Tworzenie list ACL nie jest prostym zadaniem. Dla każdego interfejsu może być wymaganych wiele różnych zasad, które zezwolą na wejście lub wyjście z tego interfejsu określonego rodzaju ruchu sieciowego. Router przedstawiony na rysunku posiada dwa interfejsy skonfigurowane w protokołach IPv4 i IPv6. Jeśli potrzebowalibyśmy ACL dla obu tych protokołów, na obu interfejsach i w obu kierunkach byłoby potrzebnych 8 odrębnych list ACL. Każdy interfejs musiałby posiadać 4 listy ACL; dwie dla IPv4 i dwie dla IPv6. Z kolei dla każdego z tych protokołów potrzebna jest lista filtrująca ruch wejściowy i wyjściowy.
Uwaga: Listy ACL nie muszą być konfigurowane w obu kierunkach. Liczba list ACL i kierunek, w którym są podpięte do interfejsu, zależą od aktualnych wymagań sieci i polityki bezpieczeństwa.
Poniżej przedstawionych jest kilka wskazówek co do wykorzystania list ACL:
- Używamy list ACL na routerach pełniących funkcję zapory sieciowej, pomiędzy siecią wewnętrzną a zewnętrzną taką jak np. Internet.
- Używamy list ACL na routerach umieszczonych pomiędzy dwoma częściami własnej sieci, aby kontrolować ruch pomiędzy wybranymi segmentami sieci wewnętrznej.
- Listy ACL powinny być też konfigurowane na routerach brzegowych, czyli routerach znajdujących się na granicach twoich sieci. Pozwala to uzyskać podstawowy bufor od sieci zewnętrznej lub pomiędzy obszarami o mniejszym stopniu kontroli a obszarami bardziej newralgicznymi wewnątrz twojej sieci.
- Konfigurujemy listy ACL dla każdego protokołu sieciowego skonfigurowanego na interfejsach routera brzegowego.
Zasada trzy N
Aby zapamiętać ogólną regułę stosowania list ACL na routerze, należy zapamiętać zasadę trzy N. Można skonfigurować jedną listę ACL na protokół, na kierunek i na interfejs:
- Jedna ACL na protokół - aby kontrolować ruch na interfejsie, należy zdefiniować ACL dla każdego protokołu obsługiwanego na interfejsie.
- Jedna ACL na kierunek - każda ACL może kontrolować ruch na interfejsie w jednym kierunku jednocześnie. Aby kontrolować ruch przychodzący i wychodzący, należy utworzyć dwie oddzielne listy ACL.
- Jedna ACL na interfejs - listy ACL mogą kontrolować ruch na wybranym interfejsie, na przykład GigabitEthernet 0/0.