Правильное размещение ACL-списка может повысить эффективность сети. ACL-список можно разместить для минимизации избыточного трафика. Например, трафик, который будет отклонён удаленным местом назначения, не должен пересылаться с помощью сетевых ресурсов по маршруту к этому месту назначения.
Каждый ACL-список должен быть размещен там, где он может быть максимально полезен. Приведём список базовых правил размещения ACL-списков (см. рис.):
- Расширенные ACL-списки — расширенные ACL-списки следует размещать максимально близко к источнику фильтруемого трафика. Таким образом, нежелательный трафик отклоняется близко к сети-источнику, не пересекая инфраструктуру сети.
- Стандартные ACL-списки — поскольку стандартные списки контроля доступа не определяют адреса назначения, их размещают максимально близко к месту назначения. Размещение стандартного ACL-списка у источника трафика позволяет предотвратить достижение этим трафиком других сетей через интерфейс, на котором применён ACL-список.
Размещение ACL-списка и, как следствие, тип используемого ACL-списка может также зависеть от следующих параметров:
- Сфера контроля сетевого администратора — размещение ACL-списка может зависеть от того, управляет ли сетевой администратор и сетью-источником, и сетью назначения.
- Пропускная способность задействованных сетей — фильтрация нежелательного трафика у источника предотвращает передачу трафика до того, как он снижает пропускную способность сети на пути к пункту назначения. Это особенно важно в сетях с низкой пропускной способностью.
- Простота конфигурации — для запрета сетевым администратором трафика, поступающего от нескольких сетей, одним из способов может стать использование одного стандартного ACL-списка на ближайшем к месту назначения маршрутизаторе. Недостаток этого способа в том, что трафик из этих сетей будет использовать пропускную способность. Расширенный ACL-список можно применить на каждом маршрутизаторе, с которого идёт трафик. Это позволит сохранить пропускную способность при помощи фильтрации трафика на источнике, но для этого требуется создание расширенных ACL-списков на нескольких маршрутизаторах.
Примечание. Общее правило в рамках сертификации CCNA заключается в том, что расширенные ACL-списки размещаются как можно ближе к источнику, а стандартные ACL-списки — как можно ближе к месту назначения.