Раздел 10. Списки управления доступом ACL (Access Control List).
Списки доступа позволяют создавать правила управления трафиком, по
которым будет происходить межсетевое взаимодействие как в локальных, так и
в корпоративных сетях.
Существует шестнадцать типов списков доступа, но наиболее часто
используются два типа:
standart – стандартные (номера с 1 по 99) и
extended –
расширенные (номера с 100 по 199 или с 2000 по 2699). Различия между этими
двумя списками заключаются в возможности фильтровать пакеты не только по
IP – адресу, но и по другим различным параметрам.
Стандартные списки обрабатывают только входящие IP адреса
источников, т.е. ищут соответствие только по IP адресу отправителя.
Расширенные списки работают со всеми адресами корпоративной сети и
дополнительно могут фильтровать трафик по портам и протоколам.
Работа списка доступа напрямую зависит от порядка следования строк в
этом списке, где в каждой строке записано правило обработки трафика.
Просматриваются все правила списка с первого до последнего по порядку, но
просмотр завершается, как только было найдено первое соответствие, т.е. для
пришедшего пакета было найдено правило, под которое он подпадает. После
этого остальные правила списка игнорируются. Если пакет не подпал ни под
одно из правил, то включается правило по умолчанию:
access-list номер_списка deny any которое запрещает весь трафик по тому интерфейсу сетевого устройства, к
которому данный список был применен.
Для того, чтобы начать использовать список доступа, необходимо выполнить
следующие три этапа:
1 – создать список;
2 – наполнить список правилами обработки трафика;
3 – применить список доступа к интерфейсу устройства на вход или на выход
этого интерфейса.
Этап первый – создание списка доступа:
Стандартный список:
Switch3(config)#