네트워크 기초

익스텐디드 액세스 네트워크

네네성 2025. 3. 25. 17:33

 

 

 

스탠다드 액세스와 마찬가지로

익스텐디드 액세스 리스트도 전에

잠깐 알아보았었다.

 

https://netmaster618.tistory.com/36

 

액세스 리스트(Access List)

액세스 리스트, 공식 용어는 Access Control List(ACL)이라고 한다. 액세스 리스트는 한마디로 접근을 하거나막는 것을 미리 정해놓은 리스트이다. 주로 네트워크 보안 및 시스템 접근제어에서 사용

netmaster618.tistory.com

 

 

https://netmaster618.tistory.com/37

 

스탠다드 액세스 리스트

저번에 액세스 리스트에 대해서전반적으로 알아보았었다. https://netmaster618.tistory.com/36 액세스 리스트(Access List)액세스 리스트, 공식 용어는 Access Control List(ACL)이라고 한다. 액세스 리스트는 한

netmaster618.tistory.com

 

여기 위에서도 살짝? 알아보았었다.

 

 

 

 

 

 

 

 

 

익스텐디드 액세스 리스트는 전에도 

알아보았듯이 스탠다드 액세스 리스트보다

조금 더 복잡하고 출발지 주소만 확인하는 것이

아닌 목적지 주소 등도 확인한다.

 

그럼 익스텐디드 액세스 리스트가 어떻게 흘러

가는지 알아보도록 하겠다.

 

 

 

 

 

 

 

 

 

Cisco 네트워킹 교재를 참고한 그림

 

익스텐디드 액세스 리스트의 흐름은 위와

같다고 보면 될 것 같다.

 

 

마찬가지로 액세스 리스트가 적용되어 있는지

확인하고 그림대로

출발지 주소, 목적지 주소, 프로토콜(TCP, UDP, ICMP 등),

프로토콜 옵션(포트 번호, TCP flag 등)을 확인한다. 

 

 

주로 인터페이스 in 방향에 적용해서

불필요한 트래픽을 조기 차단한다고 한다.

 

 

 

 

 

 

 

 

 

명령어 형식

마찬가지로 일반 구성 모드에서 설정하고 다음과 같다.

 

 

 

"access-list access-list-number {permit | deny}"

이 부분은 스탠다드 액세스 리스트와 같다.

하지만 익스텐디드 액세스 리스트이기 때문에

100 ~ 199 사이의 숫자를 입력해야 할 것이다.

 

 

"protocl"

이 부분은 ip, tcp, udp, icmp 등 사용할 

프로토콜을 써주면 되겠다.

 

 

"source source-wildcard [operator port] destination destination-wildcard [operator port]"

이 부분은 출발지, 목적지 주소와 

각 와일드카드 마스크를 써넣으면 되겠다.

 

여기서 oprator port란  포트 번호에 조건을

줄 때 사용한다. 예시로 eq 80 이런 식으로 말이다.

 

몇 가지 알아보자면 

eq -> equal 지정한 포트 번호와 같을 때

gt -> greater than 지정보다 클 때

lt -> less than 지정보다 작을 때

neq -> not equal 지정보다 다를 때

range -> 범위 (range 1000 2000)

가 있다.

 

포트는 숫자로 써도 되고

www, ftp, ssh 등과 같이 사용 가능하다.

 

 

"[established]"

한 마디로 ACK나 RST가 있는 패킷만

허용한다는 설정을 하는 명령어이다.

 

TCP의 3-way-handshake를 보면

클라이언트 -> 서버 : SYN

서버 -> 클라이언트 : SYN + ACK

클라이언트 -> 서버 : ACK

 

이중에 SYN만 있는 패킷이 바로

SYN-only 패킷이다.

 

즉 established 옵션은 새로운 연결은 막고

이미 연결된 세션만 통과 가능하다는 설정이다.

 

 

"[log]"

예시를 들어보자면 

"access-list 110 deny tcp any any eq 23 log"

다음과 같은 명령어가 있다고 하자.

 

텔넷으로 들어오는 모든 트래픽을 차단하고

차단 기록을 로그에 남겨라 라는 의미이다.

 

주로 디버깅할 때 쓰이고 어떤 패킷이

차단되고 있는지 추적할 때 사용하며

ACL 설정이 잘 적용됐는지 확인할 때 사용한다.

 

하지만 트래픽이 많다면 log 때문에 CPU 사용량이

증가할 수 있어 deny에만 log를 붙이고 permit에는 

잘 안 쓴다고 한다.

 

 

 

 

그리고 몇 가지 더 알고 넘어가 보자면

0.0.0.0 255.255.255.255 -> any로 표현하고

131.108.5.17 0.0.0.0 -> host 131.108.5.17로

표현 가능하다.

 

 

 

 

 

 

 

 

 

스탠다드 VS 익스텐디드

  스탠다드 액세스 리스트 익스텐디드 액세스 리스트
필터링 기준 출발지 ip 주소만 필터링 출발지 + 목적지 ip, 프로토콜, 포트번호까지 필터링
번호 범위 1 ~ 99, 1300 ~ 1999(cisco) 100 ~ 199, 2000 ~ 2699(cisco)
위치 적용 권장 목적지에 가까운 인터페이스에 적용 출발지에 가까운 인터페이스에 적용
용도 간단한 접근 제어 정밀한 트래픽 제어, 포트 기반 차단 등
예시 access-list 10 deny 192.168.1.0 0.0.0.255 access-list 110 permit tcp any host 192.168.1.10 eq 80

 

위에서 위치 적용하는 곳을 보면 스탠다드는 

목적지에 가까운 인터페이스에 적용하는데

만약 출발지에 가까운 곳에 적용하면 

필요한 트래픽이 가지 못하고 막힐 수 있기 때문이다.

 

익스텐디드에서는 출발지에 가까이 적용하는 이유는

공격 트래픽, 불필요한 요청 등은 최대한 막기

위해서이며 많은 조건으로 필요한 트래픽만 

선별해서 차단 가능하기 때문이다.