Směrování IP datagramů

Transkript

1 Směrování IP datagramů Směrovací protokoly - směrování je jeden ze základních principů na kterých stojí dnešní Internet

2 Principy směrování I. Směrování IP datagramů si lze představit např. jako: třídění dopisů na poště je-li adresát z Brna, tak je dopis vhozen do otvoru Brno je-li adresát z Pardubic tak je dopis vhozen do otvoru HK protože do Pardubic neexistuje přímé spojení v HK bude poté následovat další směrování každý pytel je následně svázán, ošetřen visačkou a odeslán...

3 Principy směrování II. Analogicky předchozímu příkladu se chová směrovač (router) jednotlivými přihrádkami jsou síťová rozhraní zjednodušeně řečeno směrovač je zařízení, které předává datagramy z jednoho svého rozhraní do jiného příklad: směrovač obdržel datagram adresovaný stanici a musí rozhodnout: zdali jej vloží do S0 nebo S1 nebo jej snad vloží zpět do rozhraní Eth.

4 Hostitelské počítače a směrovače Uzlové počítače (hosts, hostitelské počítače) se typicky připojují jen do jedné dílčí sítě Existuje však možnost připojit je do více dílčích sítí, jako tzv. multi-homed host IP síť 1 IP síť 2 Tzv. multi-homed host může fungovat současně i jako směrovač (kromě svých hostitelských funkcí), ale filozofie protokolů TCP/IP to nepovažuje za správné a vhodné!! a striktně rozlišuje mezi hostitelským počítače a směrovačem (IP směrovačem, IP bránou)

5 Směrování pomocí směrovačů N1 I 0 R1 I 1 N2 N3 N4 Tabulka R1 I 0 R2 I 1 Síť Rozhraní Brána M N1 N2 I 0 I 1 přímo přímo 0 0 I 0 R3 I 1 N3 I 1 R2 1 N4 I 1 R2 2 Tabulka R2 Tabulka R3 Síť Rozhraní Brána M Síť Rozhraní Brána M N1 I 0 R1 1 N1 I 0 R2 2 N2 I 0 přímo 0 N2 I 0 R2 1 N3 N4 I 1 I 1 přímo R3 0 1 N3 N4 I 0 I 1 přímo přímo 0 0

6 Směrovací tabulky Směrovačům k rozhodování slouží tzv.: směrovací tabulky v prvním sloupci je adresa cílové sítě lze si představit, že záznamy ve směrovací tabulce jsou například setříděny podle pravidla: více specifická adresa předchází méně specifickou adresu sítě směrovač postupně prochází všechny záznamy od shora dolů dokud nenarazí na záznam, který by se dal použít

7 Zpracování Zpracování probíhá po řádcích na každém řádku se vezme M která se bit po bitu vynásobí s IP A výsledek se porovná s A S AS <=?=> M x IP pokud se výsledek shoduje testuje se, zdali není více záznamů více možných více cest poté vstupuje do hry metrika zhodnocené parametry přenosové cesty (parametry jsou stanoveny protokolem) - např. počet směrovačů na přenosové cestě, cena za přenos, přenosová kapacita, zpoždění...

8 Příklad Předchozí příklad: směrovač má vybrat vhodné síťové rozhraní k přenesení datagramu s cílovou adresou řádek vynásobením bit po bitu s M dostaneme řádek vynásobením bit po bitu s M dostaneme řádek vynásobením bit po bitu s M dostaneme řádek vynásobením bit po bitu s M dostaneme což se rovná IP adrese v prvním sloupci. IP datagram bude předán do rozhraní S1 poslední řádek pokud by nebyla nalezena žádná shoda, byla by použita tzv. default položka s maskou

9 Přímé a nepřímé směrování Přímé směrování (direct routing): odesilatel může poslat paket přímo jeho koncovému příjemci přímé směrování lze použít jen v případě, kdy odesilatel i příjemce jsou připojeni ke stejné dílčí síti (IP síti) Nepřímé směrování (indirect routing): paket prochází přes přestupní stanice Přímé směrování je od nepřímého snadno detekovatelné podle síťové části IP adresy příjemce Přímé směrování je snadné a dokáží si jej zajišťovat hostitelské počítače samy na nepřímém směrování hostitelské počítače spolupracují se směrovači Hlavní tíha nepřímého směrování však leží na směrovačích směrovače v každém TCP/IP internetu tvoří vzájemně spolupracující soustavu (strukturu), spolupracují na vlastním předávání paketů a na šíření směrovacích informací

10 Základní schéma směrování V každém OS jsou tedy implementovány základní směrovací funkce. Jsou to zejména: směrování obecných datagramů směrování datagramů pro vlastní stanici - loopback směrování oběžníků forwarding echo replay...

