Как и стандартный ACL-список, расширенный список контроля доступа может фильтровать трафик на основе адреса источника. Однако, помимо этого, расширенный ACL-список может фильтровать трафик на основе адреса назначения, протокола и номера порта. Эти дополнительные возможности дают сетевым администраторам больше гибкости при выборе типа трафика, который можно отфильтровать, и места размещения ACL-списка. Основным правилом размещения расширенного ACL-списка является его размещение максимально близко к источнику. Соблюдение данного правила позволяет предотвратить отправку нежелательного трафика на первоначальном этапе, а не после прохождения нескольких сетей.
Сетевые администраторы могут размещать ACL-списки только на тех устройствах, которые они способны контролировать. Поэтому место размещения определяется, исходя из пределов сферы контроля сетевого администратора. На рисунке администратор компании A, которая включает сети 192.168.10.0/24 и 192.168.11.0/24 (упомянутые как .10 и .11 в рассматриваемом примере), желает управлять трафиком, передаваемым в сети компании B. В частности, администратор хочет запретить трафик протоколов Telnet и FTP из сети .11 в сеть компании В 192.168.30.0/24 (в данном примере — .30). В то же время на весь остальной трафик, исходящий из сети .11, не должно накладываться каких-либо ограничений.
Существует несколько способов достижения этих целей. Расширенный ACL-список на маршрутизаторе R3, блокирующий протоколы Telnet и FTP из сети .11, мог бы выполнить эту задачу, однако администратор не контролирует R3. Кроме того, при таком решении нежелательный трафик сможет проходить через всю сеть только для того, чтобы оказаться заблокированным по достижении места назначения. Это оказывает влияние на общую эффективность сети.
Оптимальным решением в данной ситуации является размещение расширенного ACL-списка на маршрутизаторе R1, который определяет как адреса источника, так и адреса назначения (сеть .11 и сеть .30, соответственно), и обеспечивает соблюдение правила: «Трафику Telnet и FTP-из сети .11 сетей запрещено идти в сеть .30». Рисунок демонстрирует два интерфейса на маршрутизаторе R1, на которых возможно применение расширенного ACL-списка:
- Интерфейс S0/0/0 R1 (исходящий) — одно из возможных решений заключается в применении расширенного исходящего ACL-списка на интерфейсе S0/0/0. Поскольку расширенный ACL-список может просмотреть и адрес источника, и адрес назначения, запрещены будут только пакеты FTP и Telnet, исходящие из сети 192.168.11.0/24. Остальной трафик из 192.168.11.0/24 и других сетей будет перенаправляться на R1. Недостаток размещения расширенного ACL-списка на данном интерфейсе заключается в том, что весь трафик, выходя из S0/0/0, должен быть обработан ACL-списком, включая пакеты из 192.168.10.0/24.
- Интерфейс G0/1 R1 (входящий) — вторым возможным решением является применение расширенного ACL-списка к трафику, входящему через интерфейс G0/1, что означает, что только пакеты из сети 192.168.11.0/24 являются объектом для ACL-списка, действующего на R1. Поскольку фильтр ограничивается только пакетами, покидающими сеть 192.168.11.0/24, применение расширенного списка контроля доступа на G0/1 — оптимальное решение.