3.19 - Como fica o desempenho do roteador com as Listas de Acesso?

Sabe-se que as regras da lista de controle de acesso são analisadas sequencialmente, ou seja, regra-1, regra-2, regra-3 e assim sucessivamente até que seja encontrada uma regra, que coincida com o pacote analisado ou encontrar a última regra que bloqueia tudo que não está permitido.

Desta forma devemos observar alguns procedimentos que devem ser adotados no sentido de minimizar os possíveis impactos negativos que as listas de controle de acesso possam causar.

Uma sugestão de estratégia de implementação para minimizar o impacto negativo é:

Sempre que possível aplicar as listas de controle de acesso no sentido de entrada (in), pois desta forma os pacotes serão descartados antes de serem encaminhados para uma das interfaces de saída, consequentemente minimizando o processamento de roteamento de pacotes;
Implementar inicialmente as regras que contemplam o maior volume de transações da sua rede, agrupada por servidor/serviços;

2.1. Como a pilha IP inclui ICMP,TCP e UDP. Sempre insira primeiro as regras mais específicas, para depois colocar as mais genéricas;

Após a implementação da lista por grupo de servidor/serviço insira uma regra que bloqueia todos os demais pacotes do grupo, isso evita que o pacote passe pelo crivo de outros grupos ao qual não pertence.

Procedimentos

Procedimentos para minimizar o impacto que as listas de controle de acesso possam causar:

Mensurar os recursos do roteador (memória, processador, outros);
Avaliar os serviços habilitados no roteador (criptografia, outros);
Entender o tráfego da rede;
Mensurar o volume de pacotes;
Classificar o volume de tráfego por servidor, protocolo e sentido do tráfego.