…належать одному списку доступу. Маска адреси, що складається з 32 біт, вказаних в десятковому вигляді, служить як спеціальний оператор, що ідентифікує конкретну IP-адресу або групу адрес. На відміну від маски підмережі значення бітів маски адреси трактуються протилежним чином. Тобто біти, що мають значення 0, повинні співпадати з бітами, що знаходяться на цих же позиціях в адресі, що перевіряється, а біти, що мають значення 1, можуть не співпадати.

Приклад використання стандартних списків доступу. Припустимо, що мережа  організації підключена до Інтернету в двох географічно віддалених пунктах (тобто мережа організації складається з двох віддалених мереж А і Б). Якщо мережа А має адресу 205.131.195.0, то, для того, щоб мережа Б могла отримувати пакети тільки з мережі А, на її маршрутизаторі повинен бути наступний список доступу:  access- list I permit 205.131.195.0  0.0.0.255.

У цьому операторові маска адреси виглядає так: 0.0.0.255. Як вже згадувалося вище, значення 0 указують, що біти адреси відповідних позицій повинні співпадати, а значенням 1 можуть відповідати як одиниці, так і нулі. Отже, оскільки в масці адреси перші 24 біта мають значення 0, маршрутизатор пропустить в мережу Б тільки ті пакети, адреса мережі яких в точності співпадатиме з IP-адресою, вказаною в списку доступу (205.131.195.0), тобто тільки пакети мережі А. Останній байт маски має в десятковому вигляді значення 255, що відповідає запису 11111111 в бітовому виді.  Себто, маршрутизатор пропустить в мережу Б пакети, відправлені будь-яким комп'ютером мережі А.

Слід зазначити одну важливу деталь, що відноситься до цього прикладу, – оператор дозволяє прийняти пакети, що поступають з мережі 205.131.195.0, проте тут немає жодного оператора, який би забороняв маршрутизатору пропускати певні пакети. Більшість маршрутизаторів, у тому числі і Cisco, конфігуровані так, що в їх списках доступу забороняється пропускати всі пакети, окрім тих, які явно визначені в операторах з ключовим словом permit. Тобто можна вважати, що в списках доступу після операторів permit слідує нескінченна послідовність «прихованих» операторів deny.

Розглянемо ще приклад. Припустимо, що потрібно пропускати в мережу тільки пакети, що відправляються хостом, IP-адреса якого 205.131.195.12. Для цього указують в списку доступу наступного оператора: access-list I permit 205.131.195.12 0.0.0.0. Замість цієї послідовності нулів і крапок можна скористатися ключовим словом host. Іншими словами, попередній оператор може бути записаний так: access-list I permit host 205.131.195.12.

Розширені списки доступу надають додаткові можливості при фільтрації пакетів. Вони забезпечують фільтрацію на основі як IP-адреси відправника, так і IP-адреси одержувача, фільтрацію на основі номера порту протоколу (IP, ICMP, TCP, UDP) тощо. Загальний формат розширених списків Cisco виглядає так: access-list номер__списка {permit/deny} (протокол) адреса відправника маска_адреси [порт відправника] адреса_отримувача маска_адреси [порт отримувача] [додаткові^параметри].

Номер розширеного списку доступу може бути представлений значенням з діапазону від 100 до 199. Як і в стандартному списку доступу, номер розширеного списку ідентифікує тип списку, а також оператори, з яких він складається. У будь-який момент часу для перевірки пакетів, що поступають на один порт маршрутизатора, може використовуватися тільки один список доступу, проте можна створити декілька списків доступу і застосовувати їх в міру необхідності. Крім того, для потоків пакетів, що входять і виходять через один інтерфейс, можна застосовувати різні списки доступу.

Приклад використання розширеного списку IP-доступу. Припустимо, що мережа організації має IP-адресу 205.121.175.0; в мережі розташовані web-сервер з IP-адресою 205.121.175.10 і telnet-сервер з IP-адресою 205.121.175.14. Адміністратор прагне дозволити всім користувачам мережі з IP-адресами 205.131.195.0 звертатися до web-серверу, а доступ до telnet-серверу треба надати тільки адміністраторові, комп'ютер якого має IP-адресу 205.131.195.007. Для виконання такого непростого сценарію необхідно створити наступний  розширений список доступу:

-         access-list 101 permit 205.131.195.0 0.0.0.255 host 205.121.175.10

-         access-list 101 permit host 205.131.195.7 host 205.121.175.14

Перший оператор списку доступу дозволяє будь-якому хосту мережі 205.131.195.0 звертатися до хосту (web-серверу)  мережі, IP-адреса якого – 205.121.175.10. Згідно другому операторові, для того, щоб пакет був пропущений в мережу, IP-адреса його джерела повинна бути рівною 205.131.195.7, а IP-адреса пункту призначення – 204.121.175.14. Пакети з будь-якими іншими адресами джерел і пунктів призначення будуть відкинуті.

Методика обробки операторів списку доступу. При перевірці пакету оператори списку доступу обробляються послідовно зверху вниз до першої відповідності вмісту заголовка пакету параметрам оператора списку доступу. Після виявлення збігу пакет або пропускається в мережу, або відкидається. Тому дуже важливо при створенні списку доступу враховувати не тільки зміст операторів, але і порядок їх перерахування

Списки доступу на маршрутизаторах, на жаль,  не завжди  ефективні. Існує можливість імітувати з'єднання і тим самим подолати бар'єр, встановлений за допомогою списку доступу. З таким методом злому можна боротися, заборонивши, наприклад, пропуск всіх пакетів, але це рівносильне відключенню від Інтернету. Крім того, при фільтрації пакетів за допомогою списків доступу не перевіряється їх вміст. Це означає, що хто-небудь може спробувати проникнути в закриту призначену для користувача групу на сервері шляхом послідовного перебору різних паролів. Дана технологія злому називається атакою із словником. Для подолання подібних проблем були розроблені пристрої мережного захисту ще одного типу – брандмауери (підрозділ 13.4).

Однією з функцій брандмауера, є вибіркове шифрування, що дозволяє шифрувати тільки ті дані, які на шляху до пункту призначення проходять через певні мережі, залишаючи інші дані незашифрованими. Використовуючи вибіркове шифрування і автентифікацію, можна створити логічний тунель, що з'єднує віддалені мережі організації через Інтернет. Створювані таким чином VPN стали альтернативою дорогим виділеним лініям. Детальніше  технологію VPN розглянемо у наступному розділі.