IT/네트워크

액세스 리스트(Access List) (3) - 익스텐디드 액세스 리스트

보안개구리 2024. 6. 14. 11:30

 저번 시간에는 스탠더드 액세스 리스트에 대하여 알아봤었는데 이번 시간에는 익스텐디드 액세스 리스트에 대하여 알아보도록 하겠습니다.

 그러면 일단 스탠더드와의 차이점부터 보겠습니다.

 1) 스탠더드 엑세스 리스트의 경우 출발지 주소만을 제어하는 반면, 익스텐디드 액세스 리스트의 경우 출발지 주소와 목적지 주소 모두를 제어할 수 있다.

 2) 스탠더드 액세스 리스트의 경우 TCP/IP만 제어하지만 익스텐디드 액세스 리스트는 ip, tcp, udp, icmp 등 특정 프로토콜을 지정하여 제어할 수 있다.

 3) 스턴더드 액세스 리스트는 1~99의 숫자를 액세스 리스트 번호로 사용하였는데 익스텐드 액세스 리스트의 경우 100~199까지의 숫자를 사용한다

 따라서 출발지 주소만을 확인하던 스탠더드와 달리 추발지 주소, 목적지 주소, 프로토콜, 프로토콜 옵션들을 전부 따진 후 액세스 리스트를 적용하게 됩니다.

 자 그럼 명령어에 대하여 알아보겠습니다.

 

 Router(config) access-list [access-list-number] {permin | deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]

 보자마자 뭔가 좀 아니다 싶을 정도의 양입니다만 근본은 스탠더드와 유사합니다.

 다음은 인터페이스에 적용하는 명령어입니다.

 Router(config-if)# ip access-group [access-list-number] {in | out}

 스탠더드와 같다는 것을 확인할 수 있습니다.

 참고로

 access-list 150 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255는

 access-list 150 permit ip any any와 같은 뜻입니다.

 즉 0.0.0.0 255.255.255.255는 any로 바꿔 사용할 수 있습니다.

 

 명령어만 보면 굉장히 복잡해 보이나 실제로는 그리 어렵지 않습니다.

 

 저번 시간에 사용했던 네트워크인데 이번 시간에도 역시 위 네트워크를 사용해보겠습니다.

 1) PC 3번은 PC 1번에 접속할 수 없다

 2) PC 4번을 제외한 10.10.3.0 네트워크의 모든 PC는 PC 2에 접속할 수 있다 

 

 위 조건을 만족하는 스탠더드 액세스 리스트의 명령은 다음과 같았습니다.

 Router-A(config)# access-list 10 deny 10.10.3.1

 Router-A(config)# access-list 10 permit any

 Router-A(config)# interface fa 0/0

 Router-A(config)# ip access-group 10 out

 

 Router-B(config)# access-list 20 deny 10.10.3.2  

 Router-B(config)# access-list 20 permit any       

 Router-B(config)# interface Fa 0/0

 Router-B(config)# ip access-group 20 out        

 자 그러면 익스텐디드 액세스 리스트는 뭐가 다른지 보겠습니다.

 

 Router-A(config)# access-list 150 deny ip host 10.10.3.1 host 10.10.1.1

 Router-A(config)# access-list 150 permit ip any any

 Router-A(config)# interface fa 0/0

 Router-A(config)# ip access-group 150 out

 

 Router-B(config)# access-list 180 deny 10.10.3.2 

 Router-B(config)# access-list 180 permit any       

 Router-B(config)# interface Fa 0/0

 Router-B(config)# ip access-group 180 out 

 인데 하나하나 살펴보겠습니다 

 

 Router-A(config)# access-list 150 deny ip host 10.10.3.1 host 10.10.1.1

 익스텐드의 경우 액세스 리스트 번호는 100 ~ 199 사이기 때문에 150을 사용해주고 스탠더드와 다르게 프로토콜, 목적지 주소가까지 추가해줍니다.

 프로토콜의 종료는 많으나 우리가 필요한 것은 IP이기 때문에 ip를 작성 후 네트워크 단위가 아닌 호스트이기 때문에 호스트 출발지 주소 호스트 목적지 주소 이렇게 작성해줍니다.

 

 Router-A(config)# access-list 150 permit ip any any

 나머지 모든 것을 허용해줄 때도 프로토콜을 작성해준 후 출발지 목적지를 any로 작성해줍니다.

 라우터 B 역시 다를 게 없습니다.

 저번 시간에 말씀드리지 않았는데 현재 라우터에서 설정된 access-list를 한눈에 보고 싶다면 show ip access-list 명령어를 사용하시면 됩니다.

이상으로 액세스 리스트를 마치겠습니다.