Det finns en begränsning på antalet ACL:er som kan tillämpas på ett router-interface. Till exempel kan ett dual-stack (dvs. både IPv4 och IPv6) router-interface ha upp till fyra ACL:er applicerade, som visas i figuren.
Specifikt kan ett router-interface ha:
- en utgående IPv4 ACL och en inkommande IPv4 ACL
- en inkommande IPv6 ACL och en utgående IPv6 ACL
Anta att R1 har två dual-stack interface som kräver inkommande och utgående IPv4- och IPv6-ACL:er applicerade. Som visas i figuren, kunde R1 ha upp till 8 ACL:er konfigurerade och applicerade på interfacen. Varje interface skulle ha fyra ACL:er; två ACL:er för IPv4 och två ACL:er för IPv6. För varje protokoll finns en ACL för inkommande trafik och en för utgående trafik.
Notera: ACL:er behöver inte konfigureras i båda riktningarna. Antalet ACL:er och deras riktning som appliceras på interfacet kommer att bero på organisationens säkerhetspolicy.
Rekommenderade ACL konfigurationer
Användning av ACL:er kräver uppmärksamhet på detaljer och stor försiktighet. Misstag kan bli kostsamma i form av driftstopp, felsökningsinsatser och dålig nätverksservice. Grundläggande planering krävs innan man konfigurerar en ACL.
Tabellen presenterar riktlinjer som utgör grunden för en bästa praxislista för ACL:er.
| Rekommendationer | Fördelar |
|---|---|
| ACL baseras på organisations säkerhetspolicyer. | Detta säkerställer att du implementerar organisationens säkerhetsriktlinjer. |
| Skriv ned vad du vill att ACL ska göra. | Detta hjälper dig att undvika oönskade resultat att oavsiktligt skapa potentiella åtkomstproblem. |
| Använd en textredigerare för att skapa, redigera och spara alla dina ACL | Detta hjälper dig att skapa ett bibliotek med återanvändbara ACL. |
| Dokumentera dina ACL med hjälp av remark kommandot. | Detta hjälper dig (och andra) att förstå syftet med en ACE. |
| Testa dina ACL på ett utvecklingsnätverk innan du implementerar dem på ett produktionsnätverk. | Detta hjälper dig att undvika kostsamma fel. |