Стандартный ACL-список может фильтровать трафик только по адресу источника. Основное правило размещения стандартного ACL-списка заключается в размещении списка как можно ближе к сети назначения. Это позволяет трафику достичь всех остальных сетей, кроме сети с фильтрацией пакетов.
На рисунке администратор желает запретить трафику из сети 192.168.10.0/24 попадать в сеть 192.168.30.0/24.
Если стандартный ACL-список размещён на исходящем интерфейсе R1, то трафик из сети 192.168.10.0/24 не сможет достичь любой сети, доступной через интерфейс Serial 0/0/0 маршрутизатора R1.
На рисунке показаны два интерфейса маршрутизатора R3, на которых можно настроить использование стандартного ACL-списка, согласно основным рекомендациям по размещению стандартного ACL-списка как можно ближе к месту назначения:
- Интерфейс S0/0/1 маршрутизатора R3 — использование стандартного ACL-списка для предотвращения трафика из сети 192.168.10.0/24 в интерфейс S0/0/1 также не допустит этот трафик в сеть 192.168.30.0/24 и в другие сети, к которым имеет доступ маршрутизатор R3, включая сеть 192.168.31.0/24. Поскольку целью ACL-списка является фильтрация трафика, предназначенного только для 192.168.30.0/24, стандартный ACL-список не должен применяться на этом интерфейсе.
- Интерфейс G0/0 R3 — применение стандартного списка контроля доступа к трафику выходного интерфейса G0/0 приведёт к фильтрации пакетов из сетей в диапазоне от 192.168.10.0/24 до 192.168.30.0/24. Применение данного списка не повлияет на другие сети, досягаемые R3. Пакеты из сети 192.16810.0/24 по-прежнему смогут достигнуть сеть 192.168.31.0/24.