4.5. Расширенные списки управления доступом

Расширенные списки управления доступом (extended access control list— extended ACL) используются чаще, чем стандартные, поскольку они обеспечивают большие возможности контроля. Расширенный список управления доступом проверяет как адрес отправителя, так и адрес получателя. Список может также проверять конкретные протоколы, номера портов и другие параметры. Процесс обработки трафика маршрутизатором для проверки пакетов на соответствие правилам расширенных списков управления доступом проиллюстрирован на рисунке. 16.

ис 16. Принцип работы расширенного списка управления доступом

Отправка пакета может быть разрешена или же может быть отказано в передаче в зависимости от того, откуда был переслан пакет и куда направлен, какой протокол, адрес порта и тип приложения при этом были использованы. Расширенные списки управления доступом, например, позволяют пересылать трафик электронной почты из интерфейса Fa0/0 в интерфейс S0/0 и в то же время могут запрещать передачу файлов и потоки данных от Web-сайтов. Когда маршрутизатор уничтожает пакеты, некоторые протоколы посылают эхо-сообщения отправителю, уведомляющие, что получатель недоступен.

34

Расширенные списки управления позволяют более точно контролировать и управлять пакетами, нежели стандартные. Стандартные списки управления доступом предназначены для того, чтобы запрещать весь набор или стек протоколов; расширенные списки позволяют точно указать, какой из протоколов необходимо разрешить или запретить. Например, с помощью такого списка ACL можно разрешить трафик HTTP, но запретить доступ к ресурсам по протоколу FTP.

Полный формат команды access-list для расширенного списка контроля доступа имеет следующий вид:

Router(config-if)#access-list access-list-number [dynamic dynamic-name] [timeout minutes]] {permit|deny} protocol source [source-wildcart destination destination-wildcart] [precedence precedence ] [tos tos] [log|log-input] [time-range time-range-name] established [fragments]

Ключевое слово nо в начале команды используется для удаления расширенного списка управления доступом. Например, чтобы удалить список, следует ввести команду с параметром nо в начале:

Router(config)# no access-list access-list-number

В одном списке управления доступом может быть указано несколько директив. Каждая из записей списка должна содержать один и тот же номер списка доступа, чтобы

относиться к одному и тому

же списку, как

access-list access-list access-list

114 permit tcp 172.16.6.0 114 permit tcp 172.16.6.0

114 permit tcp 172.16.6.0

0.0.0.255 any eq telnet 0.0.0.255 any eq ftp

0.0.0.255 any eq ftp-data

показано на ^{ис 17. Пример конфигури ования расширенного списка управления}

рисунке 17. В одном списке управления доступом может быть указано столько директив, сколько требуется. Количество директив ограничено только доступной памятью маршрутизатора. Чем больше записей содержится в каждом списке управления доступом, тем сложнее будет поддерживать и управлять списками ACL в маршрутизаторе. На рисунке 17 используются три последовательные директивы, которые указывают, что telnet-, ftp-пакеты и пакеты данных протокола FTP разрешено передавать от любых узлов подсети 172.16.6.0 в любую сеть.

Расширенные списки управления доступом являются практически универсальным инструментом и, по существу, позволяют использовать практически любые опции и параметры, которые характерны для любого используемого протокола. Порядок следования записей в списке может быть различным и зависит от используемого протокола.