А.4.3.15 Использование списков управления доступом с протоколами

Списки управления доступом могут управлять на маршрутизаторе Cisco большинством протоколов. Для этого номер протокола указывается в качестве первого аргумента глобальной директивы списка. Маршрутизатор определяет требуемый тип программного обеспечения на основе нумерованной ссылки. Для одного протокола могут использоваться несколько списков.

Для каждого списка выбирается новый номер протокола из соответствующего диапазона. Однако для каждого интерфейса и протокола может использоваться только один список. Для некоторых протоколов на одном интерфейсе можно сгруппировать до двух списков — один для входного интерфейса и один для выходного. Для других протоколов возможно использование только одного списка, который обрабатывает как приходящие, так и исходящие пакеты. Если список является входным, то при получении маршрутизатором пакета программное обеспечение Cisco проверяет его на соответствие условиям директив. Если пакету предоставляется доступ, то он продолжает обрабатываться программным обеспечением. Если в доступе ему отказано, то пакет отбрасывается. Если список является выходным, то после получения и направления его маршрутизатором на выходной интерфейс, он проверяется на соответствие условиям директив. Если разрешение на доступ получено, то программное обеспечение передает пакет далее. Если доступ блокирован, то пакет отбрасывается и помещается в битовую корзину.

Протоколу может быть присвоено имя, которым может быть одно из ключевых слов: eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, top, udp или число, которое представляет собой номер протокола и может быть целым числом в диапазоне 1-255. Для Internet-протоколов (включая ICMP, TCP и UDP) следует использовать ключевое слово ip.

Протоколы и соответствующие им номера приведены в стандарте RFC 1700.

Далее >>>