En Access Control List (ACL) är en uppsättning regler som styr och filtrerar nätverkstrafik. Den består av en sekventiell lista av permit– och deny-satser, kallade Access Control Entries (ACEs). ACL tillämpas på routrar och switchar för att bestämma vilken trafik som ska tillåtas eller nekas på ett interface. Varje ACE definierar kriterier baserade på paketinformation som IP-adresser, protokoll och portnummer. Genom att jämföra paket mot dessa regler kan ACL förbättra säkerheten, hantera bandbredd och implementera nätverkspolicyer.
Paketfiltrering
Routrar vidarebefordrar normalt trafik baserat på paketets header och routing-tabellen. När en ACL tillämpas på ett interface granskar routern även inkommande och utgående trafik för att avgöra om paketet ska tillåtas eller nekas. Denna process, kallad paketfiltrering, avgör om paketet får passera. Paketfiltrering kan ske på Lager 3 eller Lager 4, som visas i figuren.
ACL uppgifter
Routrar använder Access Control Lists (ACLs) för att identifiera och hantera nätverkstrafik. Nedan listas några vanliga användningsområden med exempel:
- Begränsning av nätverkstrafik
- ACL kan blockera trafik för att minska belastningen på nätverket.
- Exempel: Videotrafik förbjuds enligt företagets policy för att förbättra prestandan.
- Trafikflödeskontroll
- ACL kan begränsa routing-uppdateringar till specifika källor.
- Exempel: Endast kända nätverksenheter får skicka routinginformation.
- Grundläggande nätverkssäkerhet
- ACL kan begränsa åtkomst till specifika nätverksresurser.
- Exempel: Endast auktoriserade användare får tillgång till interna system.
- Filtrering av trafik baserat på typ
- ACL kan selektivt tillåta eller blockera specifika typer av trafik.
- Exempel: E-posttrafik tillåts, medan Telnet-åtkomst nekas.
- Åtkomstregler för nätverkstjänster
- ACL kan styra åtkomsten till tjänster baserat på användargrupper..
- Exempel: Endast vissa användare får använda FTP och HTTP.
- Prioritering av nätverkstrafik
- ACL i kombination med QoS kan säkerställa att viktig trafik hanteras först.
- Exempel: Rösttrafik prioriteras för att förhindra samtalsfördröjningar.
ACL funktioner
ACL definierar regler för att styra nätverkstrafik och kan tillämpas på:
- Inkommande trafik (Inbound ACL) – Filtrerar paket innan routern beslutar routing.
- Förhindrar onödig bearbetning genom att blockera trafik direkt vid ankomst.
- Effektivt när all filtrering kan ske vid det inkommande interfacet.
- Utgående trafik (Outbound ACL) – Filtrerar paket efter att router har beslutat routing.
- Används när samma filtrerings regler ska tillämpas på trafik från flera olika inkommande interfaces innan den skickas ut genom ett gemensamt utgående interface.
Obs: ACL påverkar endast transiterande trafik. Paket som genereras av routern själv filtreras inte.
ACL tillämpning
När en inkommande standard ACL är konfigurerad på ett interface, följer routern dessa steg:
- Extraherar avsändarens IPv4-adress från paketets header.
- Jämför adressen mot varje Access Control Entry (ACE) i ACL, uppifrån och ned.
- Vid matchning tillämpas regeln – paketet tillåts eller nekas. Inga fler regler testas.
- Om ingen matchning hittas, nekas paketet automatiskt av en implicit ”deny all”-regel.
Obs: Varje ACL har en implicit deny i slutet, även om den inte syns i konfigurationen.
Om en ACL saknar minst en permit-regel, blockeras all trafik.