4.2. Принцип работы списков управления доступом

Список управления доступом представляет собой набор директив, которые определяют то, как пакеты

· поступают на входной интерфейс маршрутизатора,

28 · доставляются внутри маршрутизатора,

· пересылаются далее через выходной интерфейс маршрутизатора.

Начальная стадия процесса установления связи не зависит от того, используются ли списки управления

доступом или нет (рис. 12). Когда пакет поступает на интерфейс, маршрутизатор

определяет,

направить

куда его

— на

маршрутизатор или на мост (т.е. являются ли пакеты маршрутизируемыми или коммутируемыми). Если пакет по какой-либо

причине не может быть

обработан маршрутизатором ^{Рис 12. Принцип работы списков управления доступом}

или мостом, он отбрасывается. Далее операционная система проверяет, связан ли со вход-ным интерфейсом какой-либо список доступа. Если список есть, то операционная система сверяет параметры пакета с записями такого списка ACL. Если пакет соответствует разрешающему правилу и подвергается маршрутизации, то в таблице маршрутизации выполняется поиск сети-получателя, определяется метрика маршрута или состояние и интерфейс, через который следует отправить пакет. Список управления доступом не фильтрует пакеты, которые возникают внутри маршрутизатора, но фильтрует пакеты из иных источников.

Далее маршрутизатор проверяет, находится ли интерфейс получателя в группе списка управления доступом. Если его там нет, то пакет может быть направлен на интерфейс получателя непосредственно; например, при использовании интерфейса ЕО, который не связан со списками управления доступом, пакет отправляется непосредственно через такой интерфейс.

Директивы списка исполняются в последовательном логическом порядке. Если заголовок пакета соответствует директиве списка, то остальные директивы пропускаются. Если условие директивы выполнено, пакет передается далее или отбрасывается в соответствии с конфигурацией. Если заголовок пакета не соответствует ни одной директиве списка, то к нему применяется стандартное правило, размещенное в конце списка, которое запрещает передачу любых пакетов. Даже если такая директива не

29

отображается в последней строке списка управления доступом, она стандартно там присутствует.

Списки ACL позволяют контролировать, каким пользователям разрешен доступ к конкретной сети. Условия в списке контроля доступа позволяют:

· просмотреть адреса определенных узлов для того, чтобы разрешить или забло-кировать им доступ к некоторой части сети;

· разрешить или запретить доступ пользователям только к определенным видам приложений, таким, как службы FTP и HTTP.

4.3. Конфигурирование списков управления доступом

Списки ACL создаются в режиме глобальной конфигурации устройства. Существует великое множество разных типов списков управления доступом: стандартные, расширенные, списки протокола IPX, списки AppleTalk и многие другие. При создании списков ACL в маршрутизаторе каждому списку следует назначить уникальный номер. Такой номер идентифицирует тип списка и не должен выходить за границы диапазона номеров, который выделен для определенной разновидности списков.

После того

администратор

^как access-list 1 access-list 1

permit 5.6.0.0 0.0.255.255 deny 7.9.0.0 0.0.255.255

переводит

командной

режим

строки в

access-list 2 access-list 2

permit 1.2.3.4

deny 1.2.0.0 0.0.255.255

нужный решение

какого

и принято о том, из

диапазона