와일드카드 마스크(wildcard mask)

와일드카드 마스크(wildcard mask)는 ACL(Access Control List) 설정에서 주로 사용되는 개념

 

와일드카드 마스크는 서브넷 마스크와 비슷하지만, 목적은 네트워크 주소 범위나 특정 IP 주소를 매칭할 때 유연성을 주는 것이다.

 

와일드카드 마스크의 기본 개념

서브넷 마스크는 네트워크 주소와 호스트 주소를 구분하는 데 사용되는 비트 마스크이고 와일드카드 마스크는 IP 주소와 일치하는 부분과 일치하지 않는 부분을 정의하는 데 사용된다. 이 마스크는 0은 일치하고, 1은 일치하지 않는 부분을 나타낸다.

와일드카드 마스크 예시:

• 서브넷 마스크: 255.255.255.0 → 8비트씩 3개의 부분이 네트워크 주소로, 나머지 8비트는 호스트 주소로 사용된다.
• 와일드카드 마스크: 0.0.0.255 → 이 마스크는 마지막 옥텟(호스트 주소)에 대해서만 유효하며, 네트워크 부분은 모두 0으로, 호스트 부분은 255로 설정되어 있다.

와일드카드 마스크와 ACL

ACL을 사용할 때 IP 주소 범위를 지정하거나 특정 IP 주소를 허용 또는 차단하려면 와일드카드 마스크를 사용합니다. 와일드카드 마스크는 IP 주소의 특정 비트를 "와일드카드"로 정의하여 범위나 조건을 설정하는 데 유용하다.

와일드카드 마스크의 기본 규칙:

• 0: 해당 비트는 정확히 일치해야 합니다.
• 1: 해당 비트는 일치하지 않아도 됩니다 (즉, 일치하지 않더라도 허용).

와일드카드 마스크 예시

1. 192.168.1.0 0.0.0.255:
   • 0.0.0.255는 마지막 옥텟(8비트)에 대해 유연성을 부여한다. 즉, 이 규칙은 192.168.1.0부터 192.168.1.255까지의 주소 범위를 허용합니다.
2. 192.168.1.0 0.0.255.255:
   • 이 규칙은 192.168.0.0부터 192.168.255.255까지의 주소 범위를 포함. 즉, 두 번째 옥텟과 세 번째 옥텟의 모든 주소를 허용한다.
3. 192.168.1.0 0.0.0.3:
   • 이 규칙은 192.168.1.0부터 192.168.1.3까지의 주소 범위를 허용. 마지막 두 비트는 일치할 필요가 없으므로, 192.168.1.0, 192.168.1.1, 192.168.1.2, 192.168.1.3 주소가 포함된다.

와일드카드 마스크를 사용하는 이유

• 유연성: 와일드카드 마스크는 서브넷 마스크보다 더 세부적인 조건을 설정할 수 있게 해준다. 네트워크의 일부만을 정확히 지정하고, 나머지 부분은 유연하게 처리할 수 있다.
• ACL에서의 활용: ACL에서 와일드카드 마스크를 사용하여 특정 범위의 IP 주소를 허용하거나 차단할 수 있다. 예를 들어, 192.168.1.0부터 192.168.1.255까지의 범위를 지정할 때 0.0.0.255 와일드카드 마스크를 사용할 수 있다.

ACL에서 와일드카드 마스크 예시

예시 1: 특정 범위의 IP 주소 차단하기

access-list 101 deny ip 192.168.1.0 0.0.0.255

• 192.168.1.0 0.0.0.255는 192.168.1.0부터 192.168.1.255까지의 모든 주소를 차단하는 규칙이다.

예시 2: 특정 IP만 허용하기

access-list 101 permit ip 192.168.1.10 0.0.0.0

• 192.168.1.10 0.0.0.0는 오직 192.168.1.10 주소만을 허용하고, 나머지 주소는 허용하지 않는 규칙이다.

 

 

 

 

 

 

목표

• 홀수 IP 주소만 차단하는 ACL을 작성

방법

IP 주소는 32비트로 구성되어 있으며, 이 비트를 8비트씩 4개의 옥텟으로 나눠서 각각의 옥텟에 대해 조건을 설정할 수 있다. 홀수 IP 주소는 마지막 옥텟의 값이 홀수일 때 발생. 즉, 마지막 옥텟이 1, 3, 5, 7, 9, 11, ... 와 같은 홀수 값일 경우 해당 IP는 차단해야 한다.

 

1. ACL 규칙 작성

• IP 주소가 192.168.1.0 ~ 192.168.1.255 범위에서 홀수 IP를 차단하려면, 마지막 옥텟(3번째 옥텟)의 값이 홀수일 때 차단하는 규칙을 설정해야 한다.
• 예를 들어, 192.168.1.1, 192.168.1.3, 192.168.1.5, ..., 192.168.1.255 등은 홀수이므로 차

2. ACL 예시 (Cisco IOS 기준)

access-list 100 deny ip 192.168.1.1 0.0.0.0
access-list 100 deny ip 192.168.1.3 0.0.0.0
access-list 100 deny ip 192.168.1.5 0.0.0.0
access-list 100 deny ip 192.168.1.7 0.0.0.0
access-list 100 deny ip 192.168.1.9 0.0.0.0
...
access-list 100 permit ip any any

설명:

• access-list 100 deny ip 192.168.1.1 0.0.0.0: 192.168.1.1만 차단 (마지막 옥텟이 1일 경우 차단)
• access-list 100 deny ip 192.168.1.3 0.0.0.0: 192.168.1.3만 차단 (마지막 옥텟이 3일 경우 차단)
• access-list 100 permit ip any any: 나머지 트래픽은 허용

 

•