Scrierea ACL-urilor poate fi o sarcină dificilă. Pentru fiecare interfaţă pot exista mai multe politici necesare pentru a gestiona tipul de trafic permis de a intra sau de a ieşi din această interfaţă. Routerul din figură are două interfeţe configurate pentru IPv4 şi IPv6. Dacă am avea nevoie de ACL-uri pentru ambele protocoale , pe ambele interfeţe şi în ambele direcţii , acest lucru ar necesita opt ACL-uri separate. Fiecare interfaţa ar avea patru ACL-uri;două pentru IPv4 şi două pentru IPv6. Pentru fiecare protocol , un ACL este pentru traficul de intrare şi unul pentru traficul extern.
Notă:ACL-urile nu trebuie configurate în ambele direcţii. Numărul de ACL-uri şi direcţia aplicată interfeţei va depinde de cerinţele puse în aplicare.
Aici sunt câteva indicaţii pentru folosirea ACL-urilor:
- Utilizaţi ACL-uri în routere firewall poziţionate între reţeaua internă şi cea externă , cum ar fi Internetul.
- Utilizaţi ACL-uri pe un router poziţionat între două părti de reţea pentru a controla traficul care intră sau iese într-o parte specifica a reţelei interne.
- Configuraţi ACL-urile pe routere de frontieră , care sunt , routere situate la marginile reţelei. Acest lucru oferă un buffer de bază din afara reţelei , sau între o zonă mai puţin controlată din reţeaua proprie şi o zonă mai sensibilă a reţelei.
- Configuraţi ACL-urile pentru fiecare protocol configurat pe interfeţele routerului de frontieră.
Cele trei PS-uri
O regulă generală pentru aplicarea ACL-urilor pe router poate fi amintită prin cele trei PS-uri. Puteţi configura un singur ACL per protocol , per direcţie , per interfaţă:
- Un ACL per protocol - Pentru a controla fluxul de trafic pe o interfaţă , un ACL trebuie definit pentru fiecare protocol activat pe interfaţă.
- Un ACL per direcţie - ACL-urile controlează traficul într-o singură direcţie pe rând pe o interfaţă. Două ACL-uri separate trebuie create pentru a controla traficul de intrare şi de ieşire.
- Un ACL per interfaţă -ACL-urile controlează traficul pentru o interfaţă , de exemplu , GigabitEthernet 0/0.