În mod implicit un router nu filtrează trafic. Traficul care trece prin router este direcționat exclusiv pe baza informațiilor din tabela de rutare.
Filtrarea pachetelorcontrolează accesul la o rețea prin analizarea pachetelor în curs de primire sau plecare și pasează sau le lasă în funcție de criteriile date , cum ar fi adresa IP a sursei , destinația adreselor IP și protocolul transportat din pachet. Un ruter de filtrare de pachete foloseste reguli pentru a determina dacă să permită sau nu traficul. Un router poate efectua filtrare de pachete la Layer-ul 4 , Layer-ul Transport.
Un ACL este o listă secvențială de declarații de permisiune sau respingere. Ultima declarație a unui ACL este mereu o respingere implicită care blochează tot traficul. Pentru a preveni declarația implicită deny any de la sfârșitul unui ACL de a bloca traficul, declarația permit ip any any poate fi adăugată.
Când traficul de rețea trece printr-o interfață configurată cu un ACL ,router-ul compară informațiile din pachet pentru fiecare intrare , în ordine secvențială , pentru a determina dacă pachetul se potrivește cu una din declarații. Dacă se potrivește perfect , pachetul este procesat în consecință.
ACL-urile sunt configurate să fie aplicate traficului de intrare sau de ieșire.
ACL-urile standard se pot folosi pentru a permite sau a restricționa traficul doar de la sursa de adrese IPv4. Destinațiile pachetelor și porturilor implicate nu se evaluează. Regula de bază pentru plasamentul ACL-ului standard este de a îl plasa cat mai aproape de rețeaua de destinație.
ACL-urile extinse filtrează pachete IPv4 pe baza mai multor caracteristici: Regula de baza pentru plasarea unui ACL extins este de a se pune cât mai aproape de sursă posibil.
Comanda access-list în modul de configurare global definește un ACL standard cu un număr din intervalul 1-99 sau un ACL extended cu un număr din intervalele 100-199 și 2000-2699. Atât ACL-urile standard cât și cele extended pot fi și denumite. Comanda ip access-list standard name este utilizată pentru a crea un ACL standard numit , pe când comanda ip access-list extended name este pentru o listă de acces extinsă. ACE-urile IPv4 includ folosirea măștilor wildcard.
După ce un ACL este configurat, el este legat de o interfață folosind comanda ip access-group în modul de configurare al interfeței. Amintiți-vă de cele trei P-uri, un ACL per protocol, per direcție, per interfață.
Pentru a scoate un ACL de la o interfață , mai întâi introduceți comanda no ip access-group pe interfață , apoi introduceți comanda globală no access-list pentru a elimina în întregime ACL-ul.
Comenzile show running-config și show access-lists sunt folosite pentru a verifica configurația ACL. Comanda show ip interface este folosită pentru a verifica ACL-ul de pe interfață și direcția în care a fost aplicat.
Comanda access-class configurată în modul de configurare al liniei, restricționează conexiunile de intrare și ieșire dintre un VTY particular și adresele dintr-o listă de acces.
Ca și ACL-urile IPv4 denumite, numele IPv6 sunt alfanumerice, case sensitive și trebuie să fie unice. Spre deosebire de IPv4, nu este nevoie de o opțiune standard sau extinsă.
Din modul de configurare globală, folosiți comanda ipv6 access-list name pentru a crea un ACL IPv6. Spre deosebire de ACL-urile IPv6 , ACL-urile IPv6 nu utilizează măști wildcard. În scnimb, lungimea prefixului este folosită pentru a indica cât de mult dintr-o adresă IPv6 sursă sau destinație ar trebuie să se potrivească.
După ce un ACL IPv6 este configurat, el este legat de o interfață folosind comanda ipv6 traffic-filter .