پس از تنظیمات اینترفیس های روتر ، باید ببینیم آیا شبکه ای که از طریق این اینترفیس ها، امکان اتصال به آن فراهم شده است شبکه امنی خواهد بود.ممکن است شما یک وب سرور داشته باشید و تنها مایلید به بسته هایی اجازه ورود به شبکه خود را بدهید که فقط مربوط به وب سرور می باشند و مایلید که اجازه هرگونه ارتباط دیگر را با سرورهای داخل شبکه خود را از اینترنت بگیرید.در چنین مواردی روش معمولی که بکار می رود استفاده از access list ها می باشد.
شما در روتر خود با تعریف یکسری access list خاص اجازه ورود هر بسته ای به شبکه بجز بسته های مربوط به وب سرور را می گیرید.
سیسکو دو نوع کلاس متفاوت از access list در درون روترهای خود قرار داده است.در اولین کلاس که به آن access list استاندارد می گویند تنها می توان آدرس مبدا(source address) را فیلتر کرد.برای نامگذاری این access list ها از شماره ۱ تا ۹۹ می توان استفاده کرد.کلاس دوم که access list توسعه یافته نامیده می شود از شماره ۱۰۰ شروع شده و تا۱۹۹ ادامه می یابد و می توان فیلتر مورد نظر را روی فیلدهای آدرس مبدا(source address)، آدرس مقصد (destination address)، پروتکل(protocol) و پورت(protocol port) اعمال نمود.
پس از آنکه یک access list ساخته شد باید آنرا به یک اینترفیس نسبت داد تا مورد استفاده قرار گیرد.در تنظیمات اینترفیس،از عبارت access-group برای اعمال یا حذف یک access-list از ان اینترفیس استفاده می شود.به مثال زیر توجه کنید:
Interface serial0
Ip access-group 101 in
Ip access-group 6 out
در مجموعه دستورات فوق فیلترهای موجود در access list توسعه یافته شماره ۱۰۱ بر روی بسته های ورودی به اینترفیس serial0 اعمال خواهد شد.همچنین فیلترهای موجود در access list استاندارد شماره ۶ بر روی بسته های خروجی از اینترفیس serial0 اعمال می شوند.
به عنوان مثال access list شماره ۶ را به صورت زیر تعریف می کنیم:
Access-list 6 permit 234.5.6.12
Access-list 6 deny 5.10.10.32 0.0.0.31
access-list 10 permit 5.10.0.0 0.0.255.255
۳- نکته دیگری که باید مورد توجه قرار گیرد این است که تغییرات در روتر بصورت آنی اعمال می شوند.بنابراین به هنگام تغییر محتویات یک access list بهتر است ابتدا آنرا از اینترفیس مربوطه پس بگیریم و سپس پس از پایان تغییرات دوباره آنرا به اینترفیس مورد نظر اعمال کنیم.
ساختن access list توسعه یافته معمولا دشوارتر است.از آنجائیکه access list توسعه یافته هم آدرس مبدا و هم آدرس مقصد را تحت تاثیر قرار می دهد بنابراین در هر ورودی access list دو قسمت مورد نیاز است.یک مثال کوتاه در ادامه آمده است:
access-list 101 permit tcp any any established
access-list 101 permit tcp any 204.34.5.25 host eq 80
access-list 101 permit ip 203.45.34.0 0.0.0.255 204.34.5.0 0.0.0.255
access-list 101 permit tcp 203.44.32.0 0.0.0.31 204.34.5.0 0.0.0.255 eq telnet
access-list 101 permit tcp any 204.34.5.10 eq smtp
خط اول به ترافیک مربوط به tcp که دارای فلگ established باشند اجازه عبور می دهد.این بدان معنی است که access list به ترافیک ورودی مربوط به کلیه اتصالاتی که از داخل با بیرون برقرار شده اجازه عبور به داخل را می دهد.این خصیصه بسیار مهمی است چون ترافیک مربوط به اتصالات tcp که با خارج برقرار شده است بر روی پورتی که به صورت random انتخاب می شود ارسال می شوند با استفاده از فیلد فلگ ترافیک می توان به آنها اجازه عبور داد و نیازی به دانستن شماره پورت نمی باشد.