Мониторинг и проверка действий со списком доступа в маршрутизаторе

Существует несколько рекомендаций по созданию и реализации списков доступа в маршрутизаторе:

• Разрешается присвоить интерфейсу, протоколу или направлению движения пакетов только один список доступа. Следовательно, если созданы списки доступа IP, то в интерфейсе можно иметь только один входной и один выходной список.

• В начало списка лучше помещать наиболее специализированные условия.

• Любая добавляемая строка всегда помещается в конец списка доступа.

• Нельзя удалить из списка доступа одну строку, поскольку будет удален весь список. Рекомендуется скопировать список доступа в текстовый редактор для изменения отдельной строки. Единственным исключением из этого правила являются именованные списки доступа (named access list).

• Если только список доступа не завершится командой permit any, отбрасываются все пакеты, не отвечающие ни одному условию в строках списка доступа. Любой список должен иметь хотя бы один оператор permit, иначе будет полностью блокирован весь интерфейс.

• Созданные списки доступа применяются к интерфейсам. Если к интерфейсу применен не существующий список доступа, то трафик в интерфейсе не фильтруется.

• Списки доступа предназначены для фильтрации трафика, проходящего через маршрутизатор. Они не фильтруют трафик, генерируемый маршрутизатором.

• Стандартный список доступа IP следует размещать по возможности ближе к точке назначения.

• Улучшенный список доступа IP следует размещать по возможности ближе к источнику.