Logique des listes de contrôle d'accès entrantes
La Figure 1 illustre la logique des listes de contrôle d'accès entrantes. En cas de concordance entre les informations d'un en-tête de paquet et d'une instruction de la liste de contrôle d'accès, les autres instructions de la liste sont ignorées et le paquet est autorisé ou refusé, comme le définit l'instruction correspondante. En cas de non-concordance entre un en-tête de paquet et une instruction de la liste de contrôle d'accès, le paquet est validé par rapport à l'instruction suivante de la liste. Ce processus de correspondance se poursuit jusqu'à la fin de la liste.
À la fin de chaque liste, il existe une instruction de refus global implicite. Cette instruction n'apparaît pas dans le résultat. Cette instruction implicite finale s'applique à tous les paquets qui n'ont pas répondu aux conditions. Elle correspond à tous les autres paquets et se solde par une action de refus. Au lieu de les faire entrer ou sortir d'une interface, le routeur abandonne tous les paquets restants. Cette instruction finale est souvent appelée instruction implicite « deny any » ou « deny all traffic ». Cette instruction implique qu'une liste de contrôle d'entrée doit comporter au moins une instruction permit, afin de ne pas bloquer tout le trafic.
Logique des listes de contrôle d'accès sortantes
La Figure 2 illustre la logique des listes de contrôle d'accès sortantes. Avant l'acheminement d'un paquet vers une interface de sortie, le routeur vérifie la table de routage pour voir si le paquet est routable. Si le paquet ne peut être acheminé, il est abandonné et n'est pas examiné en fonction des ACE. Le routeur vérifie ensuite si l'interface de sortie est associée à une liste de contrôle d'accès. Si l'interface de sortie n'est pas associée à une liste de contrôle d'accès sortante, le paquet peut être envoyé à la mémoire tampon de sortie. Voici des exemples de listes de contrôle d'accès sortantes :
- Aucune liste de contrôle d'accès appliquée à l'interface : si l'interface de sortie n'est associée à aucune liste de contrôle d'accès sortante, le paquet est envoyé directement à l'interface de sortie.
- Liste de contrôle d'accès appliquée à l'interface : si l'interface de sortie est associée à une liste de contrôle d'accès sortante, le paquet n'est pas envoyé à l'interface de sortie tant qu'il n'a pas été vérifié par les listes de contrôle d'accès appliquées à cette interface. En fonction des vérifications de la liste de contrôle d'accès, le paquet est autorisé ou refusé.
Pour les listes sortantes, « autoriser » signifie envoyer le paquet à la mémoire tampon de sortie et « refuser » revient à rejeter le paquet.