ACL-список — это ряд команд IOS, определяющих, пересылает ли маршрутизатор пакеты или сбрасывает их, исходя из информации в заголовке пакета. ACL-списки являются одной из наиболее используемых функций операционной системы Cisco IOS.
В зависимости от конфигурации ACL-списки выполняют следующие задачи:
- Ограничение сетевого трафика для повышения производительности сети. Например, если корпоративная политика запрещает видеотрафик в сети, необходимо настроить и применить ACL-списки, блокирующие данный тип трафика. Подобные меры значительно снижают нагрузку на сеть и повышают её производительность.
- Вторая задача ACL-списков — управление потоком трафика. ACL-списки могут ограничивать доставку обновлений маршрутизации. Настройка сети, устраняющая необходимость в обновлениях маршрутизации, позволяет избежать лишнего использования полосы пропускания.
- Списки контроля доступа обеспечивают базовый уровень безопасности в отношении доступа к сети. ACL-списки могут открыть доступ к части сети одному узлу и закрыть его для других узлов. Например, доступ к сети отдела кадров может быть ограничен и разрешён только авторизованным пользователям.
- ACL-списки осуществляют фильтрацию трафика на основе типа трафика. Например, ACL-список может разрешать трафик электронной почты, но при этом блокировать весь трафик протокола Telnet.
- Списки контроля доступа осуществляют сотировку узлов в целях разрешения или запрета доступа к сетевым службам. С помощью ACL-списков можно разрешать или запрещать доступ к определённым типам файлов, например FTP или HTTP.
По умолчанию ACL-списки не сконфигурированы на маршрутизаторе, поэтому маршрутизатор не фильтрует трафик. Трафик, поступающий на маршрутизатор, маршрутизируется исключительно на основе информации таблицы маршрутизации. Однако если ACL-список используется на интерфейсе, маршрутизатор выполняет дополнительную задачу, оценивая все сетевые пакеты, проходящие через интерфейс, с целью определения разрешения пересылки пакета.
Помимо разрешения или запрета трафика, ACL-списки можно использовать для анализа, пересылки или обработки отдельных видов трафика. Например, при помощи ACL-списков можно классифицировать трафик для включения обработки данных в соответствии с приоритетом. Данная возможность ACL-списков аналогична наличию VIP-пропуска на концерт или спортивное мероприятие. VIP-пропуск даёт избранным гостям привилегии, недоступные обладателям обычных билетов, такие как приоритет входа или доступ в закрытую зону.
На рисунке приводится пример топологии с используемыми ACL-списками.