11 Zpětná smyčka Při směrování se velmi často vyskytne požadavek na odeslání paketů na vlastní adresu jak se tato situace řeší? Korektní řešení: odeslat paket až na nejbližší směrovač ten zařídí správné nasměrování datagramu zpět DA = my IP IP = další možné řešení vytvořit virtuální zpětné zařízení - loopback ve směrovací tabulce přeposílat vybrané pakety na něj loopback se sám postará o doručení nezatěžuje síť zbytečnými pakety zvyšuje rychlost zpracování nezatěžuje směrovače

12 Výpis směrovací tabulky Většina OS umožňuje minimálně: výpis konkrétní směrovací tabulky příkazem: netstat pozor! - netstat vypisuje tabulku setříděnou vzestupně jednotlivé interfeacy jsou označeny svou IP adresou! Ve Windows route print všechny datagramy určené pro vlastní IP adresu budou odeslány na: loopback

13 Konstrukce směrovacích tabulek Směrovací tabulky mohou být vytvářeny: manuálně / staticky při konfiguraci síťového rozhraní administrátorem příkazem route používá se v případě zvýšení bezpečnosti směrování je pak plně pod kontrolou síť však neumožňuje dynamickou rekonfiuraci topologie směrovač nemůže vytvářet alternativní cesty možnost chybné konfigurace vznik nežádoucích nekontrolovaných směrovacích smyček u hostů dynamicky pomocí protokolu ICMP dynamicky pomocí směrovacích protokolů

14 Hostitelské směrovače a směrování Algoritmy směrování aplikují jak směrovače, tak i hostitelské počítače o aktualizaci obsahu směrovacích tabulek se aktivně starají pouze směrovače (podílí se na hledání cest atd.) hostitelské počítače si své směrovací tabulky aktualizují až na přímý popud směrovačů (ty je doslova učí ) hostitelský počítač musí znát alespoň jeden směrovač (musí znát alespoň jednu cestu ven ze své sítě)... jeho směrovací tabulka musí na počátku obsahovat alespoň jednu položku (typicky: implicitní cestu) o existenci případných dalších směrovačů se hostitelský počítač dozvídá postupně

15 Vytváření směrovací tabulky hosta Postup naplňování ST dalšími záznamy v první fázi se může stát, že hostitelský počítač pošle paket takovému směrovači (typicky na implicitní cestě), přes který cesta ke konečnému adresátovi nevede v takovém případě má dotyčný směrovač povinnost upozornit odesilatele (hostitelský počítač) na existenci jiného, vhodnějšího směrovače hostitelský počítač si tento nový směrovač zanese do své směrovací tabulky původně oslovený směrovač má povinnost zprostředkovat doručení paketu

16 Předávání informací hostům Jak funguje předávání inf. mezi směrovači a hosty? směrovače upozorňují hosty pomocí ICMP na existenci jiných směrovačů směrovače hostům posílají tzv. ICMP redirect ICMP má ve spojení se směrovači i další využití reakce na zahlcení - směrovač může poslat odesilateli žádost o snížení rychlosti odesílání při zacyklení cest oznamuje tuto skutečnost původnímu odesilateli umožňuje testovat dosažitelnost konkrétních uzlů sítě - tzv. ICMP echo

17 Směrovací protokoly

18 Původní představa distribuce směrovacích informací v Internetu core gateways páteř Internetu non-core gateways bude existovat soustava tzv. core gateways (centrálních směrovačů), nacházejících se v páteřní části Internetu tyto core gateways budou mít úplnou informaci o celé topologii Internetu a budou centrálně spravovány (pověřenou organizací)

19 Non-core gateways Non-core gateways typicky směrovače sítí, které se připojují k páteři Internetu mají své konkrétní provozovatele a správce vystačí jen s omezenými směrovacími informacemi pokrývajícími pouze jejich dosah veškerý ostatní provoz posílají nejbližším core gateway musí inzerovat IP adresy svých sítí soustavě core gateways S růstem Internetu se řešení s core gateways stalo neúnosné úplná informace o celé topologii Internetu je příliš velká režie na distribuci této informace mezi všemi core gateways značná core gateways nešlo donekonečna nafukovat muselo se najít jiné řešení

