엑세스 리스트란?

이번 시간에는 스위치에서 트래픽을 제어하기 위해 사용하는 ACL (액세스 리스트)에 대해서 알아보도록 하겠습니다. 액세스 리스트는 무엇인지, 어떨 때 사용하는지 한번 알아보죠.

 

 

1. 엑세스 리스트란?

 

: 네트워크 트래픽을 제어하기 위한 수단

 

네트워크에서는 많은 다른 데이터 네트워크에서 또는 네트워크로 가는 트래픽을 식별하고 필터링하는 방법이 필요합니다. ACL(Access Control Lists)를 통해 네트워크 트래픽을 더 좋게 관리하기 위해서 트래픽을 필터링하는 데 사용됩니다.

 

 

● 엑세스 리스트를 사용하는 이유

 

1) 원하지 않는 Traffic이 Network를 경유하거나 접근할 수 있는데 이것을 차단할 필요가 있을 때 사용

2) 허가되지 않은 사용자가 Router를 포함한 Network의 특정 자원을 접근하는것을 차단할 때

3) Access List를 적용하여 방화벽과 같은 보안 기능을 사용하고 싶을때 개요

- Packet Filtering을 통해 Network의 Traffic을 제한 하거나, 특정 User & Device에 의해 사용되는 Network자원을 제한

- Access List는 일반적으로 스위치의 특정 Interface를 통과하는 모든 Packet에 적용되며 permit or deny(허용 또는 차단)

- 허가 받지 않는 User가 스위치로 원격 접속할 시 Telnet access를 제한

- 스위치로부터 다른 Device나 Host에 대한 접근을 permit or deny(허용 또는 차단)

 

 

 

1. 엑세스 리스트 타입 2가지

 

★ Standard Access List : Source Address만을 Check 하여 Packet의 forward permit/deny를 결정하는 방식 특정 protocol (FTP, HTTP, Telnet 등)에 대해서는 제어가 불가능한 방식입니다.

 

★ Extended Access List : Source Address와 Destination Address모드를 Check해서 Packet의 forward permit/deny를 결정하는 방식 특정 protocol (FTP, TFTP, Telnet)에 따라 Packet의 제어가 가능한 방식입니다.

 

 

 

 

2. 엑세스 리스트 적용 위치

 

 

< 엑세스 리스트 적용 위치 >

 

 

★ Inbound Access List

: 스위치에 수신된 packet이 스위치의 특정 Interface로 전달되기 전에 Access List가 적용되는 방식 Filtering에 의해 packet이 Deny 되면, 스위치 내부적으로 처리되는 것이 없기 때문에 별도의 Routing Overhead를 감소시킬 수 있어 효율적인 방법이다.

 

★ Outbound Access List

: 스위치에 수신된 packet이 스위치의 특정 Interface까지 전달 된 후 Access List가 적용되는 방식

 

 

 

 

3. 설정 방법

- 엑세스 리스트는 위에서부터 순차적으로 정책이 적용됨

- 좀 더 좁은 범위의 것을 먼저 선언

(위에서 말한 것처럼 순차적으로 적용되기 때문에 작은 네트워크를 먼저 선언)

access-list 10 permit 2.2.2.2 0.0.0.0

access-list 10 permit 2.2.2.0 0.0.0.255

access-list 10 deny 2.2.0.0 0.0.255.255

access-list 10 permit any

- 빈번히 조건을 만족시킬 만한 것을 먼저 선언

 

가령 164.124.116.0/24과 164.124.118.0/24의 접근을 허용하고자 하는데 164.124.116.0/24에 있는 시스템들이 보다 빈번히 접근할 때

access-list 10 permit 164.124.116.0 0.0.0.255

access-list 10 permit 164.124.118.0 0.0.0.255

access-list 10 deny 164.124.0.0 0.0.255.255

access-list 10 permit any

- access-list의 마지막에 특별한 permit any를 지정하지 않은 한 기본적으로＇deny any＇가 선언되어 있다고 보면 됨

- access-list의 조건을 여러개 넣고 , 중간에 추가로 넣으려면 다 지우고 다시 해야 함

- access-list의 조건을 넣었으면 마지막으로 interface에 적용을 해야 엑세스 리스트가 적용됩니다.

Ex) 164.124.116.0/24만 허용하고자 할 때 아래의 access-list 10 deny any는 안 넣어도 됨

(자동으로 Deny되기때문)

 

•access-list 10 permit164.124.116.0 0.0.0.255

•access-list deny any

Ex) 164.124.116.0/24만 차단하고 나머지는 허용할 때 아래와 같이 선언했만 다면 결과는?

•access-list 10 deny 164.124.116.0 0.0.0.255 모든 packet이 차단됨 반드시 access-list 10 permit any를 선언해 주어야 합니다.

•access-list 10 deny 164.124.116.0 0.0.0.255

•access-list 10 permit any 마지막으로 interface에 적용을 시켜주어야 그 인터페이스로 오는 패킷에 필터링이 적용됨

•interface ethernet 0

•ip access-group 1 out

 

 

오늘은 Standard Access List에 대해 알아보았습니다. 다음에는 Extended Access List를 확인해보죠

 

2021.03.31 - [IT스터디/네트워크 이론] - 다이나믹 라우팅 개념 및 종류 10가지 설명

다이나믹 라우팅 개념 및 종류 10가지 설명

 

저의 글을 읽어 주셔서 감사합니다. 오늘도 즐거운 하루 보내세요.