6.7 Ubicación de las ACL
6.7.1
Regla: "Se colocan las ACL extendidas lo más cerca posible del origen del tráfico denegado"
Nota para el instructor
  Se describe una regla de diseño para la colocación de las ACL: colocar la ACL extendida lo más cerca posible del origen del tráfico denegado (las ACL extendidas pueden filtrar utilizando direcciones origen y/o destino). En el caso de las ACL estándar, sólo pueden filtrar utilizando direcciones origen (no direcciones destino), de manera que se deben colocar lo más cerca posible del destino. Las Mejores prácticas para enseñar este indicador de objetivos incluyen Miniconferencia y Estudio en línea (con una Guía de estudio).

Como vimos anteriormente, las ACL se utilizan para controlar el tráfico filtrando paquetes y eliminando el tráfico no deseado en un destino. Según el lugar donde se ubique una sentencia de ACL, se puede reducir el tráfico innecesario. El tráfico que será denegado en un destino remoto no debe usar los recursos de la red en el camino hacia ese destino.

Supongamos que la política de una empresa busca denegar el tráfico de telnet o FTP en el Router A a la LAN Ethernet conmutada en el puerto E1 del Router D. Al mismo tiempo, se debe permitir todo el tráfico restante. Hay varias maneras de cumplir con esta política. El método recomendado usa una ACL extendida. Especifica las direcciones origen y destino. Se coloca esta ACL extendida en el Router A. Entonces los paquetes no atraviesan la Ethernet del Router A, no atraviesan las interfaces seriales de los Routers B y C, y no entran al Router D. El tráfico con direcciones diferentes origen y destino todavía puede permitirse.

La regla es colocar las ACL extendidas lo más cerca posible del origen del tráfico denegado. Las ACL estándar no especifican direcciones destino, de manera que se debe colocar la ACL estándar lo más cerca posible del destino. Por ejemplo, se debe colocar una ACL estándar o extendida en E0 del Router D para evitar el tráfico desde el Router A.