20 Základní myšlenka řešení Informace o topologii je třeba vhodně distribuovat je vhodné respektovat skutečnost: k Internetu se připojují celé velké sítě či soustavy sítí které již mohou mít otázku šíření směrovacích informací (v dosahu své působnosti) nějak vyřešenu ať si každý zodpovídá sám za sebe vzniknou autonomní systémy soustava vzájemně propojených sítí, spadající pod jednu správní autoritu autonomní systém má právo si zajistit šíření směrovacích informací podle svého (ve svém okruhu působnosti) ostatním autonomním systémům předává údaje o dostupnosti svých sítí

21 Autonomní systémy Soustava core gateways bude nadále existovat a bude sama tvořit autonomní systém Od ostatních autonomních systémů bude dostávat informace o dostupnosti jednotlivých sítí Předpokládá se stromovitá struktura autonomních systémů (bez cyklů) autonomní systém core gateways představuje kořen tohoto stromu každý autonomní systém inzeruje informace typu: já jsem tím, kdo poskytuje přístup k síti X.Y.

22 Autonomní systémy Uvnitř autonomních systémů si každý autonomní systém šíří směrovací informací tak, jak potřebuje Navenek musí dodržovat jednotnou konvenci protokol EGP (Exterior Gateway Protocol) AS1 IGP IGP EGP Core Network IGP AS3 AS2

23 Uvnitř autonomních systémů Může existovat více směrovacích algoritmů (protokolů) obecně se označují jako IGP (Interior Gateway Protocols) příklady: RIP, OSPF, EGRP... AS1 IGP EGP Core Network

24 IGP směrovací protokoly Automatické směrovací protokoly využívají pro svou činnost: dynamicky vytvářené směrovací tabulky na základě informací periodicky šířených směrovacími protokoly se mapy vypočítávají programem podle určitého algoritmu snadná adaptace na změny v topologii sítě mezi směrovači musí být dohoda o implementaci určitého směrovacího protokolu Algoritmy směrování mohou být: založeny na různých principech, myšlenkách,... vycházejí z různých předpokladů mohou být vhodné či nevhodné pro různé druhy sítí a intenzity provozu mohou být více či méně odolné na změny v topologii sítě mohou či nemusí se umět vyrovnat se zdvojenými cestami... Společnou vlastností všech směrovacích algoritmů je nalezení optimální cesty pro přenos datagramů

25 Optimální cesta Co je optimální cesta? nejkratší a v jakém smyslu? V délce kabelů, v počtu přeskoků? nejrychlejší co do přenosového zpoždění, co do délky front? nejlacinější co do nákladů, poplatků? obecně: zavede se určitá metrika, a tou se ohodnotí jednotlivé spoje v síti algoritmy hledají optimální cestu podle této metriky metrika může vyjadřovat např. počet přeskoků, celkovou dobu přenosu, nebo kombinaci dalších parametrů

26 Algoritmy pro výpočet směrovacích cest U dynamického směrování se používají dva základní směrovací algoritmy: DVA - Distance Vector Algorithmus pracuje na principu vektorového ohodnocení cesty (délky) LSA - Link State Algorithmus pracuje na základě ohodnocení stavu - kvality cesty do těchto skupin patří dnes nejpoužívanější směrovací protokoly DVA RIP-IP (RFC 1058) RIP-IPX (Novell) IGRP (Cisco) E-IGRP (Cisco) LSA OSPF (RFC 1247) IS-IS (ISO-OSI) NLSP EGP (RFC 827)

27 Distance Vector algoritmus Princip: pracuje na principu: vektorového ohodnocení délky cesty délka cesty je ohodnocena počtem mezilehlých směrovačů a periodické výměny směrovacích informací vyměňují se přitom celé směrovací tabulky pomocí IP broadcastu ze získaných tabulek mohou směrovače upřesňovat (doplňovat) nové nejkratší vzdálenosti Vytvoření tabulky: vytvoření záznamů pro sousedící sítě podle postupně přijímaných obsahů tabulek dalších směrovačů se tvoří záznamy pro čím dál vzdálenější sítě hodnota hopcount přijatá od sousedního směrovače se vždy zvýší o 1

28 Příklad - počáteční stav A?? B?? C?? D?? E?? F 2 F G - - A - - B 3 B C?? D?? E?? F 2 F G?? do kterého uzlu G A 2 A 2 A B?? C?? D?? E 2 E F - - G 2 G 2 3 F B 2 přes který uzel A 3 A B - - C 6 C D?? E?? F?? G?? za jakou cenu E 6 A?? B?? C?? D 2 D E - - F 2 F G?? 2 C 2 D A?? B 6 B C - - D 2 D E?? F?? G?? A?? B?? C 2 C D - - E 2 E F?? G??

