제 불가

4. 액세스 리스트가 정의되어 있지 않는 인터페이스는 모든 주소가 통과.