В предыдущем примере сетевой администратор настроил ACL-список, чтобы разрешить пользователям из сети 192.168.10.0/24 просматривать как защищённые, так и ненадёжные веб-сайты. Даже настроенный ACL не будет фильтровать трафик до того, как будет применён на интерфейсе. Перед применением ACL на интерфейсе необходимо определить, какой вид трафика будет фильтроваться: входящий или исходящий. Когда пользователь внутренней LAN получает доступ к веб-сайту в Интернете, трафик идёт в Интернет. Когда внутренний пользователь получает электронную почту из Интернета, трафик идёт на локальный маршрутизатор. Однако в случае с применением списка контроля доступа на интерфейсе, «из» и «в» приобретают другие значения. С точки зрения ACL-списка, «из» и «в» являются ссылками на интерфейс маршрутизатора.
В топологии, изображённой на рисунке, маршрутизатор R1 обладает тремя интерфейсами. Это последовательный интерфейс S0/0/0 и два интерфейса Gigabit Ethernet: G0/0 и G0/1. Помните, что расширенный список контроля доступа обычно должен быть применён как можно ближе к источнику. В этой топологии ближайший к источнику целевого трафика интерфейс — это интерфейс G0/0.
Трафик веб-запросов от пользователей LAN 192.168.10.0/24 — входящий трафик на интерфейс G0/0. Обратный трафик от установленных соединений к пользователям локальной сети считается исходящим с интерфейса G0/0. Пример применения ACL-списка на интерфейсе G0/0 в обоих направлениях. Входящий ACL 103 проверяет тип трафика. Исходящий ACL 104 проверяет трафик, возвращающийся от установленных соединений. Это ограничивает доступ в Интернет для сети 192.168.10.0, чтобы разрешить только просмотр веб-страниц.
Примечание. Список доступа можно применить на интерфейсе S0/0/0, но в этом случае при обработке списка контроля доступа маршрутизатор будет просматривать все пакеты, приходящие на него, а не только трафик в сеть 192.168.11.0 и из неё. Это может стать причиной излишней нагрузки на маршрутизатор.