Az ACL-ek megszerkesztése nem mindig egyszerű feladat. Minden interfészre nézve különféle szabályok lehetnek, amelyeknek szabályoznia kell az interfészre bejövő vagy azon távozó forgalmat. Az ábrán lévő forgalomirányító mindkét interfésze rendelkezik IPv4- és IPv6-konfigurációval is. Ha mindkét protokoll igényel ACL-eket, mindkét interfészen és mindkét irányban, akkor összesen nyolc ACL-re lesz szükség. Ez interfészenként négy ACL-t jelent, kettőt-kettőt az IPv4 és az IPv6 számára, protokollonként egyet kimenő, egyet pedig bejövő irányban.
MEGJEGYZÉS: Az ACL-eket nem kötelező mindkét irányban konfigurálni. Az interfészen alkalmazott ACL-ek száma és iránya a megvalósításra kerülő igényektől függ.
Néhány irányelv az ACL-ek használatához:
- Használjunk ACL-eket a belső és a külső hálózat (pl.: internet) között elhelyezett forgalomirányítókon.
- Használjunk ACL-eket saját hálózatunk két része között lévő forgalomirányítón a beérkező és távozó forgalom szabályozására.
- Konfiguráljunk ACL-t a határ forgalomirányítókon, tehát azokon, amelyek saját hálózatunk peremén helyezkednek el. Ez alapvető ütközőként szolgál a külső hálózat felől, vagy saját hálózatunk kevésbé felügyelt és érzékenyebb területe között.
- Konfiguráljunk ACL-t minden protokollhoz a határ forgalomirányító interfészein.
A három P
A forgalomirányítón alkalmazott ACL alapvető szabályát a könnyebb megjegyezhetőség miatt "három P"-nek is nevezik. Azaz, egy darab ACL-t konfigurálhatunk per protokoll, per irány és per interfész alapon.
- Egy ACL protokollonként - Ha szabályozni szeretnénk egy adott interfész forgalmát, akkor a rajta engedélyezett protokollok mindegyikéhez külön ACL-t kell készíteni.
- Egy ACL irányonként - Az ACL egy interfészen egyszerre csak egy irány forgalmát szabályozza. Két különböző ACL-t kell konfigurálni a bejövő és a kimenő forgalom szabályozásához.
- Egy ACL interfészenként - Az ACL egy adott interfészen szabályozza a forgalmat, például a GigabitEthernet 0/0-n.