29 Příklad - stav po 1. kroku A 4 F B?? C?? D?? E 4 F F 2 F G - - A - - B 3 B C 9 B D?? E 4 F F 2 F G 4 F do kterého uzlu G A 2 A 2 A B 5 A C?? D 4 E E 2 E F - - G 2 G 2 3 F B 2 přes který uzel A 3 A B - - C 6 C D 8 C E?? F 5 A G?? E 6 A 4 F B?? C 4 D D 2 D E - - F 2 F G 4 F 2 C 2 D A 9 B B 6 B C - - D 2 D E 4 D F?? G?? A?? B 8 C C 2 C D - - E 2 E F 4 E G??

30 Příklad - stav po 4. kroku A 4 F B 7 F C 8 F D 6 F E 4 F F 2 F G - - A - - B 3 B C 8 F D 6 F E 4 F F 2 F G 4 F do kterého uzlu G A 2 A 2 A B 5 A C 6 E D 4 E E 2 E F - - G 2 G 2 3 F B 2 přes který uzel A 3 A B - - C 6 C D 8 C E 7 A F 5 A G 7 A E 6 A 4 F B 7 F C 4 D D 2 D E - - F 2 F G 4 F 2 C 2 D A 8 D B 6 B C - - D 2 D E 4 D F 6 D G 8 D A 6 E B 8 C C 2 C D - - E 2 E F 4 E G 6 E

31 Distance Vector algoritmus Protokoly založené na DVA definují malé přirozené číslo (tzv. max. hopcount) které omezuje hodnotu DISTANCE pokud dojde k dosažení této hodnoty síť se považuje za nedostižitelnou a záznam se z tabulky odstraní protokoly tedy nejsou vhodné pro příliš rozsáhlé sítě Problémy jsou i s konvergencí: dobré zprávy se šíří rychle to, že někde existuje kratší cesta špatné zprávy se šíří pomalu to, že někde přestala být cesta průchodná Další nevýhoda nutnost vysílat celé tabulky u větších sítí to představuje velké datové pakety = velká zátěž sítě typickým představitelem je rodina protokolů RIP

32 Link State algoritmus Pracuje na základě: ohodnocení stavů linek připojených bezprostředně ke směrovači každý směrovač sleduje své připojené linky podle přenosového výkonu - propustnosti doby odezvy ceny přenosu... směrovač poté pravidelně informuje další směrovače o těchto změnách - flooding nepřenáší se tedy celé tabulky, ale pouze změny! Požadavky na výpočet jsou náročnější ale požadavky na množství přenášených dat jsou nižší! algoritmy jsou také stabilnější poradí si např. lépe se smyčkami každý směrovač tak může kdykoli přepočítat stav celé sítě a zvolit optimální cestu pro datagram typickým zástupcem je např. EGP nebo OSPF

33 Interní protokoly - RIP RIP - Routing Information Protocol princip Distance Vector Algorithmus verze RIP1 a RIP2 vlastnosti Přidává směrování i na základě cílové adresy a umožňuje také autorizaci směrovačů vzdálenostní metrika je dána pouze počtem směrovačů v cestě max. 15 nevyužívá měřené parametry přenosové cesty Ukážeme si na cvičení požaduje použití broadcastových zpráv každých 60s odeslána RIP zpráva - pomalé šíření informace pokud není přijata do 180s RIP zpráva platnost ST vyprší (dojde ke ztrátě konektivity) definuje vždy pouze jednu cestu pro daný směr - nedokáže vytvářet záložní alternativní cesty náchylný ke vzniku směrovacích smyček

