Списки контроля доступа определяют набор правил, обеспечивающих дополнительный контроль над пакетами, которые принимаются интерфейсами, транзитными пакетами, которые передаются через маршрутизатор, а также пакетами, которые отправляются из интерфейсов маршрутизатора. Списки контроля доступа не применяются к пакетам, созданным маршрутизатором.
ACL-списки сконфигурированы для применения к входящему или исходящему трафику, как показано на рисунке.
- Входящие ACL-списки — входящие пакеты обрабатываются перед отправкой на исходящий интерфейс. Входящий ACL-список эффективен, поскольку он сохраняет ресурсы на поиск маршрута, если пакет сбрасывается. Если пакет успешно проходит проверку, он передается на обработку для дальнейшей маршрутизации. Входящие ACL-списки являются оптимальным решением для фильтрации пакетов, когда сеть, подключенная к входящему интерфейсу, является единственным источником пакетов, требующих анализа.
- Исходящие ACL-списки — входящие пакеты маршрутизируются на исходящий интерфейс, а затем обрабатываются исходящим списком контроля доступа. Исходящие ACL-списки лучше всего использовать, когда одинаковые фильтры применяются к пакетам, поступающим с множества входящих интерфейсов, перед выходом на тот же исходящий интерфейс.
Последняя запись любого ACL-списка — это всегда "косвенный отказ" (эта строчка не видна). Это правило автоматически вставляется в конец каждого ACL-списка, хотя и не присутствует в нём физически. Косвенный отказ блокирует весь трафик. По причине этого неявного запрета ACL-список, не содержащий хотя бы одного разрешающего правила, блокирует весь трафик.