Составление ACL-списков может быть сложной задачей. Для каждого интерфейса может существовать несколько правил, необходимых для управления типами трафика, которым разрешено входить или выходить через этот интерфейс. Маршрутизатор на рисунке имеет два интерфейса, сконфигурированных для IPv4 и IPv6. Если для обоих протоколов необходимы ACL-списки на обоих интерфейсах и в обоих направлениях, то потребуется создать 8 отдельных ACL-списков. Каждый интерфейс будет иметь четыре ACL-списка: два списка для протокола IPv4 и два — для протокола IPv6. Для каждого протокола нужен один ACL-список для входящего трафика и один — для исходящего трафика.
Примечание. Списки контроля доступа не требуется конфигурировать на оба направления. Номера ACL-списков и их направления, применяемые на интерфейсе, зависят от заявленных требований.
Приведём несколько рекомендаций по использованию ACL-списков.
- Используйте ACL-списки в межсетевых экранах маршрутизаторов, размещённых между внутренней сетью и внешней сетью, например Интернетом.
- Для управления входящим или исходящим трафиком в определённой части внутренней сети используйте ACL-списки на маршрутизаторе, расположенном между двумя частями сети.
- Сконфигурируйте ACL-списки на пограничных маршрутизаторах, то есть маршрутизаторах, расположенных на границах сетей. Это обеспечит базовый буфер от внешней сети или между менее контролируемой и более чувствительной областями сети.
- Сконфигурируйте ACL-списки для каждого протокола сети, настроенного на интерфейсе пограничного маршрутизатора.
Три «для»
Запомните три «для», составляющие основные правила применения ACL-списков на маршрутизаторе. Можно сконфигурировать один список контроля доступа для протокола, направления, интерфейса:
- Один ACL-список для одного протокола — для управления потоком трафика на интерфейсе ACL-список должен быть определён для каждого протокола, действующего на интерфейсе.
- Один ACL-список для одного направления — ACL-списки одновременно контролируют трафик на одном направлении одного интерфейса. Для управления исходящим и входящим трафиком должны быть созданы два отдельных ACL-списка.
- Один ACL-список для одного интерфейса — ACL-списки управляют трафиком на одном интерфейсе, например, GigabitEthernet 0/0.