Danh sách truy cập diễn tả một tập hợp các qui luật cho phép đưa vào các điều
khiển các gói tin đi vào một giao diện của router, các gói tin lưu lại tạm thời ở router và
các gói tin gởi ra một giao diện của router. Danh sách truy cập không có tác dụng trên các
gói tin xuất phát từ router đang xét.
Biên soạn : Th.s Ngô Bá Hùng – 2005 75
ĐạiHọcCầnThơ–KhoaCôngNghệThôngTin–GiáoTrìnhThiếtKế&CàiĐặtMạng –V1.0
Hình 7.3 – Nguyên tắc hoạt động của danh sách truy cập
Khởi đầu của tiến trình thì giống nhau không phân biệt có sử dụng danh sách t ruy
cập haykhông: Khi một gói tin đivào một giao diện,router kiểm tra để xácđịnh xem có
thể chuyển gói tin này đi hay không. Nếu không được, gói tin sẽ bị xóa đi. Một mục từ
trong bảng chọn đường thể hiện cho một đích đến trên mạng cùng với chiều dài đường đi
đến đích và giao diện của router hướng về đích đến này.
Kế tiếprouter sẽ kiểm tra để xác định xem giao diện hướng đến đích đến có tr ong
một danh sách truy cập không. Nếu không, gói tin sẽ được gởi ra vùng đệm cho ngỏ ra
tương ứng, mà không bị một danh sách truy cập nào chi phối.
Giảsửgiaodiệnnhậnđãđượcđặttrongmộtdanhsáchtruycậpmởrộng. Nhàq uản
trị mạng đã sử dụng các biểu thứcluận lý, chính xác để thiết lập danh sách truy cập n ày.
Trướckhi mộtgóitincóthểđược đưađếngiaodiệnra, nóphảiđược kiểmtrabởimột tập
các quy tắc được định nghĩa trong danh sách truy cập được gán cho giao diện.
Dựa vào những kiểm tra trên danh sách truy cập mở rộng, một gói tin có thể đ ược
phép đối với các danh sách vào (inbound list), có nghĩa là tiếp tục xử lý gói tin sau khi
nhậntrên mộtgiao diệnhay đốivớidanh sách ra(outbound list),điềunày cónghĩa là gởi
gói tin đến vùng đệm tương ứng của giao diện ra. Ngược lại, các kết quả kiểm tra có thể từ
chối việc cấp phép nghĩa là gói tin sẽ bị hủy đi. Khi hủy gói tin, một vài giao thức trả lại
gói tin cho người đã gởi. Điều này báo hiệu cho người gởi biết rằng không thể đi đến đ ích
được.
Biên soạn : Th.s Ngô Bá Hùng – 2005 76
ĐạiHọcCầnThơ–KhoaCôngNghệThôngTin–GiáoTrìnhThiếtKế&CàiĐặtMạng –V1.0
Hình 7.4- Nguyên tăc lọc dựa trên danh sách truy cập
Cáclệnhtrong danhsách truycập hoạtđộng mộtcách tuầntự. Chúngđánh giá các
gói tin từ trên xuống. Nếu tiêu đề của một gói tin và một lệnh trong danh sách truy cập
khớp với nhau, gói tin sẽ bỏ qua các lệnh còn lại. Nếu một điều kiện được thỏa mãn, gói
tin sẽ được cấp phép hay bị từchối. Chỉ cho phép một danh sách trên một giao thức t rên
mộtgiaodiện.
Trong ví dụ trên, giả sư có sự trùng hợp với bước kiểm tra đầu tiên và gói tin b ị từ
chối truy cập giao diện hướng đến đích đến. Gói tin sẽ bị bỏ đi và đưa vào một thùng r ác.
Gói tin không còn đi qua bất kỳ bước kiểm tra nào khác.
Chỉcácgóitinkhôngtrùngvớibấtkỳđiềukiệnnàocủabướckiểmtrađầutiên mới
được chuyển vào bước kiểm tra thứ hai. Giả sử rằng một tham số khác của gói tin tr ùng
khớp với bước kiểm tra thứ hai, đây là một lệnh cho phép, gói tin được phép chuyển ra
giao diện hướng về đích.
Một góitin kháckhông trùng với bất cứ điều kiện nào của bước kiểm tra thứ nhất
vàkiểmtrabướcthứhai,nhưnglạitrùngvớiđiềukiệnkiểmtrathứbavớikếtquả làđ ược
phép.
Chú ý rằng: Để hoàn chỉnh về mặt luận lý, một danh sách truy cập phải có các điều
kiện mà nó tạo ra kết quả đúng cho tất cả các gói tin. Một lệnh cài đặt cuối cùng thì bao
trùmcho tấtcảcácgóitinmàcácbước kiểmtratrước đóđềukhôngcókếtquảđúng. Đây
là bước kiểm tra cuối cùng mà nó khớp với tất cả các gói tin. Nó là kết quả từ chối. Đ iều
này sẽ làm cho tất cả các gói tin sẽ bị bỏ đi.