Las sentencias de la lista de acceso operan en orden secuencial lógico. Evalúan paquetes de "arriba hacia abajo". Si el encabezado de paquete y la sentencia de la lista de acceso coinciden, el paquete omite el resto de las sentencias. Si una coincidencia de condición resulta ser verdadera, el paquete se permite o deniega. Sólo puede haber una lista de acceso por protocolo, por interfaz o por dirección. En la figura, por ejemplo, cuando hay coincidencia en la primera prueba, al paquete se le niega el acceso a las interfaces destino. Se descarta en la papelera de bits. El paquete no se expone a ninguna de las pruebas de lista de acceso siguientes.
Sólo si el paquete no cumple con las condiciones de la primera prueba podrá continuar a la siguiente sentencia de lista de acceso. Supongamos que los parámetros de otro paquete coinciden con la prueba siguiente, una sentencia de permiso: entonces el paquete permitido procede a la interfaz destino. Si otro paquete no coincide con las condiciones de la primera o la segunda prueba, pero coincide con las condiciones de la siguiente sentencia de la lista de acceso, se produce un permiso.
NOTA: Para que sea lógicamente completa, una lista de acceso debe tener condiciones que resulten verdaderas para todos los paquetes que usan la lista de acceso. Una sentencia implícita final cubre todos los paquetes para los cuales las condiciones no resultan verdaderas. Esta condición de prueba final coincide para todos los demás paquetes. Tiene como resultado un rechazo. En lugar de proceder hacia afuera o hacia adentro de una interfaz, todos los paquetes restantes se descartan.
|