Access Control Lists (ACL)

Access Control List гэдэг сүлжээний урсгалыг тогтоосон дүрэмд тулгуурлаж хянах болон сүлжээний аюулгүй байдалд ашигладаг. Администраторууд ACL -ууд ашиглаж сүлжээний төхөөрөмжүүд дээр сүлжээний урсгалын хөдөлгөөнийг хянаж хориглох эсвэл зөвшөөрдөг. 


ACL нь OSI моделийн 2, 3, 4, болон 7-р түвшин ажилладаг.

ACL нь интерфейс бүрд дараах байдлаар хэрэгждэг:

• Inbound ACL – Чиглүүлэлт хийхээс өмнө пакетуудыг шалгана
• Outbound ACL - Чиглүүлэлт хийсний дараа пакетуудыг шалгана

ACL нь үүсгэсэн дүрмүүдээ дээрээс нь доош шалгадаг бөгөөд ACL доторх дүрэмд илгээсэн мессеж тарахгүй бол implicit deny буюу шууд хориглогддог.Та нэг л ACL-г нэг интерфейс дээр нэг протоколоор нэг чиглэлд л хэрэгжүүлж чадна. Өөрөөр хэлбэл IP access list үүсгэсэн үед та зөвхөн ганц л  Inbound ACL болон Outbound ACL-г интерфейс бүрд тохируулж өгөх боломжтой. Та олон ACL-г ижил интерфейс дээр ижил чиглэлд ижил протокол ашиглаж чадахгүй.Хэрвээ эхний ACL доторх дүрэмд тараахгүй бол implicit deny болдог учраас олон дараагын ACL-р шалгах боломжгүй.

ACL нь нэрлэсэн болон дугаартай байдаг. Тэр дугаар нь тухайн ACL-г ямар төрлийн ACL гэдгийг тодорхойлоно.
Протокол	Хязгаар
IP	1-99, 1300-1999
Extended IP	100-199, 2000-2699
Ethernet type code	200-299
Ethernet address	700-799
Transparent bridging (protocol type)	200-299
Transparent bridging (vendor code)	700-799
Extended transparent bridging	1100-1199
DECnet and extended DECnet	300-399
XNS	400-499
Extended XNS	500-599
AppleTalk	600-699
Source-route bridging (protocol type)	200-299
Source-route bridging (vendor code)	700-799
IPX	800-899
Extended IPX	900-999
IPX SAP	1000-1099
Standard VINES	1-100
Extended VINES	101-200
Simple VINES	201-300

Cisco ACL нь standard болон extended гэсэн 2 төрөл байдаг.

Standard ACL

Стандарт ACL нь илгээгчийн IP хаягийг шалгаж зөвшөөрөх эсвэл хориглох боломжийг таньд олгодог. Хүлээн авагчийн IP хаяг болон Портын дугаар нь ямар хамаагүй юм.

Стандарт ACL нь дараах бүтэцтэй байна.

Router(config)#access-list <access-list-number> {permit|deny} {host|source source-wildcard|any}

Extended ACL

Extended ACL нь илүү боловсронгуй болон IP пакет шүүлтүүр юм. Жишээлбэл протоколын төрөл, илгээгч болон хүлээн авагчийн IP хаяг болон портууд ашиглах боломжтой.

Extended ACL нь дараах бүтэцтэй байна.

Router(config)#access-list <access-list-number> {permit|deny} <protocol> <source> <source-wildcard> <port-operator> <source-port> <destination> <destination-wildcard> <port-operator> <destination-port>

Ассess list-үүдээ шалгах

show access-lists 

show ip access-lists

ACL-г дан ганц бичиж өгөөд ажилладаггүй юм. Үүсгэсэн ACL-аа интерфейс дээр тохируулж байж ажиллана.

Router(config-if)#ip access-group {access-list|access-list-name}{in|out}

Standart ACL-г хүлээн авагчтай ойрхон харин Exntended ACL-г илгээгчтэй ойрхон тохируулах нь зөв шийдэл юм.

ACL-уудын жишээ:

• Standart access list
• Extended access list
• Reflexive access list
• Dynamic(lock and key) access list
• Time-based access list