34 Princip činnosti RIPu Informace jsou předávány pomocí RIP paketů RIP pakety jsou přenášeny prostřednictvím UDP (port 520) IP záhlaví UDP záhlaví RIP zpráva request/reply verze RIPu identifikátor směrovacího procesu typ sítě (2 = IP) identifikátor AS IP adresa sítě maska podsítě next - hope IP adresa vzdálenost k síti v počtu směrovačů (0-15), 16 = nedostupná síť záznamy pro dalších maximálně 24 směrovačů zpráva obsahuje zejména: žádost / odpověď - o všech nebo vybraných sítích IP adresu následující sítě vzdálenost k síti

35 Princip činnosti RIPu Funkce směrovače: po zapnutí rozešle (broadcastem) žádosti o směrovací inf. do všech připojených sítí na základě odpovědí si sestaví S.T. tu rozešle v RIP paketu do připojených sítí dále rozesílá RIP pakety s periodou 60s nebo při změnách výpadky rozhraní směrovač oznamuje údajem Hops = 16 Nastavení RIP subjektů (programová konfigurace): aktivní generují a šíří RIP zprávy (zpravidla síťové směrovače) pasivní pouze přijímají RIP zprávy od aktivních subjektů (zpravidla koncové uživatelské systémy)

36 Protokoly IGRP a E-IGRP firmy Cisco Postupem času přestal RIP stačit zejména jednou metrikou a limitem 16 přeskoků Firma Cisco přišla s vlastním protokolem IGRP (Interior Gateway Routing Protokol) Distance Vector Algorithmus IGRP byl původně vyvinut pouze pro IP později obohacen i o podporu pro další sítě (IPX, AppleTalk...) na zařízeních Cisco se stal standardem konkurence prosazovala jako náhradu protokol OSPF v r byl protokol přepracován a podstatně rozšířen na protokol EIGRP (Enhanced Interior Gateway Routing Protokol) RIP IGRP Limit 16 přeskoků Jediná metrika -počet přeskoků (vzdálenost) Počet přeskoků neomezen Pět metrik -počet přeskoků -zpoždění přenosu -šířka pásma -spolehlivost sítě -zatížení sítě

37 Vlastnosti EIGRP EIGRP je řazen do kategorie advanced - DVA firma Cisco o něm mluví jako hybridním protokolu Vlastnosti konečný stavový automat DUAL* 1 Ukážeme si na cvičení základní sw algoritmus pomocí algoritmu DUAL jsou synchronizovány změny cest ve S.T. aniž by se do tohoto procesu museli zapojovat směrovače, kterých se tyto změny netýkají velký rozdíl oproti periodickému dotazování u RIPu... aktualizace řízené událostmi nepoužívá se periodicky vysílaných updatů spolehlivý přenosový protokol RTP protokol garantující řádné doručení prioritních paketů s aktualizačními informacemi možná koexistence s IGRP používané metriky jsou přenositelné * 1 Diffusing Update Algorithm

38 Směrovací protokol OSPF OSPF - Open Shortest Path First na principu Link State Algorithmus odstraňuje některé nevýhody RIPu pomalost šíření změn objem přenášených zpráv v RIP paketech limit 15 směrovačů vlastnosti OSPF stav sousedních směrovačů je periodicky kontrolován existuje pojem cena cesty - je vždy spojen s portem směrovače - oceňuje administrátor podporuje paralelní cesty (se shodnou metrikou) rozdělování zátěže hierarchie sítě je členěna na dvě úrovně páteřní síť dílčí oblasti

39 Princip OSPF zprávy OSPF jsou přímo vkládány do IP protokolu IP záhlaví Protocol = 89 OSPF zpráva OSPF využívá algoritmus distribuovaného výpočtu směrovacích tab. směrovače provádějí prostřednictvím zpráv LSA (Link State Advertisment) a protokolu Hello kontrolu dostupných směrovačů a kontrolu připojených linek ke směrovačům na základě LSA si každý směrovač v síti si udržuje inf. o topologii sítě ve formě orientovaného grafu (databáze OSPF) může lehce zjistit nejkratší cestu a záložní cestu kořenem stromu je vždy aktuální směrovač zprávy jsou odesílány periodicky (30min), resp. při změnách pozor - i změnách stavu linek!

