L'écriture des listes de contrôle d'accès peut être une tâche complexe. Pour chaque interface, plusieurs stratégies peuvent être nécessaires pour gérer le type de trafic autorisé à entrer dans cette interface ou en sortir. Le routeur représenté sur la figure dispose de deux interfaces configurées pour IPv4 et IPv6. Si nous avions besoin de listes de contrôle d'accès pour les deux protocoles, sur les deux interfaces et dans les deux directions, nous aurions besoin de huit listes de contrôle d'accès distinctes. Chaque interface possèderait quatre listes de contrôle d'accès : deux pour IPv4 et deux pour IPv6. Pour chaque protocole, une liste de contrôle d'accès sert au trafic entrant et une autre au trafic sortant.
Remarque : il n'est pas nécessaire de configurer les listes de contrôle d'accès dans les deux directions. Le nombre de listes de contrôle d'accès et leur direction appliquée à l'interface dépendront des exigences.
Vous trouverez ci-dessous quelques instructions pour utiliser les listes de contrôle d'accès :
- Utilisez des listes de contrôle d'accès sur les routeurs pare-feu entre votre réseau interne et un réseau externe, par exemple Internet.
- Utilisez des listes de contrôle d'accès sur un routeur situé entre deux sections de votre réseau pour contrôler le trafic entrant ou sortant sur une partie donnée du réseau interne.
- Configurez des listes de contrôle d'accès sur les routeurs périphériques situés à la périphérie de vos réseaux. Cela permet de fournir une protection de base contre le réseau externe ou entre une zone plus sensible et une zone moins contrôlée de votre réseau.
- Configurez des listes de contrôle d'accès pour tout protocole réseau configuré sur les interfaces de routeur périphérique.
Règle des trois P
Pour retenir la règle générale d'application des listes de contrôle d'accès, il suffit de se souvenir des trois P. Vous pouvez configurer une liste de contrôle d'accès par protocole, par direction et par interface :
- Une liste de contrôle d'accès par protocole : pour contrôler le flux du trafic sur une interface, définissez une liste de contrôle d'accès pour chaque protocole activé sur l'interface.
- Une liste de contrôle d'accès par direction : les listes de contrôle d'accès contrôlent le trafic dans une seule direction à la fois sur une interface. Vous devez créer deux listes de contrôle d'accès ; la première pour contrôler le trafic entrant et la seconde pour contrôler le trafic sortant.
- Une liste de contrôle d'accès par interface : les listes de contrôle d'accès contrôlent le trafic dans une seule interface, par exemple, Gigabit Ethernet 0/0.