Стандартные списки контроля доступа

Стандартный ACL-список является самым простым из трех типов. При создании стандартного ACL-списка для IP-протокола, фильтрация по ACL-спискам осуществляется на основе исходного IP-адреса пакета. Стандартные ACL-списки определяют разрешения пакетов на основе всего протокола, такого как IP-протокол. Таким образом, при запрете узлового устройства стандартным ACL-списком, запрещаются все службы этого узла. Такой тип ACL-списка полезен для разрешения доступа всех служб определенного пользователя или локальной сети (LAN) через маршрутизатор с запретом доступа с других IP-адресов. Стандартные ACL-списки определяются по присваиваемым им номерам. Номера из диапазона от 1 до 99 и от 1300 до 1999 присваиваются спискам доступа, разрешающим или блокирующим IP-трафик.

После создания списка контроля доступа, его необходимо применить к интерфейсу, чтобы задействовать его. ACL-список предназначен для фильтрации входящего или исходящего трафика, проходящего через интерфейс. Если пакет соответствует разрешающей инструкции, то он пропускается маршрутизатором. Если он соответствует запрещающей инструкции, он останавливается. ACL-список без единой разрешающей инструкции приводит к блокированию всего трафика. Это объясняется тем, что в конце каждого ACL-списка указывается неявное запрещение. Таким образом, ACL-список будет препятствовать прохождению всего трафика, если не указаны особые разрешения.

Список контроля доступа пропускает пакет

Список контроля доступа уничтожает пакет

В простых ACL-списках указывается только один разрешенный или запрещенный адрес. Для блокирования нескольких адресов или диапазонов адресов необходимо несколько инструкций или шаблонная маска. Использование IP-адреса сети с шаблонной маской обеспечивает намного большую гибкость. С помощью шаблонной маски можно блокировать диапазон адресов или всю сеть при помощи всего одной инструкции.

В шаблонной маске используются символы "0" для указания части IP-адреса, который должен в точности совпадать, и символы "1" – для части IP-адреса, который не должен совпадать с определенным номером.

Шаблонная маска типа 0.0.0.0 требует точного совпадения со всеми 32 битами IP-адреса. Маска приравнивается к использованию параметра host.

Пример

В инструкции ACL-списка IP-адрес и шаблонная маска образуют сравниваемые поля. Все пакеты, входящие или исходящие через интерфейс, сравниваются с каждой инструкцией ACL-списка для выявления совпадения.шаблонная маска определяет, сколько бит входящего IP-адреса соответствуют сравниваемому адресу.

В качестве примера: следующая инструкция разрешает все узлы сети 192.168.1.0 и блокирует остальные:

access-list 1 permit192.168.1.0 0.0.0.255

Шаблонная маска указывает, что должны совпадать только первые три октета. Следовательно, если первые 24 бита входящего пакета совпадают с первыми 24 битами сравниваемого поля, пакет разрешается. Любой пакет с исходным IP-адресом из диапазона 192.168.1.1 – 192.168.1.255 соответствует сочетанию сравниваемого адреса и маски в указанном примере. Все другие пакеты запрещаются ACL-списком при помощи неявной инструкции denyany.

Пример:

access-list 9 deny 192.168.15.99 0.0.0.0

access-list 9 permitany