40 Hierarchie OSPF Protokol OSPF umožňuje členění sítě do dvou úrovní páteř sítě BA (Back Bone Area) a dílčí oblasti (Area) s podrobnou topologií, jež není mimo oblast v OSPF viditelná V ustáleném stavu: malé množství inf. (hello pak., refresh/30min...) Pokud časté změny častý přepočet SFP => DVĚ ÚROVNĚ flooding jen v intra area! => pouze lokální přepočet SPF algoritmu při změně

41 OSPF směrovací doména Area soustava jedné nebo více souvislých sítí každá area má svou kopii Shortest Path First (SPF) algoritmu Hierarchické směrování uvnitř oblasti intra area společná topologická databáze vnitřní směrovač (Area Router) pověřený směrovač mezi oblastmi - inter area přes páteřní oblast sumarizuje topologické informace oblasti směrovač páteře (Back Bone Router) mezi OSPF směrovacími doménami autonomní oblasti se stejnou metrikou s rozdílnou metrikou hraniční směrovač (Border Router)

42 OSPF cena cesty / metrika OSPF zná pojem cena cesty: cena - cost vždy svázána s rozhraním směrovače menší cena cesty = vyšší priorita cost = konst. / bandwidth (bps) při default konst. = 1e8: 100Mbit/s = 1 10Mbit/s = 10 64kbit/s = 1562 cena svázána s rozhraním! odlišné ceny cesty z různých směrů

43 Externí protokoly Jednotné protokoly pro nasazení na WAN slouží pro směrování v páteřních sítích Souhrnně EGP: Exterior Gateway Protocol AS1 IGP IGP EGP Core Network IGP AS3 AS2

44 Externí protokoly - EGP Protokol EGP (Extrior Gateway Protocol) jednoduchý protokol na bázi stromové struktury bez metriky. Princip: zjistí každému směrovači sousední směrovače, se kterými bude komunikovat, Periodicky sousedství ověřuje pomocí paketů Hello a odpovědí na ně Vyměňuje se sousedy informace o dostupnosti sítí ve svém seznamu sítí a směrovačů Problémy EGP nedokáže využít více alternativních páteřních AS nedokáže rozkládat zátěž mezi více AS je šit na míru centralizovanému Internetu, s jediným páteřním autonomním systémem

45 Protokol BGP Protokol BGP Border Gateway Protocol novější, na bázi hvězdicové struktury (Core Network) Core Network AS1 AS2 AS3 BGP v současnosti generický protokol Internetu routery WAN podporují BGP

46 Externí protokoly - BGP BGP protokol používá transportní protokol TCP (spolehlivý) dokáže šířit informace i mezi interními směrovači (uvnitř AS) kombinuje algoritmus DVA a LSA Funkce BGP navázáni a udržování komunikace se sousedními směrovači při první výměně informací vysílá celé směrovací mapy nevysílá periodicky, pouze aktualizuje směrovací informace Typy zpráv v BGP OPEN navázání spojení se sousedním směrovačem UPDATE předání informace o sítích, které jsou dosažitelné touto směrovací cestou a/nebo informace o změně směrovacích cest KEEPALIVE periodické ověření spojení se sousedním směrovačem NOTIFICATION chybová zpráva

47 Konec přednášky

48 Přístupové seznamy Směrovače pracují na 3. vrstvě díky své technologii však mohou nahlížet i do paketů mohou zjistit co, odkud a kam se přenáší vidí tedy i do 4. vrstvy Budeme konfigurovat na cvičení díky tomu je možné na většině směrovačů provádět i filtraci průchozích paketů pomocí přístupových seznamů Access List ACL přístupový seznam obsahuje soustavu na sebe navazujících pravidel podle kterých lze přesně stanovit, zda má rozhraní daný paket doručit či zahodit

49 Algoritmus ACL Pravidla pro nakládání s pakety mohou být: povolující (permit) omezující (deny) Příklady pravidel: hostu povol přístup k hostu pouze telnetem 5. permit tcp host host eq deny any hostům v podsíti /16 zablokuj přístup kamkoli webem 10. deny tcp any eq permit ip any any paket musí všemi těmito pravidly postupně projít, aby byl zdárně doručen!

50 Přístupové seznamy V konfiguraci směrovače lze definovat mnoho ACL ty mohou být podle potřeby přiřazovány jako vstupní či výstupní k jednotlivým síťovým rozhraním Ke každému rozhraní lze definovat jeden vstupní a jeden výstupní ACL vstupním se rozumí ten, který filtruje pakety přicházející do směrovače pokud k rozhraní není přiřazen žádný ACL rozhraní propouští všechny pakety!!! přístupové seznamy tak slouží jako základní ochrana vnitropodnikových sítí a to jak před vnějším tak i vnitřním nebezpečím se společným pravidlem: propouštět jen to nejnutnější