Lógica de ACL de entrada y salida

Lógica de ACL de entrada

En la figura 1, se muestra la lógica para una ACL de entrada. Si hay una coincidencia entre la información en un encabezado de paquete y una instrucción de ACL, el resto de las instrucciones de la lista se omiten y se permite o se deniega el paquete según lo especificado por la instrucción de la coincidencia. Si no existe una coincidencia entre un encabezado de paquete y una instrucción de ACL, el paquete se prueba en relación con la siguiente instrucción de la lista. Este proceso de búsqueda de coincidencias continúa hasta que se llega al final de la lista.

Al final de cada ACL hay una instrucción deny any implícita. Esta instrucción no se muestra en el resultado. Esta instrucción implícita final se aplica a todos los paquetes cuyas condiciones no se probaron como verdaderas. Esta condición de prueba final coincide con el resto de los paquetes y da como resultado una acción de denegación. En lugar de avanzar en el sentido de entrada o de salida de una interfaz, el router descarta todos los paquetes restantes. A esta instrucción final se la suele conocer como instrucción “deny any implícita” o “denegación de todo el tráfico”. Debido a esta instrucción, una ACL debería incluir, por lo menos, una instrucción permit. De lo contrario, la ACL bloquea todo el tráfico.

Lógica de ACL de salida

En la figura 2, se muestra la lógica para una ACL de salida. Antes de que se reenvíe un paquete a una interfaz de salida, el router revisa la tabla de routing para ver si el paquete es enrutable. Si no lo es, se descarta y no se prueba en relación con las ACE. A continuación, el router revisa si la interfaz de salida está agrupada en una ACL. Si la interfaz de salida no está agrupada en una ACL, el paquete se puede enviar al búfer de salida. A continuación, se indican algunos ejemplos de la operación de la ACL de salida:

  • No se aplica ACL a la interfaz: Si la interfaz saliente no se agrupa con una ACL saliente, el paquete se envía directamente a la interfaz saliente.

  • Se aplica ACL a la interfaz: Si la interfaz saliente se agrupa con una ACL saliente, el paquete no se envía a la interfaz saliente hasta que se lo pruebe combinando ACE asociadas con dicha interfaz. Según las pruebas de ACL, el paquete se permite o se deniega.

Para las listas de salida, “permit” (permitir) significa enviar el paquete al búfer de salida y “deny” (denegar) significa descartar el paquete.