По умолчанию маршрутизатор не фильтрует трафик. Трафик, поступающий на маршрутизатор, маршрутизируется исключительно на основе информации таблицы маршрутизации.
С помощью фильтрации пакетов осуществляется управление доступом к сети путём анализа входящих и исходящих пакетов и пропускания или отбрасывания пакетов на основе таких критериев, как IP-адрес источника, IP-адрес назначения и протокол внутри пакета. Маршрутизатор, фильтрующий пакеты, использует определённые правила пропуска или отклонения трафика. Маршрутизатор также может фильтровать пакеты на уровне 4 — транспортном уровне.
ACL-список является последовательным списком разрешающих или запрещающих условий. Последней записью ACL-списка всегда является косвенный отказ, блокирующий весь трафик. Для того чтобы отменить действие косвенного отказа, присутствующего в конце любого ACL-списка и запрещающего весь трафик, можно добавить разрешающую команду permit ip any any.
При прохождении сетевого трафика через интерфейс, настроенный с помощью ACL-списка, маршрутизатор по порядку сопоставляет информацию внутри пакета с каждой записью списка, пытаясь найти соответствие. Если совпадение найдено, пакет обрабатывается в соответствии с записями ACL-списка.
ACL-списки настраиваются для применения к входящему или исходящему трафику.
Стандартные ACL-списки можно использовать для разрешения или отклонения трафика только с IPv4-адресов источника. Назначение пакета и порты, участвующие в передаче данных, не оцениваются. Основным правилом размещения расширенного ACL-списка является его размещение максимально близко к пункту назначения.
Расширенные ACL-списки фильтруют пакеты на основе нескольких атрибутов: тип протокола, IPv4-адрес источника или назначения и порты источника или назначения. Основным правилом размещения расширенного ACL-списка является его размещение максимально близко к источнику.
Команда глобальной конфигурации access-list задаёт стандартный ACL-список с номером в диапазоне от 1 до 99 или расширенный ACL-список с номером в диапазоне от 100 до 199 и от 2000 до 2699. Как стандартным, так и расширенным ACL-спискам можно присваивать имена. Команда ip access-list standard name используется для создания стандартного именованного ACL-списка, в то время как команда ip access-list extended name применяется для создания расширенного списка доступа. ACL-списки IPv4 используют шаблонные маски.
После настройки ACL-списка он подключается к интерфейсу с помощью команды ip access-group в режиме настройки интерфейса. Не забывайте правило трёх «для» — лишь один ACL-список предусмотрен для каждого протокола, направления и интерфейса.
Для удаления всего ACL-списка из интерфейса сначала следует ввести команду no ip access-group на интерфейсе, а затем ввести глобальную команду no access-list.
Для проверки настройки ACL-списка используются команды show running-config и show access-lists. Команда show ip interface используется для проверки ACL-списка на интерфейсе и направления, к которому был привязан список.
Команда access-class, введённая в режиме конфигурации канала, ограничивает входящие и исходящие соединения между отдельным VTY и адресами в списке доступа.
Как и в случае с именованными ACL-списками для IPv4, имена списков для IPv6 состоят из буквенно-цифровых символов, они чувствительны к регистру и должны быть уникальными. В отличие от IPv4, стандартная или расширенная опция не требуются.
Для создания ACL-списка IPv6 выполните команду режима глобальной конфигурации ipv6 access-list name. В отличие от ACL-списков для IPv4, ACL-списки для IPv6 не используют шаблонные маски. В протоколе IPv6 для указания того, какая часть IPv6-адреса источника или назначения должна совпадать, используется длина префикса.
После настройки ACL-списка IPv6, он подключается к интерфейсу с помощью команды ipv6 traffic-filter.