А.4.3.4 Как работают списки управления доступом

Список управления доступом представляет собой набор директив, которые определяют:

– как организован вход на интерфейсы;

– как происходит передача информации через маршрутизатор;

– как организованы выходные интерфейсы маршрутизатора.

Рис. А.5. Списки управления доступом проверяют заголовки пакета и заголовки более высоких уровней

Как показано на рис. А.6, начальные операции по установке связи остаются одними и теми же, независимо от того, используются списки управления доступом или нет. Когда пакет поступает на интерфейс, маршрутизатор определяет, куда его направить — на маршрутизатор или на мост. Если пакет не может быть обработан маршрутизатором или мостом, то он отбрасывается.

Если пакет поддается маршрутизации, то таблица маршрутизации указывает сеть-получатель, метрику или состояние маршрутизации и интерфейс, с которого следует отправить пакет.

Далее маршрутизатор проверяет, находится ли интерфейс получателя в группе списка управления доступом. Если его там нет, то пакет может быть направлен на интерфейс получателя непосредственно; например, при использовании интерфейса To0, который не использует списки управления доступом, пакет отправляется непосредственно с То0.

Директивы списка исполняются последовательно. Если заголовок пакета соответствует директиве списка, то остальные директивы пропускаются. Если условие директивы выполнено, то пакету разрешается или отказывается в доступе.

Рис. А.6. Списки управления доступом фильтруют пакеты от внешних источников, но не фильтруют пакеты, которые поступают из самого маршрутизатора

Примечание.

Для логической завершенности список управления доступом должен содержать условия, которые выполняются для всех пакетов, использующих этот список. Последняя директива в списке относится ко всем пакетам, которые не удовлетворяют предыдущим условиям. Ее условия должны приводить к отказу в доступе. Вместо обработки этих приходящих или отправляемых пакетов они должны быть отброшены. Если такое условие нежелательно, то последней директивой в списке должна быть команда permit any. Отметим, что неявный отказ в доступе не отображен в файле конфигурации и поэтому некоторые сетевые администраторы предпочитают ввести эту команду явным образом. При этом она появляется при просмотре файла конфигурации, что облегчает задачи контроля за работой сети.

Далее >>>