I. Primjer sustava kontrole pristupa resursima na kampusu
Sustav kontrole pristupa resursima u kampusu može omogućiti korisnicima izravan pristup resursima bez prijave, baš kao što neki korisnici u kampusu mogu pristupiti resursima bez prijave u sustav. Tu je i nova verzija VPN-a koja je otvorena kako bi se olakšao pristup intranetu i knjižničnim resursima na vanjskoj mreži. Ne zahtijeva instalaciju klijenata i dodataka, podržava direktnu upotrebu na računalima i mobitelima te preporučuje korištenje određenih preglednika za bolje iskustvo. Ovo je posebna situacija kontrole pristupa za specifično okruženje (pristup resursima na kampusu). Ova se metoda temelji na postavci politike dijeljenja resursa na kampusu, a svrha je olakšati korisnicima na kampusu da dobiju resurse.
II. Princip rada ACL (Access Control List)
1. Na temelju tehnologije filtriranja paketa
- ACL koristi tehnologiju filtriranja paketa za čitanje informacija u zaglavljima paketa 3. i 4. sloja OSI sedmoslojnog modela na usmjerivaču, kao što su izvorna adresa, odredišna adresa, izvorni port, odredišni port itd.
- Prema unaprijed definiranim pravilima, paket se filtrira kako bi se postigla svrha kontrole pristupa.
2. Skup pravila i aplikacija sučelja
- ACL je skup pravila koja se primjenjuju na određeno sučelje usmjerivača. Za sučelje usmjerivača, popis kontrole pristupa ima dva smjera: odlazni (paketi podataka koje je usmjerivač obradio i napuštaju ga) i dolazni (paketi podataka koji su stigli na sučelje usmjerivača i koje će usmjerivač obraditi) .
- Ako se ACL primjenjuje na određeno sučelje usmjerivača, usmjerivač primjenjuje ovaj skup pravila na pakete podataka za sekvencijalno podudaranje i filtrira pakete podataka zaustavljanjem ako dođe do podudaranja i korištenjem zadanog pravila ako se podudaranje ne podudara pojaviti se.
3. Standardna lista kontrole pristupa
- Dopustite ili zabranite pakete podataka na temelju izvorne IP adrese paketa podataka. Broj liste kontrole pristupa standardne liste kontrole pristupa je 1 - 99.
- Na primjer, sintaksa za stvaranje ACL-a za dopuštanje svih hostova u mrežnom segmentu 192.168.1.0 je: Router(config)#access-list1permit192.168.1.{{10}} .0.0.255; stvaranje ACL-a za dopuštanje određenog glavnog računala je Router(config)#access-list1permithost10.0.0.1; stvaranje zadanog ACL-a za zabranu pristupa svim hostovima je Router(config)#access-list1denyany, gdje ključna riječ host može navesti adresu hosta bez pisanja inverzne podmreže, a any može predstavljati sve hostove.
4. Prošireni popis kontrole pristupa
- Dopustite ili zabranite pakete podataka na temelju izvorne IP adrese, odredišne IP adrese, navedenog protokola, porta i oznaka podatkovnog paketa. Broj liste kontrole pristupa proširene liste kontrole pristupa je 100-199.
- Sintaksa za stvaranje proširenog ACL-a je sljedeća (uključuje broj-popisa-pristupa za određivanje broja popisa kontrole pristupa, protokol za određivanje vrste protokola, kao što su IP, TCP, UDP, ICMP itd., izvor i odredište za označavanje adrese izvora odnosno odredišne adrese, izvorni zamjenski znak i odredišni zamjenski znak su inverzni kodovi podmreže).
Općenito, sustavi kontrole pristupa određuju koji korisnici ili paketi podataka mogu pristupiti određenim resursima ili putem određenih mrežnih sučelja postavljanjem pravila. Ta se pravila mogu temeljiti na nizu čimbenika, od jednostavnih IP adresa do složenih kombinacija više mrežnih parametara kao što su protokoli i portovi.
