3.2.3 Списки управління доступом

Списки управління доступом є набором інструкцій, вживаних до інтерфейсу маршрутизатора. Вони указують маршрутизатору, які пакети слід прийняти, а які відкинути. Рішення про це може ґрунтуватися на певних критеріях, таких як адреса джерела, адреса одержувача або номер порту.

На практиці командами списків управління доступом є довгі символьні рядки. Основними завданнями, вирішення яких описане в цьому розділі, є наступні:

Створення ACL в звичайному процесі установки глобальної конфігурації маршрутизатора.

Завдання номера ACL від 1 до 99 указує маршрутизатору на створення стандартного списку. При вказівці номера від 100 до 199 створюється розширений ACL.

При створенні ACL необхідно ретельно відбирати необхідні директиви і дотримувати їх логічну послідовність. Мають бути вказані допустимі IP-протоколи; всім даним інших протоколів повинно бути відмовлено в допуску.

Необхідно вибрати IP-протоколи, що перевіряються; решта всіх протоколів перевірятися не будуть. Надалі для більшої точності можна буде також вказати порт одержувача.

Фільтрація з використанням IP-адреса здійснюється за допомогою маски адреса, яка задає спосіб перевірки відповідних бітів адреси.

На маршрутизаторі необхідно закрити доступ в Інтернет всім користувачам з бухгалтерії і декільком робочим станціям у відділі маркетингу в діапазоні адресів 172.16.1.3–72.16.1.8. Для цього виконуємо на маршрутизаторі наступні команди:

access-list extended INET deny 172.16.3.0 0.0.0.255 any

access-list extended INET deny host 172.16.1.3 0.0.0.255 any

access-list extended INET deny host 172.16.1.4 0.0.0.255 any

access-list extended INET deny host 172.16.1.5 0.0.0.255 any

access-list extended INET deny host 172.16.1.6 0.0.0.255 any

access-list extended INET deny host 172.16.1.7 0.0.0.255 any

access-list extended INET deny host 172.16.1.8 0.0.0.255 any

access-list extended INET allow ip any any

ip access-group INET out